一、案例简介
2024年4月19日,中国证券监督管理委员会四川监管局(以下简称“四川监管局”)发布了行政处罚决定书〔2024〕1号1 ,对成都华羿恒信基金销售有限公司(以下简称“华羿恒信”)未建立灾难备份系统的违法行为进行了处罚。华羿恒信自2014年1月13日获得证券投资基金销售业务资格以来,一直未建立灾难备份系统,违反了中华人民共和国证券投资基金法(以下简称“《基金法》”)第一百零七条的规定。根据《基金法》第一百四十四条的规定,四川监管局对华羿恒信处以三十万元罚款,并责令停止基金服务业务。
二、法律法规及监管要求
灾难备份系统是保障基金销售业务连续性和数据安全性的重要措施之一。《基金法》明确规定基金服务机构应建立灾难备份系统;相关法规及指导意见则对基金销售机构建立灾备系统提出更为具体地要求和实操标准,例如制定应急预案、定期组织演练、建立本地、同城和异地数据备份设施、保证备份数据有效性验证的频率、要求备份系统与生产系统具备同等的处理能力、保持备份数据与原始数据的一致性等。
关于基金销售机构建立灾备系统有关的法律法规及监管要求,我们整理如下:
不仅是基金销售机构被要求建立健全灾备系统,理财产品销售机构从事理财产品销售业务活动,也应当持续具备完善的防火墙、入侵检测、数据加密以及灾难恢复等信息安全管理体系和设施2 ;《中国人民银行业务领域数据安全管理办法(征求意见稿)》对关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理与法律责任等方面也提出了要求,鼓励数据处理者针对需要进一步容灾备份的数据,采取独立于信息系统灾难备份体系以外的备份技术措施3。
三、风险提示
监管已不止一次关注到灾难备份系统的违法行为,除了今年四川监管局对华羿恒信处以罚款,并责令停止基金服务业务外,机构监管情况通报《2019年第7期 总第44期 证券公司信息安全事件案例》中曾指出“灾备系统性能不足,应急处置受到制约”的合规问题:2018年12月,兴业证券数据中心网络设备发生故障,导致相关信息系统无法响应。切换至同城灾备系统后,由于灾备系统性能不足,出现数据库并发压力大、中间件待处理请求积压等情况,当事机构被迫采用主动关闭部分类型接入站点、逐步启用等方式缓解系统压力。该起信息安全事件反映出当事机构重要信息系统容量管理及备份能力建设不到位、灾备系统与生产系统的处理能力不匹配、不能有效承接客户集中访问压力,在应急处置过程中,上述因素进一步影响当事机构决策切换至灾备系统的及时性。
更有此前的“光大证券乌龙指案件”也直指交易系统安全。该案件因光大证券的自营的策略交易系统存在程序调用错误,额度控制失效等设计缺陷,并被连锁触发,导致生成巨量市价委托订单,沪深300、上证综指等大盘指数和多只权重股短时间大幅波动;同时,光大证券及其事件相关人员在考虑对冲风险、调剂头寸,降低可能产生的结算风险时,采取了错误的处理方案。中国证监会将此事件定性为内幕交易与信息误导、内控缺失,法院也支持了部分投资者因光大证券异常交易事件而造成的赔偿请求4。
由此可见,基金销售机构应配有灾备系统,并时刻为确保信息系统正常运作而做好准备。提示基金管理人注意,在日常的法律文件审阅工作上,可避免将“系统故障、设备故障、通讯故障、停电、网络病毒、黑客攻击等突发事故情况”约定列为不可抗力情形或免责项。该情形因其违反上述监管要求的规定,实际上并不能对基金销售机构对投资者彻底免责。
四、结语
本文梳理了公募基金销售机构信息系统灾难备份相关的法律法规和合规指引,涵盖监管对灾备系统的要求及缺失灾备系统的罚则规定,通过监管案例提醒各基金管理人、基金销售机构重视灾备系统建设,定期排查信息系统安全,牢牢守住安全底线,严防技术事故,全力维护资本市场安全稳定运行。
-----------------------------------------
脚注:
1 中国证券监督管理委员会四川监管局行政处罚决定书〔2024〕1号http://www.csrc.gov.cn/sichuan/c104900/c7475725/content.shtml
2 《理财公司理财产品销售管理暂行办法》
第七条 理财产品销售机构从事理财产品销售业务活动,应当持续具备下列条件:
(四)具备完善的防火墙、入侵检测、数据加密以及灾难恢复等信息安全管理体系和设施;
3 中国人民银行关于《中国人民银行业务领域数据安全管理办法(征求意见稿)》公开征求意见的通知http://www.pbc.gov.cn/tiaofasi/144941/144979/3941920/4993510/index.html
4中国证监会关于光大证券自营交易异常情况的通报http://www.csrc.gov.cn/csrc/c100028/c1002265/content.shtml
往期回顾
