吉林省人民政府关于印发《吉林省粮食风险基金实施办法》的通知
作者:法律资料网 时间:2024-06-24 03:14:51 浏览:9636
来源:法律资料网
下载地址: 点击此处下载
吉林省人民政府关于印发《吉林省粮食风险基金实施办法》的通知
吉林省人民政府关于印发《吉林省粮食风险基金实施办法》的通知
吉林省人民政府
通知
各市、州、县人民政府,省政府各委办厅局、各直属机构:
省政府同意省财政厅、物价局、粮食厅制定的《吉林省粮食风险基金实施办法》,现印发给你们,请结合实际,按照执行。
吉林省粮食风险基金实施办法
第一条 为了稳定粮食市场,防止粮食价格大幅度波动,保护生产者和消费者利益,促进粮食生产稳定增长和粮食流通体制改革,根据《国务院关于印发〈粮食风险基金实施意见〉的通知》(国发〔1994〕31号)规定,制定本办法。
第二条 粮食风险基金是各级政府用于平抑粮食市场价格,维护粮食正常流通秩序,实施经济调控的专项资金。
第三条 从1994年粮食年度起,建立省级粮食风险基金;市、州、县粮食风险基金从1995年1月1日起开始建立。
第四条 粮食风险基金用于各级政府为平抑粮食市场价格吞吐粮食发生的利息、费用和价差支出。原来由扶贫经费、社会优抚救济经费等开支的事项仍由原资金渠道解决,不得挤占粮食风险基金。
第五条 省级粮食风险基金的资金来源由中央补贴和省级财政预算安排构成。
第六条 各市、州、县应组织财政、粮食、物价等部门认真测算,按照第四条用途要求测算地方粮食风险基金规模,报省政府审定。省政府根据各地测算的规模,确定各地粮食风险基金的最低规模。市、州、县粮食风险基金的资金来源除省补贴外,还应由地方政府筹集一部分。
第七条 粮食风险基金的调度使用权属同级人民政府。粮食风险基金由同级财政部门会同有关部门在中国农业发展银行设专户管理。省级粮食风险基金由省财政厅会同省粮食厅、物价局负责管理,市、州、县粮食风险基金由各地财政局会同粮食局、物价局负责管理。
第八条 粮食风险基金列入同级财政预算,每年的预算安排不得低于省确定的最低规模。财政部门在编制预算时,应将当年安排的地方粮食风险基金纳入预算;在预算执行中,地方粮食风险基金的拨付应摆在优先位置;当年结余的粮食风险基金结转到下年滚动使用。具体财务处理办法
由省财政厅制定下达。
第九条 政府采取吞吐粮食的办法实施对粮食市场价格的宏观调控。当粮食市场价格低于国家规定的收购价格时,政府委托国有粮食部门按照国家规定的收购价格敞开收购农民交售的粮食,粮食企业本着“保本微利”的原则进行经营。经营这部分粮食所需利息,费用由粮食风险基金代
垫,粮食销售后,粮食部门必须如数归还代垫的资金。当粮食销售价格过高时,政府委托国有粮食部门抛售粮食,使过高的销售价格回落到合理的水平,一旦抛售价格低于成本价格,价差部分由粮食风险基金支付。
第十条 省政府对粮食市场价格进行宏观调控所发生的价差支出,由省级粮食风险基金解决;市、州、县政府自定政策,对粮食市场进行调控所发生的价差支出,由地方粮食风险基金支付。
第十一条 粮食风险基金需经财政与粮食、物价部门协商,提出使用意见,报同级政府批准后方可动用。
第十二条 各地应把建立粮食风险基金制度同加快粮食流通体制改革有机结合起来。粮食风险基金只用于企业执行政府的政策性职能所发生的利息、费用和价差支出,不得用于粮食企业正常的经营性活动。
第十三条 各市、州、县可根据本办法制定本地区粮食风险基金的具体实施细则,并报省财政厅、粮食厅、物价局备案。
第十四条 本办法自发布之日起执行,由省财政厅负责解释。省内过去规定凡与本办法相抵触的,一律按本办法执行。
1995年1月1日
下载地址: 点击此处下载
一般而言,人民法院在审判工作践行群众路线是司法人民性的体现,当司法切实贴近群众,为群众所观察;切实依靠群众,为群众所理解;切实维护群众,为群众所认同,人民法院的司法公信力也就“自发性生成”。然而,在复杂的司法实践面前,司法理想主义永远面临不可思议的问题。涉诉矛盾纠纷、涉诉信访不断增加,网络舆论的集体性指责,几乎是每个基层法院都不得不应对的压力。我们相信,落实好群众路线是提高司法公信力的根本路径,这是宏观的结论,但肯定在中微观的操作层面上还有我们没有注意到的东西,否则,就不会出现当审判人员劳心劳力,甚至事无巨细地审理每一起案件时,而当事人不领情,“出力不讨好”的情形。笔者认为,群众路线要求司法具有包容性、开放性,只要群众的需要就是司法的需要;而就司法本质而言,司法需要必要的理性的限度,有所为有所不为,当司法不加节制地把所有矛盾纠纷都纳入自己的处理范围时,就会出现有心无力的疲软状态,大大降低司法效率和司法质量,进而影响司法的公信力。
一、对司法的再认识:为什么司法需要限度?
