刘丹冰

□我国资本市场和证券期货业具备大市场、大影响；专业门槛高，投资者保护难度大；整个资本市场的交易离不开网络、数据等技术的支撑等特点。

□在涉及证券期货业网络安全运行中，核心机构与经营机构应当具有完善的信息技术治理架构，健全网络安全管理制度体系，建立内部决策、管理、执行和监督机制，确保网络安全管理能力与信息化发展水平相匹配。

□由于制定者的监管立场及监管部门对网络、数字科技促进证券期货业发展及防范、化解资本市场风险的认识不足。  《办法》中鼓励主体通过促进网络安全、提升证券期货业稳定健康发展的条款较少。

4月29日，中国证监会发布《证券期货业网络安全管理办法（征求意见稿）》（以下简称《办法》）公开征求意见。细读《办法》，有三点感受。

资本市场离不开网络安全保障

经过三十余年的创新与演进，我国社会主义资本市场体系趋于完善。中国资本市场的地位与特点决定，证券期货业的网络安全事关整个资本市场的稳定健康发展。

从网络安全角度观察，我国资本市场和证券期货业具备如下三个显著特点：

第一，大市场、大影响。已经成为全球第二大市场的中国资本市场，主要由四个部分组成：一是多层次股权市场，涵盖交易所股票市场、全国中小企业股份转让系统和区域性股权市场。我国交易所股票市场的市场规模由沪深两市构成。截至5月18日，沪深两市共有上市股票4808只，其中主板3244只、创业板1144只、科创板420只。沪深两市总市值756140.73亿元。全国中小企业股份转让系统存量挂牌公司6721家，其中创新层为1238家、总股本1295.72亿股，基础层5483家，总股本3193.20亿股。在《证券法》首次明确区域性股权市场法律地位和功能的2020年年底，全国34家区域性股权市场共有挂牌公司3.47万家，当年为中小微企业实现各类融资2884亿元，历年累计实现各类融资1.42万亿元。

二是交易所债券市场。目前交易所债券品种越来越丰富，涉及国债、地方政府债、政策性金融债、政府支持债券、企业债、公司债、可交换公司债、可转债、非公开发行公司债券、非公开发行可交换公司债券、企业资产支持证券、不动产投资信托等，截至2020年底，债券市场托管面值约有16.33万亿元。

三是期货与衍生品市场。期货与衍生品交易主要在上海期货交易所和证券交易所、郑州商品交易所、大连商品交易所、中国金融期货交易所、广州期货交易所、深圳证券交易所进行。截至2021年底，期货与衍生品市场上市品种数量达到94个，其中64个商品期货、20个商品期权、6个金融期货和4个金融期权。商品期货交易总量连续11年位居全球第一，股指期货、国债期货、股票期权等金融期货及衍生品也蓬勃发展。

四是基金市场,由公募基金和私募基金构成。截至2020年底，公募基金规模19.91万亿元，存续产品490只；备案私募基金96852只，管理基金规模15.97亿元。

此外，证券、期货、基金等经营机构及其管理资产总量，也可以从另一个角度说明我国资本市场的影响面。

第二，专业门槛高，投资者保护难度大。我国多层次资本市场产品的创新与丰富，是建立在专业知识越来越复杂、行业细分且业务跨越国界基础上的。由此带来的参与主体复杂化及投资者保护难度提高问题，也成为需要特别关注证券期货业网络安全的理由之一。仅就投资者而言，就包括了国内个人、企业以及国际上的机构投资者、境外投资者。随着信息技术和经济全球化的发展，投资者的规模还在不断扩大中。由此，“保护投资者合法权益”成为《办法》的第二大立法目的。

第三，整个资本市场的交易离不开网络、数据等技术的支撑。

上述三点决定，在网络安全涉及社会公共利益、资本市场安全、投资者合法权益的背景下，在国家密集出台《网络安全法》《数据安全法》  《个人信息保护法》  《关键信息基础设施安全保护条例》等上位法的基础上，2012年的《证券期货业信息安全保障管理办法》已经不能适应保障证券期货业网络安全的需求。从保障我国资本市场高质量发展角度，《办法》的出台及时且必要。

强化证券期货业各类主体责任

网络是技术，但网络安全的关键却在“人”，即证券期货业各类主体。也正是因为强调主体责任，“应当”成为《办法》高频率使用的字词。在证券期货业网络安全中，不同的主体所承担的责任是不一样的。

第一，证监会承担证券期货业网络安全的政府监管责任。  《办法》在详细规定证监会证券期货业网络安全监管职责的基础上，在相关条款及“监督管理与法律责任”一章中，进一步细化证监会及其分支机构在证券期货业网络安全中的事前、事中、事后监督管理责任。由于《办法》界定的“证券期货业网络安全，是指核心机构、经营机构和信息技术服务机构采取必要措施，对内外部网络攻击、入侵、干扰和破坏进行有效识别、监测、防范和处置，保障承载证券期货业务活动的信息系统安全平稳运行，确保相关网络数据的完整性、保密性和可用性。”因此，证监会的监管对象，主要是核心机构、经营机构和信息技术服务机构。

第二，核心机构与经营机构承担证券期货业网络安全中所涉公共职能、信息基础设施运营及经营中的安全保障责任。这两类机构的重要性，可以从《办法》对其范围的界定中反映出来。核心机构包括证券期货交易场所、证券登记结算机构、期货保证金安全存管监控机构等承担证券期货市场公共职能、承担证券期货业信息基础设施运营的机构及其下属机构；而经营机构则包括证券公司、期货公司和基金管理公司等证券期货经营机构。

为此，在涉及证券期货业网络安全运行中，两类机构应当具有完善的信息技术治理架构，健全网络安全管理制度体系，建立内部决策、管理、执行和监督机制，确保网络安全管理能力与信息化发展水平相匹配；在数据安全统筹管理，两类机构应当履行数据安全管理责任；运营关键信息基础设施的两类机构，应当按照法律法规及证监会有关规定，开展关键信息基础设施安全保护工作，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。

第三，信息技术服务机构承担为证券期货业网络安全提供合规性、安全性产品或者服务的保障责任。  《办法》要求其应当勤勉尽责，遵循技术安全、功能合规的原则，与核心机构、经营机构共同保障行业网络安全，促进行业信息化发展。

第四，行业协会承担证券期货业网络安全的自律管理责任。中国证券业协会、期货业协会、证券投资基金业协会等行业协会的自律管理，既包括依法制定行业网络安全自律规则，也包括对经营机构网络安全实施自律管理。

可进一步鼓励主体促进网络安全

“促进证券期货业稳定健康发展”是《办法》第一条规定的立法目的之一。为此，《办法》专门设置“网络安全促进与发展”一章，鼓励相关主体在依法合规的前提下，积极开展网络安全技术应用工作，运用新技术提升网络安全保障水平；在保障本机构网络安全的前提下，为行业统筹提供服务，提升信息技术资源利用和服务水平；在依法合规、风险可控的前提下，有序开展金融科技创新与应用，借助新型信息技术手段，提升本机构证券期货业务活动的运行质量和效能。

当然，与《办法》大篇幅规定各类主体在证券期货业中的网络安全责任相比，鼓励主体通过促进网络安全、提升证券期货业稳定健康发展的条款还是太少。深究原因，一是《办法》制定者的监管立场；二是监管部门对网络、数字科技促进证券期货业发展及防范、化解资本市场风险的认识不足。期待《办法》后期的修改中有所改进。

（作者系西北大学法学院教授、博导，中国法学会证券法研究会常务理事）

SourcePh" style="display:none">