中国证监会于2019年2月1日, 颁布了《证券公司交易信息系统外部接入管理暂行规定(征求意见稿)》(简称“《接入规定》”)。《接入规定》是在持续增长的机构投资者和其所带来的交易系统信息化的日益增长的需求的背景下公布的, 其一方面使得采用外部接入交易系统合法化, 另一方面也针对该种连接所带来的风险规定了相当严苛的要求。

一. 《接入规定》总览

立法背景

　　《接入规定》试图平衡外部接入所带来的利益以及其所带来的风险。在传统的证券业务中, 证券公司运营一个交易系统(简称“交易系统”), 其客户在该交易系统上开设账户, 并且下达交易指令, 证券公司从而在该交易系统上执行客户的交易指令。随着机构投资者比例的增加, 就产生了机构投资者的系统(简称“外部系统”)直接与交易系统对接的需求, 使得在外部系统中下达的交易指令能够直接地、自动地传送到交易系统中去。该种交易系统和外部系统之间的外部接入(简称“外部接入”), 在机构投资者持有复杂的投资组合, 以及在外部系统中下达的指令是一系列买和卖的组合的情况下, 是非常有帮助的。在该种情况下, 不再采用传统的手动传送指令的方式, 而是使在外部系统中形成的指令, 能够直接地传送到交易系统。如果机构投资者实行分仓管理, 即当其投资组合被分配给不同的管理人管理的时候, 该种外部接入将变得更为有利。在该种情况下, 每一个管理人都能够独立管理其分仓, 而其指令能够以其服务的机构投资者的名义传送到交易系统。

　　纵然有该些益处, 外部接入也带来了一系列风险, 尤其是无法追踪最终投资者的重大风险。具体而言, 该些风险包括:

　　1. 合规风险, 即机构投资者有可能借助外部接入, 绕过监管, 从事持牌业务。比如, 一个机构投资者能够像证券公司一样让其终端客户直接在其外部系统上开展交易;

　　2. 网络安全风险, 即在外部系统中的潜在技术瑕疵, 可能影响交易系统的总体稳定性、安全性和可靠性;

　　3. 市场风险, 即在外部系统中发生的透支和配资可能逾越监管范围, 进而放大市场风险。2015年的股灾就是一个典型的例子, 当时, 用于外部接入的HOMES系统, 加剧了股票市场的泡沫, 放大了市场风险, 最终导致市场的急剧下跌。

历史回顾

　　《接入规定》如果最终通过, 将成为外部接入方面的第一部行政规章, 然而, 其并不是第一份有关外部接入的政府通知。早在2015年股灾发生时, 证监会就下发了《关于加强证券公司信息系统外部接入管理的通知》(证监办发201535号)以及《关于清理整顿违法从事证券业务活动的意见》(证监办公告201519号)的文件。前者要求证券公司自审其有关外部接入的安排, 而后者要求证券公司采取相应措施, 制止未经许可利用外部接入从事证券交易活动。可见, 这两份通知是针对股灾的应急方法, 而并非关于外部接入的系统性规定。与前两份通知不同, 《接入规定》是对接入外部系统方方面面进行规制的行政规章。它既不否认外部系统的实践用途, 也并不鼓励该种使用。《接入规定》相对全面地提出了证券公司接入外部系统的条件和规则。

二. 接入外部系统的准入条件

　　《接入规定》从以下两个方面设定了外部接入的准入条件: 一是, 允许设置外部接入的证券公司的资质, 二是, 外部系统获准接入交易系统的机构投资者的资质。

证券公司的资质

　　根据《接入规定》, 只有那些具有良好记录的证券公司才被允许向证监会登记开展外部接入。具体而言, 符合要求的证券公司必须满足以下两组条件之一:

　　第一组条件:

　　(1) 最近三年分类结果中至少有两年在A级或以上级别;

　　(2) 信息系统运行安全、稳健, 最近一年内未频繁发生信息安全事件或重大以上级别的安全事件;

　　(3) 建立完善和清晰的IT管理政策和操作规范;

　　(4) 配备充足的合规管理和风险管理以及信息技术管理人员;

　　(5) 具备外部接入风险识别、监测和防范能力。

　　或

　　第二组条件:

　　(1) 近三年分类结果中至少有一年在A级或以上级别;

　　(2) 近一年经纪业务交易手续费净收入中特殊法人机构(定义见下文)占比超过百分之五十;

　　(3) 近三年信息技术投入考核值平均排名位于行业前二十名;

　　(4) 满足上述第一组条件中的(2)到(5)。

　　上述第二组条件中的(2)中: 《接入规定》并没有对“特殊法人机构”作出定义, 该词通常被证交所用于指称证券公司、信托公司、保险公司、基金公司、社保基金组织、合格外国机构投资者以及其他根据法律法规规定需要开展分仓管理的机构投资者。因而, 原则上, 《接入规定》在总体上允许证券公司向那些具有实际需要的金融机构提供外部接入。

机构投资者的资质

　　一般而言, 根据《接入规定》, 证券公司只允许向具有实际需要和良好接入的机构投资者提供外部接入。下述机构投资者被认为是具有外部接入需求的投资者:

　　(1) 有关监管当局批准设立的金融机构, 包括证券公司、期货公司、基金公司及其下属机构、商业银行、保险公司、信托公司、财务公司、证券公司的下属机构、期货公司的下属机构、及在有关行业协会登记的私募基金管理人;

