查看原文
其他

道可特研究 | 金融行业数据合规观察“证券基金篇”(二)

白小莉 道可特法视界 2023-08-26

「 道可特法视界第1700篇原创文章 」

目 录

(一)行业数据治理概况(二)行业数据立法分析(三)行业数据监管动态

(四)行业数据合规建议

行业数据立法分析

一、《证券期货业信息安全保障管理办法》(以下简称《保障管理办法》)

发布日期:2012.09.24

实施日期:2012.11.01
本办法旨在保障证券期货信息系统安全运行,加强证券期货业信息安全管理工作,促进证券期货市场稳定健康发展,保护投资者合法权益。该办法根据《证券法》《证券投资基金法》《期货交易管理条例》及信息安全保障相关的法律、行政法规制定,适用于证券期货业信息安全保障、管理、监督等工作。办法针对经营机构的基础设施,信息系统应具有的架构、功能等提出了基本要求,同时围绕如何持续保障信息系统的安全稳定提出维护、监测、评估、建立应急机制等要求。此外,办法也对经营机构采购产品和服务以及行业其他方面提出要求。

二、《私募投资基金监督管理暂行办法》

发布日期:2014.08.21

实施日期:2014.08.21
本办法主要明确了全口径备案、确立合格投资者、募资规则、规范投资行为等运作规则,对不同类别私募基金进行差异化管理等5项制度安排,体现了功能监管、适度监管的原则及负面清单式的探索。在信息与数据安全方面,办法中要求基金业协会建立备案管理信息系统,对管理人和基金信息严格保密,禁止私募基金管理人、私募基金托管人、私募基金销售机构及其他私募服务机构及其从业人员从事私募基金业务泄露因职务便利获取的未公开信息,利用该信息从事或者明示、暗示他人从事相关的交易活动。

三、《证券公司客户资料管理规范》

发布日期:2014.12.26

实施日期:2014.12.26
本规范规定了证券公司对其客户资料进行管理的原则、体系、流程、信息系统及内部控制的要求,适用于证券公司开展业务经营过程中所涉及对客户资料的管理过程。其中,管理流程对收集、保管、更新、使用、销毁、移交每个环节都进行了详细的规定。信息系统部分要求客户资料核心信息系统应对电子客户资料的增加、删除和修改等操作进行记录,要求证券公司对客户资料相关信息系统建立安全可靠的权限管理机制,将客户资料纳入信息系统运维体系,确定客户资料核心信息系统的安全保护等级,并进行测评和整改工作。内部控制方面要求证券公司做好与客户资料管理相关的突发事件的风险防范工作,健全防控工作责任体系。应对客户资料保存情况及管理制度执行情况进行定期检查,并积极配合相关监管部门对客户资料的检查工作。同时也要将对客户资料的管理纳入审计工作范畴,将客户资料管理相关突发事件纳入应急处置体系。

四、《证券公司网上证券信息系统技术指引》

发布日期:2015.03.13

实施日期:2015.03.13
本指引旨在保障网上证券信息系统的安全、可靠、高效运行,促进证券公司网上开展证券业务的健康有序发展,保护客户的合法权益。指引明确了网上证券信息系统的定义及证券公司利用网上证券信息系统开展证券业务应当遵循的基本原则。同时就网上证券信息系统建设的基本要求、网上证券客户端、网上证券服务端、开发和实施管理及第三方服务管理等多个方面作出了明确规定。具体内容上,强调各个方面的信息系统审计工作,展开风险管理,采取技术手段保护证券信息系统敏感数据,从全生命周期角度开展应用安全设计和实施,对第三方服务管理进行评估、与其签署保密协议,建立网上证券信息系统定期安全风险评估机制,开展网上证券信息系统应急预案建立、修订、演练、培训等工作,向客户进行风险提示等措施。