依法治国是我国的基本方略,“法治”成为当下社会管理体制创新中的核心概念之一。我们在接受法治科教育时,对法治的基本理解是:法律至上,任何人或组织都不能凌驾于法律,任何违法行为都要受到法律的制裁。法学者们也把“司法是维护社会公平正义的最后一道防线”作为法治的最高圭臬而引进来,鼓励法律实务者负起“铁肩担道义”的社会责任。但是,司法应该无所不在吗,司法应该是万能的吗?即使是当今最完备的法治国家里,恐怕也不能得出这样的结论,正所谓“上帝的归上帝,凯撒的对凯撒”,司法只是社会管理方式之一,而非惟一,只是比较规范,而非全能规则。
当我们对司法有了如上比较客观的认识,才能更全面地认识法院工作在化解社会矛盾纠纷中的位置和作用:法院是化解社会矛盾纠纷的主要机关之一,但不是惟一机关;法院是化解社会矛盾纠纷的主要实践者之一,但不是万能裁决者;法院能够依法受理各种矛盾纠纷,但并不是所有矛盾纠纷在法院都能依法得出清晰的结论。
所以,司法是有限度的。这种限度首先来自对司法规律的科学认识。司法的前提在于有法可依,法院面对每一件纠纷时,必须对其进行法律事实的归纳,然后对照法律规定得出结论。即使是所谓的自由裁量、内心确认等情形,也是建立在对事实的全面把握、对法律精神的深刻理解这样基础之上的。[1]问题是,①是否所有的行为规范都必须上升到法律层面?人类社会行为是极其复杂的,立法机关对各种行为的归类和规范,永远只能是一部分。这就是法律的不全面性。实际上,法律的不全面性并非立法机关立法技术差、立法水平低所造成,这种不全面的立法恰恰是对法治本质的尊重,即法律不是万能的。从人类社会发展的历史看,真正的法治也不过一两百年而已。那么,在没有“法治”的社会制度里,人类文明不是也得到长足的发展吗?由此,我们肯定,除了法律,还有过多的非法律层面的规则在约束着人们的行为。②法律规定是否是最正确的?法律条文的规定一般包括事实假设和法律结论两个部分,即对特定的法律事实表明司法态度。我们知道,这里的法律事实是一种要件事实,并非真实存在的事实。审判人员的工作之一就是从真实存在的事实中抽取要件事实,然后才能得出法律结论。要件事实的抽取或归纳,是完全客观的吗?实际上,不论审判人员意识到如否,其在抽取要件事实时,总会有一种主观价值判断在里面,造成要件事实和客观事实可能存在一定差距。对于当事人来讲,总喜欢在细枝末节上讨价还价,埋怨审判人员没有考虑一些他们自认为很重要的事实因素。所以,当我们依据归纳出的要件事实而逻辑地作出司法裁判时,得出的也只是对某类纠纷的一般看法而已,是否是与该具体纠纷最切合的结论,还不能轻易判断。当我们强调在司法过程中考虑群众的看法和感受时,初衷也在于此。
司法资源紧张、司法成本高也是应该坚持司法限度的重要原因。案多人少是近年来一直困扰基层法院的难题,这实际反映:①社会矛盾纠纷增加迅速,但化解社会矛盾纠纷的机制没有得到相应的完善。前面提到,法院是化解社会矛盾纠纷的主要实践者之一,这是法院的职责和社会责任,我们义不容辞。但是,法院不是“全能冠军”,不是任何矛盾纠纷在法院都能得到圆满解决。建设法治社会,也不是建设“法院治理下的社会”。而令人沮丧的是,许多应能够在其他组织下解决的纠纷,特别是貌似民事案件的纠纷,都被以“法治”的名义推到法院,让法院给个说法。比如劳动争议案件,笔者两年来审理的劳动争议案件中,只有一件经过劳动仲裁部门的实体裁决,其余均已超过受理期限等理由不予受理,使所谓的劳动仲裁仅仅成为法院受理的程序性前提。②司法原有的程序性规定不能完全适应人民群众日益增加的化解矛盾、维护权益的需求。法院受理、审理案件必须遵循诉讼法的相关规定,如立案条件、答辩日期、送达方式、庭审程序等等,这些程序的遵循是需要时间的,因此,法院审理案件首先需要保证的是正义,而非效率。