本報記者 吳曉璐

    3月3日，證監會發布《證券期貨業網絡和信息安全管理辦法》（以下簡稱《辦法》），將于2023年5月1日起正式實施。

    證監會表示，為有效落實《網絡安全法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》相關要求，規范證券期貨業網絡和信息安全管理，防范化解行業網絡和信息安全風險，維護資本市場安全平穩高效運行，制定并發布該《辦法》。

    2022年4月29日至2022年5月29日，證監會就《辦法》草案向社會公開征求意見。總體看，各方對《辦法》草案的起草思路、主要內容認可度較高。經認真研究，證監會對其中部分意見予以吸收采納。

    《辦法》聚焦網絡和信息安全領域，在總結實踐經驗的基礎上，為上位法在證券期貨行業的落地實施明確了路徑。《辦法》全面覆蓋了包括證券期貨關鍵信息基礎設施運營者、核心機構、經營機構、信息技術系統服務機構等各類主體，以安全保障為基本原則，對網絡和信息安全管理提出規范要求，主要內容包括：網絡和信息安全運行、投資者個人信息保護、網絡和信息安全應急處置、關鍵信息基礎設施安全保護、網絡和信息安全促進與發展、監督管理和法律責任等。

    其中，在投資者個人信息保護方面，《辦法》主要有四方面內容，一是明確核心機構和經營機構處理投資者個人信息的基本原則，要求建立健全投資者個人信息保護體系和管理機制，履行保護義務；二是明確核心機構和經營機構在投資者個人信息處理、共享環節的安全防護要求；三是提出核心機構和經營機構在網絡安全防護邊界外處理投資者個人信息的技術要求，防范化解信息泄露風險；四是對核心機構和經營機構收集客戶生物特征的必要性和安全性提出評估要求。

    證監會表示，將組織開展相關專項培訓，持續做好督導落實。《辦法》規定的參照適用主體無需報送《辦法》第五十九條規定的網絡和信息安全管理年報。關于參照適用主體落實《辦法》第二十條規定的數據備份義務，證監會將指導有關行業協會進一步細化有關要求。