《每日经济新闻》记者获悉,近期深圳证监局向辖区证券期货基金经营机构下发了《深圳证监局关于扎实做好移动应用软件备案登记和检测认证工作的通知》(以下简称《通知》)。
《通知》显示,为进一步完善各经营机构移动应用软件(以下简称APP)安全管理体系,保护投资者合法权益,做好APP日常管理、备案管理、检测认证等配套工作,深圳证监局提出了相关要求。其中,明确要求各经营机构应于2025年底前完成所有面向投资者APP备案登记和检测认证工作,APP数量众多或情况复杂的经营机构应尽早启动,在今年内完成不少于50%的工作。
今年内完成不少于50%的工作
首先,《通知》提出各经营机构要提高思想认识,压实工作责任。各经营机构APP安全直接关系广大投资者的个人信息保护,是金融工作政治性和人民性的重要体现。因此,《通知》强调各经营机构应高度重视APP备案登记和检测认证工作,保障资源投入,坚决守住经营机构APP安全底线。各经营机构应明确APP安全管理负责人,从APP安全运行、投资者个人信息保护等方面,排查整改风险隐患,切实提升APP安全管理水平,防范化解潜在风险隐患。
其次,《通知》提出各经营机构应制定工作台账,抓好贯彻落实。具体而言,各经营机构应于2025年底前完成所有面向投资者APP备案登记和检测认证工作,APP数量众多或情况复杂的经营机构应尽早启动,在今年内完成不少于50%的工作;鼓励各经营机构提前完成APP备案登记和检测认证工作。
此外,《通知》还进一步表示,各经营机构应制定APP备案登记和检测认证工作计划书和时间表,梳理公司面向投资者的APP数量,根据《证券期货业移动应用软件备案工作指引》,完成所有APP的备案登记,及时开展检测认证,跟进工作进度,形成工作台账;按照时间表安排,扎实推进各阶段工作,确保按时完成备案登记与检测认证工作。
深圳证监局表示,下一步,我局将对辖区证券期货基金经营机构APP安全管理情况开展检查,对于APP存在运行安全、投资者个人信息保护等较大风险事件的,我局将依法追究相关机构和人员的管理责任。
曝光当前行业APP检测认证常见问题
值得注意的是,《通知》还披露了当前行业APP存在一些问题,因而要求各经营机构切实完成整改,守牢安全底线。据悉,当前行业APP检测认证中常见的主要问题有:APP整改后未及时发布导致用户下载的APP版本不合规、服务端日志记录的敏感信息未脱敏、未在外包合同中增加安全标准要求以加强对软件开发商的约束、送检材料有错漏、送检安装包无法安装、测试环境准备时间过长、未能一次性完成整改等。
《通知》表示,检测认证中反映的问题,充分暴露了各经营机构APP存在的风险隐患,若未及时处理将对网络安全及投资者权益保护造成严重影响。各经营机构应加快推进检测认证工作,认真配合检测认证机构,及时完成问题整改。
近年来,虽然证券期货基金行业的数字化转型步伐加快,但在转型过程中也不可避免地暴露出一些网络信息安全管理方面的挑战。据记者不完全统计,今年以来曾违反《证券期货业网络和信息安全管理办法》的券商包括华安证券、国元证券、申万宏源证券和东方证券。
今年2月,安徽证监局指出,华安证券在网络安全管理方面存在不足;紧接着3月,安徽证监局又指出,国元证券未及时对信息系统故障进行应急报告。
今年5月,上海证监局指出,申万宏源证券在2024年3月网信部门监测发现的网络安全事件中存在若干问题,包括针对信息系统相关功能,未进行技术和业务风险的充分评估,亦未制定有效的风险防控措施;投资者个人信息处理、安全防护、审计监督等管理机制存在缺陷,导致个人信息使用过程中发生信息安全问题;针对已发现的信息系统安全漏洞未进行及时整改。
今年7月,上海证监局又指出,东方证券未妥善保存重要信息系统业务日志,不满足故障分析、调查取证等工作需要。