五、《证券投资基金法》

发布日期:2015.04.24

实施日期:2015.04.24
本法旨在规范证券投资基金活动,保护投资人及相关当事人的合法权益,促进证券投资基金和资本市场的健康发展。本法主要对基金行业内的各种角色、机构、协会的权利义务,以及基金工作的各类环节进行了较全面的规定。其中也涉及到数据信息安全方面的规定。比如禁止公开募集基金的基金管理人及其董事、监事、高级管理人员和其他从业人员泄露因职务便利获取的未公开信息、利用该信息从事或者明示、暗示他人从事相关的交易活动。本法有关信息安全的重点主要是针对提供信息技术系统服务的基金服务机构提出要求,包括对机构资格、数据保存、应急机制和备份系统等方面的要求。

六、《私募投资基金募集行为管理办法》

发布日期:2016.04.15

实施日期:2016.07.15
本办法旨在规范私募投资基金的募集行为,促进私募基金行业健康发展,保护投资者及相关当事人的合法权益。在数据安全方面,办法中禁止募集机构及其从业人员利用私募基金相关的未公开信息进行交易,要求其对投资者的商业秘密及个人信息严格保密。收集投资者的个人信息是为了了解投资者的风险识别能力和风险承担能力,募集机构应当在投资者自愿的前提下获取投资者问卷调查信息。问卷调查获取的个人信息包括投资者基本信息,财务状况,有关金融法律法规、投资市场、基金风险等的了解程度,投资的经验,风险的偏好等各个方面。此外,募集机构应当采取合理方式向投资者披露私募基金信息,揭示投资风险,确保推介材料中的相关内容清晰、醒目。

七、《基金募集机构投资者适当性管理实施指引(试行)》

发布日期:2017.06.28

实施日期:2017.06.28
本指引从指导原则、投资者分类、基金产品或者服务风险等级划分、投资者风险匹配等方面对基金募集机构投资者适当性管理实施工作进行了规定,旨在鼓励基金募集机构间的有序竞争及差异化安排,从而逐步达到保护投资者,尤其是保护中小投资者合法权益的目的。投资者适当性是指基金募集机构在销售基金产品或者服务的过程中,根据投资者的风险承受能力销售不同风险等级的基金产品或者服务,把合适的基金产品或者服务卖给合适的投资者。这个过程具体包括专业投资者与基金产品或者服务的风险匹配,以及普通投资者与基金产品或者服务的风险匹配。此外本指引还在建立自查制度、档案管理制度、销售人员考核制度、纠纷投诉处理制度等方面对基金募集机构提出了要求。

八、《证券期货业数据分类分级指引》(以下简称《分类分级指引》)

发布日期:2018.09.27

实施日期:2018.09.27
本指引给出了证券期货业数据分类分级方法概述及数据分类分级方法的具体描述,并就数据分类分级中的关键问题处理给出建议,适用于证券期货行业机构、相关专项业务服务机构、相关信息技术服务机构开展数据分类分级工作时使用。其目的旨在指导相关机构有效甄别数据类型,确定数据级别,从而对不同类别、等级的数据有针对性地采取适当、合理的管理措施和安全防护措施。具体内容上,本指引主要围绕适用的数据范围,数据分类分级的前提条件,分类分级的方法及考量因素,以及对分类分级过程中关键问题的处理进行了具体规定。有关数据的分类,指引中对数据的分类工作分为两个阶段,分别是对业务和数据进行细分和归类。有关数据的分级,指引中数据等级分为四级,描述标识分为数据级别标识和数据重要程度标识两类,相互一一对应。

九、《证券公司和证券投资基金管理公司合规管理办法》

发布日期:2020.03.20

实施日期:2020.03.20
本办法旨在促进证券公司和证券投资基金管理公司加强内部合规管理,实现持续规范发展。具体内容上,本办法对合规经营提出八条通用要求;进一步强化全员合规,厘清董事会、高级管理人员、合规负责人等各方合规管理责任;优化管理组织体系,对证券经营机构合规系统建设、部门设置、合规人员数量和质量提出基本标准;强化合规负责人专业化和职业化水平,同时提升专业经验和法律素质要求;改善合规负责人履职保障,采取措施维护其独立性、权威性、知情权和薪酬待遇;强化监督管理,对证券基金经营机构及高级管理人员、合规责任人未能有效实施合规管理等违规行为依法追责。
十、《关于加强上市证券公司监管的规定》