[2]不过,尽管法律以维护社会正义为旗帜,法律正义和社会正义还是有一定区别的。简而言之,社会正义是社会成员对正义实现与否的看法;而法律正义则是法律规定的正义。从立法过程看,现代法律的形成主要是民意的集聚,法律正义与社会正义在基本价值取向上应是一致的。不过,正义作为一种价值判断,是建立在事实基础上的,鉴于前面提及的要件事实和客观事实的差异,两种正义有所不同也就不奇怪了。当事人到法院起诉和应诉时,在其内心还有“个别正义”的概念,即认为自己是有理的,法律应该支持自己的“个别正义”。而这一个别正义往往与法律正义、社会正义还有一定差别。正因为对正义本身有不同理解,而司法活动最后只能有一个非此即彼的结论,那种“胜败皆服”的结果是基本不存在的。③小标的纠纷与高成本司法的冲突,加剧了案多人少的矛盾。诉讼法在立案审查方面没有规定权益标的额的限制,只要当事人认为自己的权益受到了损害,有明确的被告,都可以起诉到法院,属于法院受理范围的,法院应当受理。我们知道,司法是高度规范的纠纷处理方式,诉讼的启动,不会因为涉案标的小而在程序上有所减损。换言之,对小标的纠纷的予以诉讼处理的成本并不低于大额标的案件。现实生活中,小标的纠纷在数量上又占有绝对优势,牵涉更多数量群众的利益(而非利益数额大小)。这种情况下,按部就班地走诉讼程序,一方面在化解纠纷方面不经济,效率不高,另一方面可能会影响其他更重大纠纷进入诉讼程序的解决,阻碍了更多社会正义的较快实现。
二、有限度的司法是对群众路线的科学落实
首先要明确的是,坚持司法的限度不是推脱司法职责,而是在尊重司法规律的基础上更好地实现司法目标。人民司法为人民,指出了:①司法权力的属性;②司法服务的对象;③司法的根本立场。而对这三个方面予以落实的根本方法就是走群众路线,把是否维护好、实现好群众的根本利益作为衡量工作质量的根本标准。但是,就人民法院而言,这仅仅是一种政治宣示,没有多少实际操作意义,因为任何一个公权力机关,都应该以此为政治指引。一般而言,走群众路线就是要更加贴近群众的生活、更加聆听群众的声音,坚持群众利益无小事的工作姿态。人民法院作为群众利益的判断者,贴近群众、聆听群众,对于公正司法,提高司法的社会认同度是十分必要的。比如,马锡五审判方式、陈燕萍工作法,都是群众路线在司法实践中的生动落实,得到了人们群众的认可。但是,人民法院在审判实践中走群众路线(根本指向),并不意味着对群众的各种纠纷都不加甄别、事无巨细地全部纳入法院受理范围,惟有有所为有所不为(方式方法),才能实现维护群众整体利益的最大化(根本目标)。
这里的有所为有所不为,就是要坚持好司法的限度:①没有必要把所有矛盾纠纷都纳入到诉讼中,即使法律规定属于法院受案范围。应把那些标的额度小、法律关系清晰的纠纷,协调其他组织,如劳动、工会、工商、人民调解委员会等处理。这与法院自身设立的诉前调解机制还有所不同,诉前调解实际还是法院司法资源的一部分,没有改变法院面对社会矛盾纠纷“一家独撑”的局面。②尊重司法规律,正确区分司法创新与标新立异。面对不断增加的社会矛盾纠纷和多元化的法律需求,人民法院工作需要创新,但是这种创新必须尊重司法的基本规律,不能危害到司法公正,不能动摇司法的公信力,否则只能是标新立异、哗众取宠。人民法院走群众路线,需要法院以更加开放的姿态走向社会,这种开放,在于司法过程的开放以及虚心接受社会各界对司法的监督,此为群众路线的根本。但是,我们不难发现有的法院有舍本取末的现象。③树立司法自信,敢于为群众利益站稳立场。司法的限度不仅仅是不要做什么,更重要的是把限度内的事情做好。当前涉诉矛盾纠纷很多,需要我们认真反思:为什么本来属于其他机关不作为或乱作为的纠纷,最后成了法院“审判不公”的纠纷;为什么法院依法审判的案件,最后成了法院“亏理”的案件;为什么我们以和谐司法为目标处理纠纷,最后却让公众解读为枉法裁判的“河蟹”司法?回到群众路线这一主题上,就需要从维护好群众的根本利益立场出发,敢于依法判案,心底无私天地宽,才能经得起历史的检验、社会的评判。
