证券期货业信息安全保障管理办法
中国证券监督管理委员会
中国证券监督管理委员会令第82号
《证券期货业信息安全保障管理办法》已经2012年8月23日中国证券监督管理委员会第22次主席办公会议审议通过,现予公布,自2012年11月1日起施行。
中国证券监督管理委员会主席:郭树清
2012年9月24日
附件:《证券期货业信息安全保障管理办法》.doc
证券期货业信息安全保障管理办法
第一章 总则
第一条 为了保障证券期货信息系统安全运行,加强证券期货业信息安全管理工作,促进证券期货市场稳定健康发展,保护投资者合法权益,根据《证券法》、《证券投资基金法》、《期货交易管理条例》及信息安全保障相关的法律、行政法规,制定本办法。
第二条 证券期货业信息安全保障、管理、监督等工作适用本办法。
第三条 证券期货业信息安全保障工作实行“谁运行、谁负责,谁使用、谁负责”、安全优先、保障发展的原则。
第四条 证券期货业信息安全保障的责任主体应当执行国家信息安全相关法律、行政法规和行业相关技术管理规定、技术规则、技术指引和技术标准,开展信息安全工作,保护投资者交易安全和数据安全,并对本机构信息系统安全运行承担责任。
前款所称责任主体,包括承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构(以下简称核心机构),证券公司、期货公司、基金管理公司、证券期货服务机构等证券期货经营机构(以下简称经营机构)。
第五条 开展证券客户交易结算资金第三方存管业务,银证、银期、银基转账和结算业务,基金托管和销售业务的机构应当按照有关规定保障相关业务系统的安全运行。
第六条 为证券期货业提供软硬件产品或者技术服务的供应商(以下简称供应商),应当保证所提供的软硬件产品或者技术服务符合国家及证券期货业信息安全相关的技术管理规定、技术规则、技术指引和技术标准。
第七条 中国证监会支持、协助国家信息安全管理部门组织实施信息安全相关法律、行政法规,依法对证券期货业信息安全保障工作实施监督管理。
中国证监会派出机构按照授权履行监督管理职责。
第八条 中国证监会及其派出机构与国家信息安全管理部门、相关行业管理部门建立信息安全协调机制,与国家有关专业安全机构和标准化组织建立信息安全合作机制。
第九条 证券、期货、证券投资基金等行业协会(以下简称证券期货行业协会)依照本办法的规定,对会员的信息安全工作实行自律管理。
第十条 核心机构依照本办法的规定,对市场相关主体关联信息系统的安全保障工作进行督促、指导。
第二章 基本要求
第十一条 核心机构和经营机构应当具有合格的基础设施。机房、电力、空调、消防、通信等基础设施的建设符合行业信息安全管理的有关规定。
第十二条 核心机构和经营机构应当设置合理的网络结构,划分安全区域,各安全区域之间应当进行有效隔离,并具有防范、监控和阻断来自内外部网络攻击破坏的能力。
第十三条 核心机构和经营机构应当建立符合业务要求的信息系统。信息系统应当具有合理的架构,足够的性能、容量、可靠性、扩展性和安全性,能够支持业务的运行和发展。
第十四条 核心机构应当对交易、行情、开户、结算、风控、通信等重要信息系统具有自主开发能力,拥有执行程序和源代码并安全可靠存放,在重要信息系统上线前对执行程序和源代码进行严格的审查和测试。
第十五条 核心机构和经营机构应当具有防范木马、病毒等恶意代码的能力,防止恶意代码对信息系统造成破坏,防止信息泄露或者被篡改。
第十六条 核心机构和经营机构应当建立完善的信息技术治理架构,明确信息技术决策、管理、执行和内部监督的权责机制。
第十七条 核心机构和经营机构应当建立完善的信息技术管理制度和操作规程,并严格执行。
第十八条 核心机构应当制定本机构与市场相关主体信息系统安全互联的技术规则,并报中国证监会备案。
核心机构依法督促市场相关主体执行技术规则。
第十九条 核心机构应当提供多种互为备份的远程接入方式,保证市场相关主体安全接入,并对市场相关主体的远程接入进行监控与管理。
第三章 持续保障要求
第二十条 核心机构和经营机构应当保障充足、稳定的信息技术经费投入,配备足够的信息技术人员。
