故障持续超10分钟属于较大事件
2022年5月份,证监会机构部下发了《机构监管情况通报》,针对近期发生的多起信息系统安全事件案例进行了专门通报。
分析近一年来信息系统安全事件后,证监会分析认为,事件主要类型及反映出的问题有以下五个方面:
其一是个别公司合规内控管理不到位,系统升级改造过程中存在薄弱环节;
其二是主体责任意识不强、履行不力,未清晰、准确、完整掌握外部供应商提供软件的系统架构;
其三,运维人员操作规范性不足,未能建立有效的权限管理及复核机制;
其四,监管通报指出,当前移动APP开发管理存在短板,已成为信息系统安全事件易发领域;
其五,安全管理存在漏洞,应对外部网络攻击或爬虫程序访问等网络防护能力仍需提升。
证监会陆续发布完善一系列政策规定,完善细化工作流程,切实做好投资者保护工作。2021年6月4日,证监会发布了《证券期货业网络安全事件报告与调查处理办法》(下称"《处理办法》"),结合信息系统类别和信息系统服务能力异常,提出了统一的网络安全事件分级方法,完善了网络安全事件报告流程。
根据《处理办法》,当集中竞价交易系统以外的实时交易系统出现严重异常,且故障持续时间30分钟以上的属于重大事件;若故障持续时间10分钟以上的属于较大事件。
信息系统发生故障,可能构成网络安全事件的,应当立即报告。可能构成特别重大、重大网络安全事件的,应当每隔30分钟至少上报一次事件处置情况,直至信息系统恢复正常运行;对较大和一般网络安全事件,第一次上报后,无须持续上报事件处置情况;如有重要情况应当立即报告。同花顺去年被罚,就是因为交易异常情况未及时上报并反馈处置情况。
投资者损失谁来承担?
交易系统的安全和稳定是券商的生命线,投资者通过交易系统下达买卖指令,即便是1分钟的宕机,也可能给投资者造成损失。
对此,河南泽槿律师事务所主任付建表示,交易系统的开发和运营应当保证用户的正常使用,并且制定相关的应急处理方案。在面临突发情况时,可以最大限度地保障用户的财产利益。交易软件崩溃说明存在管理不到位问题,但对于投资者而言,造成损失却很难得到赔偿,因为如果向法院起诉,投资者很难证明因为系统故障无法完成交易而造成了财产利益的损失。
据中国基金报2022年5月23日报道,北京寻真律师事务所律师王德怡向记者表示,券商向客户提供App是一种服务行为,与投资者之间构成服务合同关系。如果在相同的时间段,其他券商的App没有发生技术故障,而某一券商的App发生宕机事件,则从逻辑上可以推定这个券商的App存在较大的软件缺陷,系服务达不到标准或要求,应当承担相应的违约责任,赔偿投资者因此而产生的经济损失。从诚实信用的商业原则来讲,券商也应该主动向客户认错,并给予客户实际的赔偿。
不过,王德怡也提到,在实践操作中,投资者维权并不容易,存在两大难点:
首先,投资者由于App宕机造成的损失在法律上没有具体明确的计算标准。对某一证券产品的买入卖出,与投资者是否能获利之间没有必然的联系。在具体的案件当中,法庭可以酌情判决券商承担一定的赔偿责任;
其次,这种服务类的合同中,券商通常会在格式条款当中对于技术故障声明免责,或设定赔偿的上限。如果没有明确的合同条款,就应该由法官根据每个投资者的具体情况酌情判定。
他还强调,这种宕机事件给投资者造成经济损失是客观存在的,有权利应必有救济。但是单个投资者提起索赔成本太高,可能得不偿失。未来制度设计中,可以考虑引进代表人诉讼制度,通过个案确定赔偿规则。
