2015年3月13日,中国证券业协会为保障网上证券信息系统的安全、可靠、高效运行,促进证券公司网上开展证券业务的健康有序发展,修订发布了《证券公司网上证券信息系统技术指引》,明确规定“证券公司不得向第三方运营的客户端提供网上证券服务端与证券交易相关的接口。证券交易指令必须在证券公司自主控制的系统内全程处理。”
(具体解读可打开我另一篇专题文章 :证券业协会不让同花顺、支付宝等第三方进行证券交易了?!http://bbs.pinggu.org/thread-3621070-1-1.html)
继此《指引》之后,2015年6月12日中国证监会又下发了《证券公司外部接入信息系统评估认证规范》,对有关信息系统提供证券交易接入的情况提出了全面和详细的规范要求,新闻发言人邓舸表示,证监会再次重申,各证券公司不得通过网上证券交易接口为任何机构和个人开展场外配资活动、非法证券业务提供便利。
《规范》可以说是《指引》的2.0版本,对需要严格管理的接入机构和类型解释的说法更周密,明确禁止证券公司为第三方机构的系统提供经纪业务的接入便利,同时加强证券公司自身内部安全管理,要求报送外部接入系统的评估认证资料并定期自查。
什么是外部接入信息系统?
外部接入信息系统按我的理解,是指在证券公司内部网络以外,使用互联网、专线等通讯手段接入证券公司信息系统进行业务操作的网上交易、手机交易等软件。
【解 读】
1、明令禁止不合规、未经认证的系统接入,规范市场资金和渠道。严格禁止第三方机构运营证券经纪业务的同时,注意,不仅仅是针对配资软件(如恒生HOMS系统),同时也包括了目前一些互联网金融创新的理财软件,对于目前一些证券公司与软件运营机构合作的情况也在此规范的范畴内,互联网证券的一些做法也需要按此规范来进行认证。这是监管层在处理配资问题中,能够跳出局部看整体的表现,将有关接入交易的安全管理整体纳入评估认证范围。
2、对不合理的交易接入定义更准确,对市场参与各方能够清楚的知道界限。《规范》提出第三方接入的更专业和技术说法:“任何其他主体不得对交易指令进行发起、接收、转发、修改、落地保存或截留”, “必须全部在证券公司自主可控的系统内”才行。这就不用多啰嗦了,反正只要是客户数据有流存证券公司之外的其他机构,那就不行。这个定义比较清晰明了,无论是软件商、互联网企业,都可以自己对号入座。
3、《规范》的亮点之一(算利好):向证券公司信息系统提供外部接入的信息技术服务机构等相关方应当是协会会员,接受协会的自律管理。
首先,对证券公司方面有一定利好。虽然还不知道协会将来对设计证券信息系统的信息技术服务机构审核会员的标准,但这毕竟是实施软件企业跨入证券行业准入制的一步, 这是证券公司方面期待已久的事情,已经发生过太多次信息安全事故,是因为系统开发商方面的设计缺陷缘故导致系统故障,但总是证券公司背负了主要责任。将恒生、金证、同花顺等信息技术服务机构纳入监管体系,接受证券行业的管理,才能够提高信息技术服务机构的参与和责任,更好的通过内部管理为软件开发维护方面提供可靠的保障,才能避免这类服务机构因自身实力问题无力应对市场规则业务变化或应对不力,而给证券公司软件系统带来重大故障,危害投资者利益。
其次,对恒生电子、金证股份、同花顺、通达信等涉足证券行业多年的大牌开发商来说是利好。虽然,本规定为有意涉足证券业务的信息技术服务机构也打开了一扇门,通过公开、合法、合规的渠道为广大券商、投资者提供多样化的投资理财服务。但,毕竟实力无法与以上机构匹敌,这个会员的审批条件也许就会直接屏蔽掉一些有创新动力和想法、但风控能力不足的机构。可是,其实我还是更希望有些新鲜血液能够参与竞争,搅活证券信息系统的市场。
然后,信息技术服务机构纳入行业管理,投资者也可以获得券商定制软件之外更丰富的、也更安全有保障的投资使用体验。