前面对群众路线与司法限度关系的分析,实际也涉及了司法公信力的问题。所谓司法公信力,就是人民群众对司法权威的认可程度,对司法公正的信任程度。走群众路线是提升司法公信力的根本方法,但是要以坚持理性的司法限度为前提,防止迷失司法的“自我”而适得其反。这里要提出的是:司法公信力是法律方法问题还是法律文化问题?换言之,司法公信力的缺失主要是由于司法产品的质量不高而导致社会公众对司法公正产生合理怀疑,还是当下社会情境下还没有完全确立法律的信仰地位,以致于法律工具主义的盛行?我们看到,随着普法活动的深入,社会公众的法律意识不断增强(?),通过法律途径维护自己的合法权益正不断得到认同。如何理解当前公众的法律意识?
笔者认为,这种意识仅仅是一种对法律的初步了解和认识,而且是选择性认识,即往往从有利于己的角度来表达对法律的理解;一旦自己的理解或主张,得不到法院的认可、支持,就表现出对法律或法院的极大蔑视,甚至通过过激手段发泄自己的不满。笔者对网络上一些有关司法的负面帖子进行了初步梳理:①喊冤型,对自己的案情进行陈述,请求社会公众的舆论支持。这种帖子,如果陈述事实比较全面的话,应该对促进法院提高司法水平有一定督促作用。②斥责型,不讲事实,直接用夸张的语言指责某法院或某法官司法不公。值得注意的是,许多跟贴也不分青红皂白地“灌水”,人为扭曲舆论导向(信任危机成为当下社会心理的主要问题之一),唯恐天下不乱。③攻击型,没有任何理由,直接对法院、法官进行人身攻击或威胁。笔者曾看到一三轮摩托车贴着“某某法院是×××,某某院长是×××”的标语招摇过市,这难道就是中国法治的真实写照吗?当司法职业没有基本的尊严时,何谈建立公信力?这实际反映了这样的问题:①司法信任机制没有得到有效建立,这种机制主要是沟通机制、反馈机制和保护机制。司法活动启动以后,如何与当事人进行有效沟通成为当前司法活动的重要内容,有时候往往由于审判人员不经意的举动或不耐烦的表情,都会刺激当事人敏感的心理;对当事人的疑问或不满如何进行疏导,这里主要指信访问题,不能给少数当事人形成“信访不信法”的习惯;审判人员是公务人员,但也是普通公民,当审判人员受到人格攻击或人身威胁时,应该得到有力的保护。②对司法的依赖与对司法的信仰不成正比。许多行政执法机关或其他组织,在面对人民群众的矛盾纠纷时,不是想如何尽力化解纠纷,而是告诉他们到法院诉讼。有的行政部门领导是如此做群众工作,并认为自己是有法治思想的表现。实际上,这些做法都是以所谓“法治”的名头,把社会矛盾纠纷不加区别地推向法院,使法院从最后一道防线成为第一道防线。一旦法院不能完全解决这些矛盾纠纷时,这些矛盾纠纷就演变成涉诉矛盾纠纷,法院成为矛盾纠纷的一方“当事人”。在基层法院审判一线,法官的巨大职业压力并没有得到有效缓解,许多案件的审理都面临“出力不讨好”的尴尬境地,当审判人员尽心竭力地审结案件后,也许就被当事人一次无中生有的投诉而抹杀了所有辛苦。
总的来说,坚持司法的限度,并不会降低司法适应经济社会发展的活力,相反地,当明确了法院化解社会矛盾纠纷的职责界限后,法院将会把有限的司法资源有效地运用到解决关涉群众根本利益、能够发挥司法专业优势的矛盾纠纷,真正急群众所急,这才是落实群众路线的要义所在。如果法院能够保持必要的司法节制,协调好外部社会管理机制与审判工作的关系,把有限的司法资源用于解决关系大局、关系民生的矛盾纠纷上时,提高司法效率和司法质量,实际就是为提高司法公信力奠定了基础。
