辛小天、杨玥祺：新规解读 证券期货业网络安全与数据合规办法

经过近一年的征询与修改，《证券期货业网络和信息安全管理办法》（以下简称“办法”）于2023年3月7日正式发布,并自2023年5月1日起施行。该办法的制定是为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求，规范证券期货业网络和信息安全管理，防范化解行业网络和信息安全风险。

一、适用范围

《办法》明确的义务主体包括核心机构和经营机构以及信息技术系统服务机构两类主体。核心机构和经营机构在中华人民共和国境内建设、运营、维护、使用网络及信息系统，信息技术系统服务机构为证券期货业务活动提供产品或者服务的网络和信息安全保障，适用本办法。以下为《办法》中几个重要概念的定义：

（1) 核心机构，包括证券期货交易场所、证券登记结算机构等承担证券期货市场公共职能、承担证券期货业信息技术公共基础设施运营的证券期货市场核心机构及其承担上述相关职能的下属机构。

（2) 经营机构，是指证券公司、期货公司和基金管理公司等证券期货经营机构。

（3) 信息技术系统服务机构，是指为证券期货业务活动提供重要信息系统的开发、测试、集成、测评、运维及日常安全管理等产品或者服务的机构。

（4) 重要信息系统，是指承载证券期货业关键业务活动，如出现系统服务异常、数据泄露等情形，将对证券期货市场和投资者产生重大影响的信息系统。

以下从核心机构与经营机构、信息技术系统服务机构以及关键信息基础设施运营者三个角度分别归纳各自的网络和信息安全义务。

二、核心机构与经营机构的义务

（一） 网络和信息安全义务

（二） 个人信息保护要求

（三） 网络和信息安全应急处置

三、信息技术系统服务机构的网络和信息安全义务

四、关键信息基础设施安全保护

《办法》并未对关键信息基础设施运营者进行定义，企业应当参照《关键信息基础设施安全保护条例》自行进行鉴别与认定，并履行如下关键信息基础设施运营者的义务。

作者简介

辛小天

北京德和衡（深圳）律师事务所合伙人

辛小天，数字经济与人工智能业务中心总监，网络空间安全战略与法律委员会委员，清华大学创业引导年度荣誉导师。

曾就职于MayerBrown JSM 律师事务所，美国美富律师事务所，通用电气及奇虎360 。擅长数据合规、互联网法律及合规风控、投融资以及并购法律、反垄断法、公司法及劳动相关法律、外商投资及外资公司设立相关法律。

手机：13911159437

邮箱：xinxiaotian@deheheng

杨玥祺

北京德和衡律师事务所执业律师

杨玥祺，毕业于中国政法大学，法学、英语学双学位。曾为某大型通讯公司撰写PbD（Privacy by Design）合规调研报告、为南方某省级大型银行金融机构进行金融数据合规、个人信息合规体检并出具风险评估报告以及配套管理制度、为某国际电子商务平台进行合规体检，出具法律文件、为某国际冻品购销公司撰写隐私政策与服务协议。

擅长领域：数据合规、电商合规、个人信息保护、投融资、GDPR、CCPA

手机：15650793473

邮箱：yangyueqi@deheheng