发布日期:2020.09.17

实施日期:2020.09.17
考虑到上市证券公司具有证券公司与上市公司的双重属性,为做好机构监管和上市公司监管的有效衔接,加强对上市证券公司的监管,证监会于2009年发布了本规定,从再融资、重大资产重组、信息披露、内幕信息管理等方面对上市证券公司提出了明确的要求。随着资本市场的发展,上市公司治理规则体系不断完善,内幕信息管理、信息披露等方面的要求日益健全,证券公司内部控制和合规管理有效增强,原规定中的部分条款有必要予以调整完善。2020年修订后,在保留基本内容的前提下,针对市场发展和监管需要,进行了收放结合的局部调整。在数据安全方面,新规定再度强化了证券公司内幕信息管理和内部控制有效性要求,补充完善了被采取重大监管措施应及时披露的相关事项等。

十一、《证券基金经营机构信息技术管理办法》(以下简称《技术管理办法》)

发布日期:2021.01.15

实施日期:2021.01.15
本办法旨在加强证券基金经营机构信息技术管理,保障证券基金行业信息系统安全、合规运行,保护投资者合法权益。关于治理结构,其要求证券基金经营机构设立信息技术治理委员会-首席信息官-信息技术管理部门的多层级网络安全负责机构,并规定了各机构与人员的条件、义务。在数据分类分级方面,其要求证券基金经营机构对客户数据按照重要性和敏感性进行分类分级,并根据不同类别和级别进行差异化管理制度安排。在访问权限上,其要求证券基金经营机构遵循最少功能以及最小权限等原则分配信息系统管理、操作和访问权限,并履行审批流程建立客户资料查阅审批机制。此外,其中也对证券基金经营机构有关信息技术管理的审计工作提出要求,对其应急管理职责进一步扩充要求,明确应急预案内容、分工以及应急演练组织要求。最后也要求证券基金经营机构应当与供应商签订服务协议和保密协议,并明确本方相应管理要求。

十二、《证券期货业网络安全事件报告与调查处理办法》

发布日期:2021.06.04

实施日期:2021.06.04
本办法旨在规范证券期货业网络安全事件的报告和调查处理,减少网络安全事件的发生。办法第一章首先针对证券期货业网络安全事件的概念与相关责任主体进行了明确。第二章要求将网络和信息系统分为五类,要求对网络安全事件分类分级,增加了定量描述系统服务能力异常的方法,并给出了统一的网络安全事件分级方法。第三章针对网络安全事件的报告流程进行了完善优化。第四章则是对网络安全事件的调查处理方式进行规定,增加了处罚的针对性和严肃性。

十三、《证券期货业网络安全管理办法(征求意见稿)》

发布日期:2022.04.29
本办法针对证券期货业网络安全监督管理体系、网络安全运行、数据安全统筹管理、网络安全应急处置、关键信息基础设施网络安全、网络安全促进与发展、监督管理与法律责任等方面内容进行了规定。该办法适用于两类主体,一是核心机构和经营机构,二是信息技术服务机构。其中对于核心机构和经营机构处理重要数据、核心数据的处理和保护要求作出了规定,包括核心机构和经营机构应当明确数据安全负责人、指定数据安全管理机构或者部门、为处理重要数据的信息系统满足等保三级以上的保护要求。有关个人信息的处理和保护,其规定了核心机构和经营机构处理个人信息的告知义务、合法性基础以及安全措施三个主要方面,体现了证监会将该等规定落实到核心机构和经营机构有关行业场景的特点。

DOCVIT

作者简介

白小莉

北京市道可特律师事务所高级合伙人


业务领域:知识产权、争议解决、竞争与反垄断、数据安全与数据合规

手机:18612296630

邮箱:baixiaoli@dtlawyers.com.cn


相关阅读

道可特研究 | 金融行业数据合规观察“证券基金篇”(一)



精彩推荐

点击图片查看

。。。

更多精彩文章请点击以下“栏目名称”阅读

道可特专业文章

道可特人物

道可特月刊

道可特学院

北交所观察

道可特业绩

道可特荣誉

道可特公益

道可特咖啡日

道可特之星

道可特招募

道可特绿生活

你的每个赞和在看,我都喜欢!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存