第二十一条 核心机构和经营机构应当根据行业规划和本机构发展战略,制定信息化与信息安全发展规划,满足业务发展和信息安全管理的需要。
第二十二条 核心机构和经营机构开展信息系统新建、升级、变更、换代等建设项目,应当进行充分论证和测试。
第二十三条 核心机构交易、行情、开户、结算、通信等重要信息系统上线或者进行重大升级变更时,应当组织市场相关主体进行联网测试,并按规定进行报告。
第二十四条 核心机构和经营机构应当规范开展信息技术基础设施和重要信息系统的运行维护,保障系统安全稳定运行。
第二十五条 核心机构应当指导市场相关主体正确运行维护与本机构互联的系统和通信设施。
第二十六条 核心机构和经营机构应当建立数据备份设施,并按照规定在同城和异地保存备份数据。
第二十七条 核心机构和经营机构应当建立重要信息系统的故障备份设施和灾难备份设施,保证业务活动连续。
第二十八条 核心机构和经营机构应当按照规定向中国证监会指定的证券期货业数据中心报送数据。报送的数据必须真实、完整、准确、及时。
证券期货业数据中心应当按照中国证监会的有关规定开展行业数据的集中保存工作,确保数据的安全、完整、可靠。
第二十九条 核心机构负责建设和运营行业信息技术公共基础设施。
第三十条 核心机构和经营机构应当加强信息安全保密管理,保障投资者信息安全。
第三十一条 核心机构和经营机构应当建立网络与信息安全风险检测、监测、评估和预警机制,发现风险隐患应当及时处置,并按照规定进行报告。
第三十二条 核心机构和经营机构应当建立信息安全应急处置机制,及时处置突发信息安全事件,尽快恢复信息系统的正常运行,并按照规定进行报告,不得迟报、漏报、瞒报。
核心机构和经营机构应当对信息安全事件进行内部调查、责任追究和采取整改措施,并配合中国证监会及其派出机构对事件进行调查处理。
与核心机构和经营机构发生信息安全事件相关的软硬件产品或者技术服务供应商,应当配合相关调查工作。
第三十三条 核心机构应当每年组织市场相关主体进行一次信息安全应急演练,并于实施前15个工作日向中国证监会报告。
第三十四条 核心机构和经营机构应当对信息技术人员进行培训,确保其具有履行岗位职责的能力。
第三十五条 核心机构和经营机构应当建立信息安全内部审计制度,定期开展内部审计,对发现的问题进行整改。
第四章 产品及服务采购要求
第三十六条 核心机构和经营机构应当建立供应商管理制度,定期对供应商的资质、专业经验、产品和服务的质量进行了解和评估。
第三十七条 核心机构和经营机构在采购软硬件产品或者技术服务时,应当与供应商签订合同和保密协议,并在合同和保密协议中明确约定信息安全和保密的权利和义务。
涉及证券期货交易、行情、开户、结算等软件产品或者技术服务的采购合同,应当约定供应商须接受中国证监会及其派出机构的信息安全延伸检查。
第三十八条 核心机构和经营机构采购的软硬件产品或者技术服务应当满足审慎经营和风险管理的要求。软硬件产品或者技术服务不符合要求,影响核心机构和经营机构持续经营的,中国证监会有权要求核心机构和经营机构予以改进或者更换。
第五章 行业自律
第三十九条 证券期货行业协会应当制定信息技术指引,督促、引导会员执行国家和行业信息安全相关规定和技术标准。
第四十条 证券期货行业协会应当引导行业加强信息技术人才队伍建设,定期组织信息技术培训和交流,提高信息技术人员执业素质。
第四十一条 证券期货行业协会应当引导鼓励行业信息技术研究与创新,增强自主可控能力,组织开展科技奖励,促进行业科技进步。
第四十二条 证券期货行业协会应当引导供应商规范参与行业信息化与信息安全工作,促进市场公平竞争,促进供应商与市场相关主体共同发展。
第六章 监督管理
第四十三条 中国证监会建立统一组织、分级负责的信息安全监督管理体制。
中国证监会信息安全管理部门负责证券期货业信息安全工作的组织、协调和指导;相关业务监管部门依照职责范围对核心机构和经营机构的信息安全进行监督、检查;派出机构根据授权对辖区内经营机构的信息安全进行监督、检查。
第四十四条 中国证监会依法组织制定证券期货业信息安全管理规定和技术标准。
第四十五条 中国证监会及其派出机构依照职责范围,对核心机构和经营机构进行信息安全检查或者委托国家、行业有关专业安全机构进行安全检查。核心机构和经营机构应当配合检查。
