►作者 | 徐延轩律师

2022年5月16日在上午开盘后，多位投资者在社交平台上反映某券商App登录异常，无法进行交易。同在当天，另一券商App也出现异常，直到上午11时左右，其交易系统恢复正常。

接连出现的券商APP异常问题，引发我们对券商网络安全的关注。券商APP故障并非罕见只是未见从法律层面对其进行探讨，因此，徐延轩律师撰写本文进行深入剖析。本文讨论的APP异常是在正常交易日中投资者非错误操作的情况下无法登录，或登录后无法进一步正常使用的情形。

我国的证券市场逐渐成熟，证券市场的参与者越来越多。互联网的接入将证券市场进一步扩大，参与方式也越来越便捷。极大地提高了证券期货市场的交易效率。高效便捷的同时，也将会引发网络系统安全问题。

证券行业的信息系统是实现证券交易业务的核心，一旦系统故障不仅使券商遭受重大损失，也使得投资者利益受损。不仅关系到市场的稳定还牵扯到国家的金融安全。

据《2020-2021年金融行业网络安全研究报告》19%的金融行业遭受过重大事故，2017年证券行业网络报告显示“53%的券商遭受过不同程度的DDOS攻击，其中73%的AA级券商遭受过攻击，平均每天遭受10次DDOS攻击；C级券商没有云资产，使用大量本地服务器资源，对于DDOS攻击的抵御能力较差。”

这两起券商异常的原因目前还没有看到公布，无论人为有意地攻击还是无意的意外，对系统安全和市场的冲击都是不容小觑。

券商服务从传统的柜台服务模式演变为直接可以通过互联网开户和交易模式。手机的普及与发展又使券商的交易从PC端发展到手机端。各大券商都推出自己的APP，供投资者下载使用。看似不起眼的APP却承担着证券交易的各项功能，因此券商APP异常绝对不是一件普通的网络问题。

根据2022年5月中国证券投资者保护基金有限公司发布的《证券公司投资者保护状况评价报告》暨《投资者保护状况蓝皮书》披露，“2021年度因交易系统稳定性问题被投诉的证券公司有79家，累计被投诉944次”，“投资者反映的问题来看，主要有页面无法访问，交易信息显示错误、无法及时成交或撤单、无法正常登录等情况”

从网络渠道查询获知，券商APP异常并非罕见只是未见从法律层面对其进行探讨。

一、券商APP异常的法律性质

证监会在2021年6月4日颁布了《证券期货业网络安全事件报告与调查处理办法》，该文件的效力属于部门规范性文件。

根据《证券期货业网络安事件报告与调查处理办法》，“第二条　证券期货业网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对证券期货业网络和信息系统或者数据造成影响，发生网络和信息系统服务能力异常或者数据损毁、泄露，对国家金融安全、社会秩序、投资者合法权益造成损害的事件。”根据该规定不论是人为原因还是其他软硬件缺陷导致的信息系统服务能力异常都归属于证券期货网络安全事件。

《网络安全法》也对网络安全事件做了相应的规定，但却没有对网络安全事件进行定义。参照《证券期货业网络安事件报告与调查处理办法》特别规定，笔者认为券商的APP无法正常登录，或登录后出现无法正常使用的情形应属于网络和信息系统服务能力异常，显然属于证券期货网络安全事件。

二、证券期货网络安全事件的分类分级

1.分类

《证券期货业网络安事件报告与调查处理办法》将信息系统按照对国家金融安全、社会秩序、投资者合法权益的损害程度从高到低分为五类系统、四类系统、三类系统、二类系统和一类系统。

2.异常程度

根据服务能力异常程度，网络和信息系统服务能力异常分为严重异常、中度异常、轻度异常。

严重异常，是指网络和信息系统发生故障，服务能力异常80％以上的情形；中度异常，是指网络和信息系统发生故障，服务能力异常30％以上且未构成严重异常的情形；轻度异常，是指网络和信息系统发生故障，服务能力异常但未构成严重异常、中度异常的情形。

具体服务能力需要通过异常能力计算方法进行计算。

3.分级

综合考虑网络和信息系统类别、服务能力异常程度、事件持续时间、数据损毁程度、结算金额差错数额、直接资金损失以及对国家金融安全、社会秩序、投资者合法权益造成损害的程度，网络安全事件分为特别重大事件、重大事件、较大事件、一般事件。

