浅谈对金融行业实施《中华人民共和国网络安全法》的思考

来源:中国人民银行金融信息中心   作者:董贞良   时间:2017-07-18

     2016年11月7日,全国人民代表大会常务委员会颁布了《中华人民共和国网络安全法》(以下简称《网络安全法》),这部法律是我国第一部网络空间的综合性法律,是我国网络安全工作的基本遵循。作为信息与网络技术应用行业之一,金融行业机构加快推进落实《网络安全法》。《网络安全法》的实施将持续推动改进金融业机构网络安全管理的框架和流程,推动实现网络安全风险的精细化管理,提升金融业机构的可持续和科学发展。

一、明晰网络安全职责主体,完善网络安全保障体系

   在《网络安全法》中,规定了以下责任主体:国家、网络相关行业组织、研究机构、企业、高等学校、职业学校、大众传播媒介、网络运营者、网络产品和服务提供者、关键信息基础设施运营者、网络安全服务机构、电子信息发送服务提供者、应用软件下载服务提供者、个人和组织。近年来,包括金融行业在内的行业主管部门通过现场检查、等级保护、风险评估、应急管理、重点时期专项保障等工作建立重要网络与信息系统管理框架。各金融机构亦不断提高风险意识,将信息安全风险纳入本机构的全面风险管理框架,普遍建立专职部门和队伍,开展安全设施建设、风险评估、应急演练和专项治理,持续改进运维监控流程与手段,健全内部协同工作机制和外部应急协调机制,建立了本机构重要网络与信息系统安全保障体系。金融业机构可结合《网络安全法》的实施,按照其中在网络安全支持、网络运行安全、网络信息安全、网络安全事件方面所规定的职责主体,清晰界定本机构网络安全保障体系各个层面主体责任,更为清晰地界定在网络安全预警、保护、检测、响应、恢复阶段的外部衔接主体和流程。

二、落实关键制度,加强行业应用相关办法、规划、标准等设计

   在《网络安全法》中,明确了一系列与行业应用密切相关的制度安排,金融业机构应落实制度要求,并结合行业、机构实际加强配套办法、规章制度、规划和标准设计。

  (一)网络运行安全方面。一是《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。包括金融业在内的各应用行业要结合云计算、大数据、人工智能等技术应用后新建系统特点和多年测评整改发现的问题落实等级保护备案、等级测评、安全建设整改工作。二是第三十一条规定,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏,丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护的基础上,实行重点保障。包括金融行业在内的各重要行业和领域需编制、实施本行业关键基础设施安全防护能力提升计划,明确行业、机构加强关键信息基础设施的具体措施。三是第三十五条规定,关键信息基础设施的运营者采购的网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。第三十六条规定,关键信息基础设施的运营者采购网络产品和服务,应按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。在金融行业层面,须组织实施产品和服务的安全审查工作;在金融机构层面,须明确提请安全审查的服务、产品和实施规程,此外,严格落实与提供者签订保密协议,确保产品和服务提供者履行安全保密义务。四是第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的数据应当在境内存储。对于金融行业来说,个人金融有关数据亦应明确中国境内经营的金融机构对于个人金融信息等重要数据存储在境内。

   (二)网络信息安全方面。一是按照第四十条到第四十五条的有关规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则、明示收集、使用信息的目的、方式和范围,并经被收集者同意。有关金融机构须依法收集、存储、使用个人在网络空间上传输的金融信息,并对于出售或违规提供个人金融信息的行为予以限制。同时,也对个人信用信息的收集和保护提供了法律保障。二是第四十九条规定,“网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报”,有关金融机构亦可建立网络金融信息安全的投诉和举报机制,保障广大公众个人金融信息权益。

   (三)监测预警与应急处置方面。一是《网络安全法》第五十二条规定,负责关键信息基础设施安全保护工作的部门应当建立健全本行业、本领域的网络安全预警和信息通报制度,并按照规定报送网络安全监测预警信息。二是第五十三条规定,负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。金融业机构也要进一步加强运用技术手段实现行业信息共享和情景态势感知,加强跨部门、跨行业应急演练,做好监测预警与应急处置工作。

三、紧跟金融科技发展趋势,加强新兴技术与金融融合发展及其在法律实施方面的研究

   随着移动互联网、大数据、云计算、区块链等新一代信息技术与金融行业融合,技术带来了金融业务模式、应用、流程、产品的创新,对金融市场、金融机构、金融服务的提供方式产生重大影响。《网络安全法》第三条规定,鼓励网络技术创新和应用,支持、培养网络安全人才,建立健全网络安全保障体系,提高网络安全防护能力。金融业机构应进一步跟踪信息技术与金融融合发展的发展趋势和演进方向,分析由此带来的风险。金融业自身存在高风险性、强关联性和内在脆弱性等特点,信息技术与金融融合发展使得金融风险特征和表现形式发生深刻变化。例如,随着大数据战略的实施,金融行业数据呈爆发式增长,成为国家基础性战略资源,数据的开放程度和共享程度加深,对数据防泄漏、容灾机制、信息资产管理提出更高要求。平台类信息中介为资金安全、杠杆限制、流动性、消费者权益保护方面提出更大挑战。信息技术催生了分工专业化的经济形态,使传统金融机构组织结构和经营模式发生改变,跨业、跨领域混业经营使得机构之间横向业务合作、股权交叉投资越来越多。区块链技术从比特币向资产登记、金融交易、征信等方面应用不断加深,近期的勒索病毒以比特币作为赎金支付条件,引起各界对金融科技典型模式下,分布式数据库安全风险防范、个人信息保护、资金流向追溯等的法律思考,因此,应以《网络安全法》实施为契机,不断加强新技术与金融融合发展及其在法律实施方面的研究。



主办单位:国家信息中心 京ICP备05063309号 技术支持:中国经济信息网

地址:北京市西城区三里河路58号 邮政编码:100045 电话:010-68557000 传真:010-68533919