　　(2) 社会保险基金、退休基金、慈善团体、合格境外机构投资者和人民币合格境外机构投资者。

　　外部系统允许接入交易系统的私募基金管理人必须满足以下条件:

　　(1) 投资于证券市场;

　　(2) 最新一年末管理产品的规模不低于五亿元;

　　(3) 有关产品应当经中国证券投资基金业协会备案。此外, 如果其他机构投资者希望接入证券公司的交易系统, 其应当通过该证券公司向证监会提出申请, 证监会将对具体申请做出评估。

　　《接入规定》同时排除了向一些不具有良好记录的机构投资者提供外部接入。这些机构投资者通常具有负面记录, 包括:

　　(1) 近三年发生证券期货市场场外配资、非法经营、非法集资等违法违规活动的;

　　(2) 将交易系统转让、出借给第三方使用或给第三方提供接入服务的;

　　(3) 被纳入投资者失信名单的。

三. 外部接入的安全和合规义务

　　为了减小由外部接入所导致的网络安全风险和市场风险, 《接入规定》要求证券公司采取事前和事中的一系列措施。

接入前的安全和合规义务

　　一般而言, 证券公司被要求就机构投资者和其自身开展尽职调查和风险分析, 以确保外部接入的风险是可控的。证券公司被要求遵循“了解其客户”原则, 通过问卷、文件审阅和现场走访等方式, 在向机构投资者提供外部接入前就机构投资者以及其对交易系统的使用开展尽职调查。证券公司应当知晓和核实以下信息:

　　(1)投资者基本信息。包括财务状况、资金来源、近三年的合法经营状况;

　　(2)外部系统的相关信息。包括其架构、功能设计、交易数据处理流程、数据留存机制、网络拓扑、物理部署以及终端信息等;

　　(3)有关机构投资者产品的信息。包括管理模式、账户信息、产品结构、权限分配、风险控制等;

　　(4)外部系统实际使用人身份信息和使用地点等。

　　证券公司也应当审视自身对外部接入风险的管理能力, 包括合规风险、网络风险、数据安全风险、操作风险和商业风险等。证券公司的合规管理、风险管理、信息技术管理和相关业务管理的主管人员应当就向机构投资者提供外部接入的相关风险提供书面意见。证券公司也被要求在仿真条件下开展系统测试, 以解决在测试中发现的任何问题。

　　此外, 证券公司还被要求与机构投资者就提供外部接入签订协议。该协议应至少包含以下内容:

　　(1)禁止机构投资者将外部系统转让、出借或允许第三方使用;

　　(2)禁止出借账户或违法从事证券期货业务活动;

　　(3)要求机构投资者配合证券公司的尽职调查和审计, 并且就该尽职调查和审计向证券公司提供必要的信息;

　　(4)要求机构投资者完整和准确地记录外部系统的使用情况, 并且妥善留存操作日志和终端信息, 以及, 应证券公司的合理要求, 将该些日志和信息提供给证券公司;

　　(5)证券公司有权在发生重大异常, 可能影响证券市场秩序、损害其他投资者合法权益时, 采取限制接入、暂停接入、终止接入等措施;

　　(6)机构投资者有义务配合证监会及其授权组织的审计。

持续性安全和合规义务

　　外部接入实施之后, 证券公司应当采取一系列措施保护网络安全, 并防范外部接入的滥用。

　　首先, 证券公司应当持续了解其客户, 并且每六个月对投资者尽职调查情况进行现场回访, 回访记录应书面留存。同时, 如果尽职调查相关信息发生重大变化, 应当重新评估合规和其他可能的风险。

　　第二, 证券公司应当实时监控交易系统, 并且在发现外部接入存在非正常操作时采取适当的措施。

　　第三, 证券公司应当针对非正常交易、系统故障及与外部系统的中断制定应急预案, 并就该预案进行定期演练。

　　第四, 证券公司应当就外部接入妥善保管运行日志, 从而满足证监会的审计要求; 同时, 证券公司应当定期审查机构投资者对外部系统的管理, 并且向管理和使用外部系统的人员提供培训, 包括合规风险和风险控制方面的内容。

　　最后, 非常重要地, 当发生以下事件时, 证券公司应当对该些事件进行调查, 必要时应当限制或者中断外部接入:

　　(1)外部系统发生变化可能导致严重风险隐患或者导致合规、风控、安全等方面不符合接入条件;

　　(2)发生明显不正常交易可能影响市场秩序;

　　(3)机构投资者委托交易的频率和流量影响证券公司交易系统运行或其他投资者合法权益;

　　(4)外部系统的终端信息发生频繁变化, 或未向证券公司报告的变化。

四. 结论

　　《接入规定》向公众征求意见, 是证券公司直面外部接入有关问题的一个正面信号。一方面, 由于外部系统的投资终端不能直接被证券公司所核实, 外部接入可能引发合规和网络安全方面的风险, 这在2015年的股灾中就有所体现。另一方面, 外部系统却有很多用途, 其能帮助机构投资者实现分仓管理和风险控制。总之, 使用外部接入是一个替代传统指令传达模式的有效手段, 也是更加经济可靠的手段。

　　为实施外部接入, 证券公司被要求关注合规风险和网络安全风险, 并采取措施控制该种风险。其不可对外部接入的滥用视而不见, 而必须监控外部接入的使用状况。因而, 对证券公司而言, 非常重要的是, 其必须建立控制外部接入有关风险的制度, 并且通过管理和与机构投资者签订合同的手段实施该等制度。

　　2019年3月25日发布于微信公众号“通力律师”