核心机构和经营机构的信息安全管理不能达到规定要求的,中国证监会及其派出机构责令其限期改正,改正前可以暂停或者限制其部分或者全部证券期货经营业务活动。
第四十六条 中国证监会及其派出机构可以要求核心机构和经营机构提供信息安全相关资料。
核心机构和经营机构应当及时、准确、完整地提供相关资料。
第四十七条 中国证监会组织制定证券期货业信息安全应急预案,督促、指导行业开展信息安全应急工作。
第四十八条 中国证监会有权对核心机构、经营机构的信息安全事件进行调查处理。
对于损害投资者合法权益或者影响证券期货市场安全稳定运行的信息安全事件,中国证监会依法对相关单位采取监督管理措施或者行政处罚。
第四十九条 中国证监会对发现的系统漏洞、安全隐患、产品缺陷进行全行业通报。
第五十条 核心机构和经营机构违反本办法规定,中国证监会可以视情节,依法对其采取责令改正、监管谈话、出具警示函、公开谴责、责令定期报告、责令处分有关人员、撤销任职资格、暂停或者限制证券期货经营业务活动等措施;情节严重的,给予警告、罚款。
第七章 附 则
第五十一条 本办法自2012年11月1日起施行。《证券期货业信息安全保障管理暂行办法》(证监信息字〔2005〕5号)同时废止。
竞价排名是在网络交易平台之外争议比较突出的电子商务领域,其本质属于网络搜索引擎服务,但与传统自然排名的网络搜索服务不同。在自然排名搜索服务下,搜索引擎服务商事先设定了逻辑运算规则,在用户输入关键词后,根据与用户输入的关键词关联性最强、匹配最高的顺序排列显示搜索结果;竞价排名则不同,购买竞价排名服务的商家在搜索引擎服务商系统中输入其想购买的关键词及其愿意为每一次点击支付的价格,用户输入关键词后,是按照购买关键词出价从高到低显示购买该关键词商家的链接。可见,竞价排名具有有偿性、选择性特点,是全新的商业模式。竞价排名在给搜索引擎服务商带来巨大利润时,也带来商标侵权及不正当竞争的纷争。
购买关键词的商家商标侵权法律责任
1.购买他人商标作为关键词是否构成商标侵权 商家购买他人商标作为关键词的表现方式有两种,一是商家购买他人商标作为关键词,但在用户输入关键词后出现的搜索界面上,显示购买关键词的商家信息并不包括其购买的商标,因为关键词的购买涉及网站的元标识;二是显示购买关键词商家的内容本身就包括他人商标。对于第二种情况争议较小,因根据显示内容对他人商标的使用情况,就个案判断其构成商标侵权的可能性很大。第一种情况较复杂,因为商家仅是在用户看不到的网络背景下设置了关键词,对这种行为是否可以认为商家的行为构成商标侵权,存在不同的看法,争论的核心在于以购买关键词的方式对他人商标使用是否构成“商标性使用”以及是否会造成消费者混淆。传统的商标侵权理论认为,对于“商标性使用”必须是将商标以外在的、可见的方式用于商品的标示、宣传或者其他商业活动。从这个意义上讲,购买他人商标作为搜索关键词似乎不应当被认定为“商标性使用”。然而,技术及商业模式的新发展可能需要我们对传统理论有新的认识,当用户输入关键词而得到该商家或其产品介绍时,是否属于利用该商标对产品进行宣传的一种方式?换言之,如果把“商标性使用”理解为“利用商标进行宣传”,那么利用他人商标作为关键词自我宣传是否本身就构成“商标性使用”?实践已经提出甚至要求我们这么理解。对于是否构成混淆,现阶段“售前混淆”在我国尚无明确的法律依据,但根据传统的售中混淆视角,利用他人商标作为关键词并不当然不会对消费者产生混淆,在用户输入某关键词而得到该商家或其产品介绍时,完全可能使用户对于该商家或其产品与关键词所代表的商标之间的关系产生混淆,由此行为可能会建立两者直接的关系。这应根据具体案情予以分析而非可以脱离具体案情一刀切的问题。
2.购买他人商标作为关键词是否属于不正当竞争 即使认为购买他人商标作为关键词使用不构成“商标性使用”或者不会造成消费者混淆,并不意味着该行为不应受到不正当竞争法的规制。事实上此问题可以用更简单的思路来考虑:商家购买竞价排名的服务,必然意味着这种排名对其具有商业上的意义或价值,而该种价值是通过购买与其并无直接关系甚至存在竞争关系的他人商标来实现,这本身就构成了不诚信行为。因此,在“售前混淆”理论尚缺乏明确的法律依据,论证该等行为构成商标侵权存在障碍的情况下,仍然可以适用不正当竞争法律规范予以规制。