三、券商APP异常的安全事件判断

根据典型系统划分，经营机构“近20个交易日日均活跃用户不足100万的具有账户开立、银证银期转账、信息查看功能等各类非交易业务办理功能的系统”，“官方网站”就属于一类系统。

结合券商APP的用户界面，一般都具有账户开立、信息查看等功能，那么券商APP最低也应该属于一类系统。如果是近20个交易日日均活跃用户100万的实时交易系统及相关的行情系统那么则属于四类系统。

假设券商APP被认定属于四类系统，四类系统服务能力严重异常（故障、服务能力异常80%以上的情形）且时间持续时间30分钟以上，就属于特别重大事件。四类系统服务能力严重异常且故障持续时间10分钟以上，或者服务能力中度异常且故障持续时间30分钟以上，或者服务能力轻度异常且故障持续时间2小时以上的就属于较大事件。

另外还可以根据结算金额差错和给投资者造成损失的金额来判断事件的大小。给投资者造成直接资金损失1亿元人民币以上的属于重大事件，给投资者造成直接资金损失达到1000万元人民币以上的属于较大事件，给投资者造成直接资金损失1000万元人民币以下的属于一般事件。

券商的APP应先判断属于哪一类系统？进一步计算服务能力异常达到什么程度，统计投资者损失有多少。在上述基础上综合判断券商APP异常属于哪一级的安全事件。

四、构成证券期货网络安全事件的后果

1、报告

网络和信息系统发生故障，都有可能构成网络安全事件。构成网络安全事件的应当立即报告。可能构成特别重大、重大网络安全事件的，应当每隔30分钟至少上报一次事件处置情况，直至系统恢复正常运行。

网络安全事件报告应填写网络事件报告书，详细报告事件发生时间、地点、简要经过、影响范围初步评估、影响程度初步评估、影响人数初步评估、经济损失初步评估、后果初步判断、原因初步判断等与事件有关的信息。

同时根据《网络安全法》“第五十五条　发生网络安全事件，应当立即启动网络安全事件应急预案，对网络安全事件进行调查和评估，要求网络运营者采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息。”

2、接受调查

中国证监会及其派出机构会对经营机构的网络安全事件进行调查处理。券商有义务配合相关部门的调查。

3、处罚

根据《证券期货业信息安全保障管理办法》第十二条“核心机构和经营机构应当设置合理的网络结构，划分安全区域，各安全区域之间应当进行有效隔离，并具有防范、监控和阻断来自内外部网络攻击破坏的能力。”

第十三条：“核心机构和经营机构应当建立符合业务要求的信息系统。信息系统应当具有合理的架构，足够的性能、容量、可靠性、扩展性和安全性，能够支持业务的运行和发展。”

对于违反规定的，中国证监会可以视情节，依法对其采取责令改正、监管谈话、出具警示函、公开谴责、责令定期报告、责令处分有关人员、撤销任职资格、暂停或者限制证券期货经营业务活动等措施；情节严重的，给予警告、罚款。

《证券期货业网络安全事件报告与调查处理办法》“中国证监会及其派出机构依照有关法律、行政法规和规章，对事件相关机构及其负责人员采取监督管理措施或者实施行政处罚。事件相关机构应当对相关责任人员进行内部责任追究。”

《网络安全法 》第七十二条“国家机关政务网络的运营者不履行本法规定的网络安全保护义务的，由其上级机关或者有关机关责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。”

四、券商系统故障投资者能否提起民事赔偿？

依据北大法宝披露的“上海市黄浦区人民法院（2009）黄民二（商）初字第4944号”，“上海市第二中级人民法院（2010）沪二中民六（商）终字第116号（2010年9月29日）”两份判决书显示：

周某在国信证券股份有限公司上海北京东路证券营业部处开户进行股票买卖。2007年2月1日凌晨2:01:06至2:14:54，其通过电话外线委托方式预埋了21笔卖出委托参与当天集合竞价，欲卖出北京城建、华泰股份、中华企业、新华百货、鹏博士、长江电力和工商银行7只股票。

国信证券股份有限公司上海北京东路证券营业部于当日9:15:09将周某预埋的委托向上海证券交易所进行申报，其中，申报成功19笔，9:15:11申报2笔撤单。当天上午，周某账户9:21:22至9:23:36有4笔买入委托，9:30至11:30共有8笔卖出委托，均未成交。后周某发现其股票被无故撤单，即与被告交涉。次日，北京城建、中华企业等股票暴跌。

