从违规问题来看,上述三家机构的处罚原因均与网络信息安全有关。其中,江海证券PP强制、频繁、过度索取权限,该情况曾在11月底被工信部通报。大通期货涉及重要信息系统上线验收前无安全测试相关报告,永商期货网络和信息安全防护体系不完善。
两家期货公司去年同样因为网络安全问题被罚,永商期货相关负责人一度被采取出具警示函措施。
PP强制、频繁、过度索取权限
经查,江海证券存在以下问题,一是关于IT治理、网络安全管理的内部决策、执行机制不健全;二是公司APP个人信息保护合规性检测不充分,存在PP强制、频繁、过度索取权限问题。
大通期货存在以下问题,一是未建立关联交易管理制度;二是公司未配备专职信息技术审计人员,2022年以来未开展专项IT审计;三是重要信息系统上线验收前无安全测试相关报告,2022年以来未开展重要信息系统压力测试;四是网络和信息安全防护体系不完善。
永商期货存在的问题包括,一是廉洁从业管理不到位,2022年大庆营业部负责人离职时公司未对其廉洁从业情况予以考察评估;二是网络和信息安全防护体系不完善。
黑龙江证监局要求,江海证券应认真落实网络安全责任制,强化网络和信息安全工作,深刻反思,举一反三,对相关问题进行全面整改,切实提升网络和信息安全管理能力;大通期货、永商期货应按照相关法律法规要求加强整改。
PP违规一度被通报
江海证券APP违规情况,此前曾被通报。
11月30日,工业和信息化部网站发布《关于侵害用户权益行为的APP(SDK)通报(2023年第8批,总第34批)》显示,共有22款移动互联网应用程序(App)及第三方软件开发工具包(SDK)存在侵害用户权益行为,其中江海证券的APP在列。
通报指出,江海证券APP“江海锦龙综合版”所涉问题为强制、频繁、过度索取权限,应用来源为百度手机助手,版本为V9.00.44。
从工信部此次通报的缘由来看,上述集中通报中,涉及“违规收集个人信息”“App强制、频繁、过度索取权限”为“重灾区”。
大通期货与永商期货,并非首次因网络安全问题被罚。
2022年9月27日,黑龙江证监局披露3张罚单,上述两家期货公司被处罚。
其中,永商期货在部门岗位设置、运维管理、信息系统建设等多个方面均存在问题,包括主机房服务器遭网络攻击的一个月后未恢复正常运营、灾备机房备份能力不符合规定、公司开户由交易风控部负责等,被黑龙江证监局关于对永商期货采取责令改正措施。与此同时,相关的负责人也被出具警示函。
而大通期货因为对子公司天津大业亨通资管的信息公示和工商变更管理不到位,同时,公司网络安全管理与防护、信息技术风险评估与审计存在漏洞,而遭到处罚。
黑龙江证监局决定对大通期货采取责令改正的行政监管措施,要求大通期货应按照相关法律法规要求加强整改,并于收到本决定书之日起3个月内提交书面整改报告。
金融业网安管理标准化进程推进
值得注意的是,上述3家机构的违规行为触及今年初新颁布的《证券期货业网络和信息安全管理办法》。
今年2月27日,证监会发布了《证券期货业网络和信息安全管理办法》,该管理办法于5月1日正式施行。标志着伴随着近几年金融行业的网络安全工作开展以及各企业对网络安全的重视程度,金融行业的网络安全的管理体系也逐步有了标准化的进程。
江海证券违反的上述管理办法的第三十条规定,核心机构和经营机构处理投资者个人信息,应当建立健全投资者个人信息保护体系,明确相关岗位及职责要求,建立健全投资者个人信息处理、安全防护、应急处置、审计监督等管理机制,加强投资者个人信息保护。
大通期货违反的是管理办法第十六条第一款、第十九条、第二十一条第一款的规定。第十六条第一款内容为,核心机构和经营机构在重要信息系统上线、变更前应当制定全面的测试方案,持续完善测试用例和测试数据,并保障测试的有效执行。
第十九条为,核心机构和经营机构应当构建网络和信息安全防护体系,综合采取网络隔离、用户认证、访问控制、策略管理、数据加密、网站防篡改、病毒木马防范、非法入侵检测和网络安全态势感知等安全保障措施,提升网络和信息安全防护能力,及时识别、阻断相关网络攻击,保护重要信息系统和相关基础设施,防范信息泄露与损毁。永商期货同样违反该条规定。
第二十一条第一款为,核心机构和经营机构应当每年至少开展一次重要信息系统压力测试;发现市场较大波动,重要信息系统的性能容量可能无法保障安全平稳运行的,应当及时对相关信息系统开展压力测试。
证券期货监管会否效仿银保监管机构做法,持续加大对证券期货机构网信安全监管,值得关注。
原银保监会曾于2022年8月下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》(以下简称《通知》),要求全面梳理和排查银行业保险业在个人信息保护方面的问题和漏洞,深入整治侵害消费者信息权益乱象。
《通知》称,各银行保险机构要逐一建档,确保整改到位、问责到位。对违反银行业保险业规章制度,要依规处理;对不当操作行为,要立即叫停或纠正,出现泄露个人信息等严重侵害消费者信息安全问题的,要问责到人;对涉及违法犯罪的问题,要移送司法机关惩处。
本文源自财联社 高艳云