搜索引擎服务商法律地位辨析
对于网络搜索服务商的法律地位,争论最大的在于其是否属于广告发布者,是否认为竞价排名属于一种新型的广告。实践中很多商标权人起诉搜索服务提供商,是以广告发布者的事由提出。由此可见,对于搜索引擎服务商法律地位的不同认识,尤其是对其是否属于广告发布者的不同认识,导致了其是否对搜索信息负有注意义务的不同认定,进而将直接导致对其法律责任的不同认定。
笔者认为,对于竞价排名电子商务中搜索引擎服务商法律地位的界定,无论从竞价排名的实际操作还是法律上分析也许都不那么简单:从竞价排名的实际操作上,竞价排名确定的先后顺序本身应认为并不具有广告的性质,但竞价排名除了以价格高低确定链接的先后顺序外,在竞价排名的结果页面上还会出现部分相应商家或者产品的介绍,这部分内容具有很明显的广告性质;从法律上,是否将搜索引擎服务商界定为广告发布者,在本质上仍然取决于法律对于现实利益的平衡,这涉及对于现阶段是否需要发展以及如何发展搜索引擎服务的态度。如果将搜索引擎服务商界定为广告发布者,则必然结果是要求其对广告内容进行审查,由此是否会给搜索引擎服务商带来太重的负担而使竞价排名业务根本无法继续,也严重影响该项服务的提供。在侵权责任法颁布之后,对于搜索引擎服务商的地位应被界定为网络服务提供商;但对于类似“推广内容”的运营方式,仍然存在是否将其纳入广告法规制的必要,如要求搜索引擎服务商对于搜索结果界面上能够体现的内容承担审查责任。
搜索引擎服务商商标侵权法律责任
如果将搜索引擎服务商的法律地位界定为网络服务提供商,则对其可以适用侵权责任法,包括避风港原则和间接侵权理论。笔者认为,其中仍有部分问题值得注意:首先是侵权责任法对间接侵权网络服务提供者主观“明知”的理解。即如何解释侵权责任法中的“知道”,尤其是该用语是否仍对网络服务提供者施加了主观注意义务,对于确定网络服务提供者是否应当承担侵权责任具有重大影响。其次,关于网络服务商间接侵权与直接侵权的关系。对于知识产权间接侵权是否必须以直接侵权为前提,理论界存在着争论,但更多人认为间接侵权以直接侵权为前提。
这里,允许某一主体购买他人商标作为搜索关键词,是否属于对他人商标的一种销售行为?这一问题并不被人关注,因为竞价排名的实际操作过程是商家首先提出希望购买的关键词,然后由搜索引擎服务商进行审查,搜索引擎服务商在这一过程中是被动的,其并不是主动销售他人商标作为关键词,因此绝大多数的讨论都集中在其审查的注意义务及标准上。但主动与被动只是一个问题的两面,商标法明确将销售伪造、擅自制造的他人注册商标作为单独的侵权行为,在这种情况下,其销售的伪造或擅自制造注册商标是否被用于其他的商标侵权行为在所不问。这种规制方式是否也可以适用于竞价排名领域,即不论关键词购买者是否最终构成商标侵权,搜索引擎服务商允许将他人商标作为关键词,或者说同意商家购买他人商标作为关键词是否构成独立的侵权行为?当然这里必须涉及对搜索引擎服务商主观注意义务及其程度的讨论,在商标法规定的上述传统商标侵权行为中,该行为是主动的,其行为的主观状态是故意,而对于搜索引擎服务商是被动的。但作者认为这在很大程度上只是一个程度问题,并不是一个是非问题。事实上,现有关于搜索引擎服务商侵权责任的讨论中,已经有很多关于搜索引擎服务商应该对知名商标承担注意义务的论述,只是基于间接侵权以直接侵权为前提的传统认识,这些讨论的内容都集中在已经构成直接侵权的情况下搜索引擎服务商的间接责任,但这些讨论也完全可以适用于搜索引擎服务商应否承担独立责任的探讨。
在竞价排名电子商务中对商标保护到何种程度涉及很多复杂的因素,商标权保护从单纯的消费者保护到更多商标权人保护的理念转变,与“售前混淆”理论的探讨一样,在竞价排名领域,是否可以确定搜索引擎服务商对允许以他人知名商标作为关键词的行为承担单独的侵权责任,笔者认为是一个很值得考虑的问题。至于“知名”的标准,可以参考“红旗标准”,将传统的“红旗理论”中他人侵权行为如飘扬的红旗般明显更替为他人商标的知名性如飘扬的红旗般明显。
(作者系陕西省西安市中级人民法院法官、香港城市大学博士研究生)