国信证券股份有限公司上海北京东路证券营业部称，2007年2月1日上午，因公司报盘机通讯问题，造成部分客户的委托重复写入了交易所接口库，对客户被重复写入的卖出委托，当客户在开盘后对该笔股份继续进行卖出委托的时候，交易所都会因有过重复写入并标识“股份余额不足”给予拒绝。

法院是基于周某的平时的交易情况和当时的股票行情走势等因素综合分析酌情支持了周某的损失2000元。

另外网络披露一起因券商系统故障导致索赔的案例原告撤诉而终结。

目前来说，因为券商系统故障或者券商APP异常造成投资者损失之间的因果关系难以判断以及投资者举证难度问题，都会造成投资者索赔困难的难题。

五、结语

券商系统频繁异常对于券商的警示来说，不仅首先关系着投资者权益保护的问题，还关系到自身的法律责任问题。从网络安全与数据保护法律角度提出以下的合规建议。

1、牢固树立网络安全意识。2018年中央网络安全和信息化委员会办公室、中国证券监督管理委员会关于印发《关于推动资本市场服务网络强国建设的指导意见》“保障国家网络安全和金融安全。加强监管，完善网络安全风险防控体系，引导网信企业在利用资本市场发展过程中加强网络安全管理，规范和强化网信企业信息披露，加强互联网上资本市场违法信息监测和处置，推动网信企业规范发展。”  

要将网络安全意识深入到日常经营和管理的多层面和多角度。不能忽视任何一款软件或APP项下的网络安全问题。

2、严格遵守《网络安全法》，《数据安全法》建立健全网络数据合规体系，遵守网络安全义务。制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全责任保护责任。采取防范算机病毒和网络攻击等技术措施。

3、严格遵守《证券期货业信息安全保障管理办法》的规定。建立持续性保障要求。例如保证稳定的信息技术经费投入、配备足够的技术人员。系统的新建、升级进行充分论证和测试。

在产品以及采购服务过程中，涉及证券期货交易、行情、开户、结算等软件产品或者技术服务的采购合同，应当约定供应商须接受中国证监会及其派出机构的信息安全延伸检查。

4、在功能界面里或在《用户协议》、《隐私政策》中对用户进行充分的告知和提醒。（例如：国联证券的免责条款）

免责条款是否必然能免除券商的法律责任，还值得商榷。但券商一旦被证实和确定在运营和维护APP时存在过错或者遭受监管部门行政处罚。投资者再以被监管机构处罚的事实作为证据提起民事诉讼索赔就有可能被法院支持。

参考资料：

1、《招商、华西两券商APP宕机背后：券业在信息技术上砸了多少钱？》https://finance.sina.com.cn/stock/quanshang/qsyj/2022-05-17/doc-imcwiwst7747498.shtml

2、《券商系统故障导致索赔超3000万？券商回应：对方早已撤诉！》

http://stock.jrj.com.cn/2019/07/03001627788517.shtml

3、《证券公司投资者保护状况评价报告》

 作者简介

徐延轩律师

电话：13616146818

电子邮箱：xyx-213@163.com

苏州大学法学学士，北京京师（上海）律师事务所合伙人律师，北京市互联网协会金盾调解中心在线调解员。

在企业治理、合同、合伙等领域的有着丰富的经验。在网络安全与数据合规，个人隐私保护、隐私政策制定，企业数据合规方面有着丰富的实践经验和理论研究。长期接受《新京报》 《IT时报》 《界面新闻》等多家新闻媒体的专访。

特别声明：

以上所刊登的文章仅代表作者本人观点，不代表北京市京师（上海）律师事务所或其律师出具的任何形式之法律意见或建议，如有侵权，请联系后台删除。

End

招贤纳士中，有意请联系北京市京师（上海）律师事务所浦康宁15501239310、唐晓梦13918338969，投递简历请发送hr-shanghai@jingsh.com、tangxiaomeng@jingsh.com。

  推荐阅读 

| 疫情期间社区团购法律风险全剖析 | 首期“京金百炼”研讨会分享①

| 团长责任与涉疫情典型案件剖析 | 首期“京金百炼”研讨会分享②

| 注册资本认缴制下，股东出资应否加速到期？

TEL: 021-66109999

WEB: www.jingsh.com

ADDRESS: 上海市静安区恒丰路299号