4、《规范》的亮点之二(对特殊投资机构提供合法途径):客户自行开发、购买、租用的信息系统,与证券公司签署协议、符合安全规范的可以用。这条规定,对与具备开发实力、投资实力的投资管理类公司、私募机构等客户类型,开放了使用非证券公司系统的权限,也为一些创新类金融软件提供了通过大客户实现与券商合作的另类途径。
5、对证券公司的网上、手机交易系统细化管理。在中国股市屡屡上涨的过程,多次发生了证券公司网上、手机系统无法登陆交易的信息安全事件,并见诸网络各大媒体。监管机构也存在要求证券公司加强有关信息系统建设、提高系统强壮性和冗余性的想法,本《规范》中要求证券公司对现有的外部接入信息系统全面申报评估认证,也可以从这个角度上是有希望证券公司加强现有系统的运维保障的意思。
综上几点,我认为本次《规范》的出台,是证券监管机构在认真思考和研究之后推出的一个更具备实操性、可行性的制度,充分体现出监管层的思路,对资本市场发展管理就如治水一样,要以疏导为主,而不是哪里漏水哪里堵,也表现出监管层的成熟,能够超越就事论事的层面,真正从互联网证券的长远健康发展来考虑。
附规范正文:
证券公司外部接入信息系统评估认证规范
为进一步加强证券公司信息系统外部接入的风险管理,维护证券公司信息系统安全、稳定运行,有效防范风险,保护投资者合法权益,切实维护市场秩序,根据《证券期货业信息安全保障管理办法》(证监会令第82号)、《证券公司融资融券管理暂行办法》(证监会公告[2011]31号)、《关于加强证券公司信息系统外部接入管理的通知》(证监办发[2015]35号)和《证券公司网上证券信息系统技术指引》(中证协发[2015]8号)等有关规定,制定本规范。
一、证券公司使用外部接入信息系统,证券交易指令必须在证券公司自主控制的系统内全程处理,即从客户端发出的交易指令处理应仅在发起交易的投资者与证券公司之间进行,其间任何其他主体不得对交易指令进行发起、接收、转发、修改、落地保存或截留。
证券公司应加强客户端交易指令监控,如发现交易指令被第三方接收、转发等,应及时采取措施进行整改。
证券公司不得直接或间接支持信息技术服务机构等相关方利用外部接入信息系统开展证券经纪业务。
二、证券公司需要使用外部接入信息系统,应当经中国证券业协会(以下简称协会)评估认证。
自本规范下发之日起,证券公司不得接入新的未经评估认证的外部信息系统。
向证券公司信息系统提供外部接入的信息技术服务机构等相关方应当是协会会员,接受协会的自律管理。
三、证券公司使用外部接入信息系统应当在客户端系统准入协议签署一个月内通过场外证券业务报告系统向协会申请评估认证。申请材料包括:
(一)评估认证申请表;
(二)客户端系统准入协议;
(三)拟接入的外部信息系统业务说明书;
(四)使用外部接入信息系统的内部管理制度,包括但不限于内控、风控、投资者保护等;
(五)信息系统安全和合规承诺书;
(六)合规审查意见;
(七)协会要求的其他材料。
证券公司已使用外部接入信息系统的,应当在自查整改完成后报协会评估认证。
四、证券公司使用外部接入信息系统应当符合监管规定,且不得有以下行为:
(一)为信息技术服务机构等相关方从事或变相从事证券经纪业务提供便利;
(二)为信息技术服务机构等相关方建立账户登记体系等登记结算业务提供便利;
(三)规避监管或自律管理;
(四)充当外部接入信息系统的业务通道;
(五)其他法律法规、监管规定和自律规则禁止的行为。
五、证券公司使用外部接入信息系统应当遵守下列要求:
(一)建立健全使用外部接入信息系统的内部管理制度,明确提供外部接入的信息技术服务机构等相关方应当具有的资质条件和筛选标准、系统的信息安全要求、相关合规审查要点、风险管理措施、后续监控检查及问题处理机制;
(二)建立健全外部接入信息系统开展证券业务的审查机制,着重加强对开展相关业务的合规性审查,公司主要负责人和合规总监应当在相关审查文件上签字确认;
(三)具备识别外部接入信息系统合规性的能力,不得接入无法辨别合规性的外部信息系统;
(四)在与相关方签订的协议中明确由相关方承诺不得利用外部接入信息系统从事或变相从事配资活动,并建立相关责任追究机制;
(五)严格执行开户审查制度,强化客户身份识别,对投资者提供的有效身份证明文件原件及其他开户资料的真实性、准确性、完整性进行审核;
(六)做好投资者适当性管理和教育工作,提示投资者证券账户应当本人使用,不得转借他人从事非法证券活动;
(七)加强日常监控,定期或不定期开展检查,了解外部接入信息系统运行和账户管理情况,对可疑账户和可疑交易行为采取有效措施并及时处理。
六、除经国务院及中国证监会批准设立的合法证券交易场所及中国证监会认可的金融机构外,证券公司不得向第三方运营的客户端提供网上证券服务端与证券交易相关的接口。
第三方运营的客户端是指除证券公司、投资者之外,由第三方进行发布、升级等运营管理的客户端,不包括以下情形:
(一)客户端是证券公司与第三方公司签署正式协议购置或租用的,并经证券公司测试和验收后,由证券公司进行发布、升级等运营管理;
(二)客户端是客户自行开发或通过第三方购置、租用,且通过专线、互联网VPN等专用通讯通道接入证券公司的,经证券公司评估系统安全性并正式认可后,由客户自行运行管理或授权证券公司确定的第三方运行管理;
(三)客户端是直连证券公司服务端的通用浏览器。
证券公司应当对上述客户端的合规性负责。
七、证券公司提供客户使用的客户端属于向第三方购置或租用的,应当与第三方签署正式的客户端系统购置或租用协议,并做好客户端测试、验收、变更发布管理等工作,对客户端的安全运行、交易账户合规性、交易操作合规性承担全部责任。
客户端系统购置或租用协议内容包括但不限于:客户端系统信息安全要求,交易账户处理方式、用户交易操作方式、交易指令处理方式等系统功能范围和边界要求,系统监控接口要求,协议各方管理责任等。
八、证券公司应当加强客户自行开发、购置、租用客户端的管理。客户自行开发、购置或租用网上证券客户端以及配套信息系统接入证券公司的,证券公司应采用专线、互联网VPN等专用通讯通道,且与关联方签署正式的客户端系统准入协议,对客户端及配套信息系统的信息安全性、功能合规性(包括但不限于交易账户处理方式、用户交易操作方式、交易指令处理方式)等进行充分评估,并持续做好合规性监控和风控管理。证券公司发现客户端有异常行为,应当采取屏蔽应用系统接入、限制账户交易等必要措施。
客户端及配套信息系统属于客户自行运营管理的,证券公司应与客户签署客户端系统准入协议;客户端及配套系统属于客户委托第三方运营管理的,证券公司应分别与客户、第三方签署客户端系统准入协议。
客户端系统准入协议内容包括但不限于:客户端及配套系统信息安全要求,交易账户处理方式、用户交易操作方式、交易指令处理方式等系统功能范围和边界要求,与交易账户和交易操作合规性监控相关的系统监控接口要求,协议各方管理责任等。
九、证券公司应当建立对外部接入信息系统的自查制度,自查内容包括但不限于:
(一)是否存在接入未经公司合规审查和协会评估认证的外部信息系统情况;
(二)外部接入信息系统开展的业务类型及基本情况;
(三)外部接入信息系统的业务合规性和系统安全性;
(四)外部接入信息系统开展业务的风险类型及隐患;
(五)公司认为必要的其他情况。
证券公司应当每年至少自查一次,形成自查报告并存档备查。自查工作中发现存在风险隐患的,应当制定整改方案,及时整改,并向协会报告。
十、证券公司应当建立健全责任追查和问责机制,对违反本规范的相关人员进行问责。
十一、协会可以对证券公司使用外部接入信息系统运行情况进行执业检查,对违反本规范的证券公司、信息技术服务机构等相关方和相关从业人员采取自律管理措施并按规定计入诚信档案;情节严重的,移送中国证监会及有关部门处理。
十二、本规范自发布之日起实施。
作者:甲乙丙丁
链接:http://www.jianshu.com/p/d6c4ba294f99
來源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。