实现有限度的司法,当前最要紧的是社会矛盾纠纷化解机制的创新和完善。除了社会基本制度的长远安排外,矛盾纠纷的化解机制应是多元化的、循环型的,以诉调对接机制为基础,着重扩展参与部门和组织的范围,法院不再唱独角戏,通过整合各种社会资源,力求满足不同领域、不同性质矛盾纠纷化解的需要,使“所有的”矛盾纠纷在机制中都能够得到申诉或解决,司法公信力才会不断增强。
--------------------------------------------------------------------------------
中国证券业协会
关于发布《网上基金销售信息系统技术指引》的通知
各基金销售机构:
为保护投资者的合法权益, 促进基金销售业务健康有序发展,保障基金销售机构在互联网上安全可靠地开展基金销售活动,协会组织制定了《网上基金销售信息系统技术指引》,现予发布,请参照执行。
二○○九年十一月二十日
网上基金销售信息系统技术指引
第一章 总则
第一条 为保障网上基金销售信息系统的安全、可靠、高效运行,促进基金销售业务健康有序发展,保护投资者的合法权益,依据《中华人民共和国证券投资基金法》、《证券投资基金销售业务信息管理平台管理规定》等法律法规制定本指引。
第二条 在中华人民共和国境内依法设立的基金销售机构开展网上基金销售业务适用于本指引。
基金销售机构是指依法办理基金份额认购、申购和赎回等业务的基金管理人,以及取得基金代销业务资格的其它机构,包括基金管理公司、商业银行、证券公司、证券投资咨询机构、专业基金销售机构等。
第三条 网上基金销售信息系统是指基金销售机构在网上开展基金销售业务活动中所采用的网络设备、计算机设备、软件及专用通信线路等构成的信息系统,包括网上基金销售系统服务端、客户端和门户网站。
第四条 基金销售机构应采取技术和管理措施,保证网上基金销售系统的安全性、完整性和可用性,并做好系统信息保密工作。
第五条 中国证券业协会对基金销售机构执行本指引的情况进行指导和督促。
第二章 基本要求
第六条 基金销售机构对网上基金销售信息系统应统一规划、集中管理,保证网上基金销售业务安全、有序发展。
第七条 基金销售机构应制定在网上开展基金销售业务的各项安全管理制度,对安全管理目标、安全管理组织、安全人员配备、安全策略、安全措施、安全培训、安全检查、系统建设、运行管理、应急措施、风险控制、安全审计等方面作出规定。
第八条 基金销售机构应将网上开展基金销售业务的风险管理纳入本机构风险控制工作范围,建立健全网上基金销售风险控制管理体系。
第九条 基金销售机构的网上基金销售信息系统应部署在中华人民共和国境内,满足监管部门现场检查要求及中国司法机构调查取证要求。
第十条 基金销售机构应当与投资者签订网上基金或网上金融业务服务协议或合同,明确双方的权利、义务和风险的责任承担,向投资者揭示使用网上基金销售信息系统可能面临的风险、基金销售机构已采取的风险控制措施和客户应采取的风险防范措施。
第十一条 网上基金销售信息系统应具有向投资者提示交易时间区间的功能。交易时间区间应严格遵守监管机构或交易所的相关规定。
第十二条 网上基金销售信息系统应由基金销售机构自主运营、自主管理。如涉及第三方(指除基金销售机构及其客户以外的任何一方),必须与第三方签订保密协议和服务协议,明确责任,采取措施防止通过第三方泄露用户信息。
第十三条 基金销售机构委托或定制开发网上基金销售业务系统,应与软件开发商签订详细的商业合同及保密协议,明确软件开发商应用软件中使用的第三方产品具备合法版权。应要求开发商提供源代码或对源代码实行第三方托管。
第十四条 基金销售机构应建立可靠的运行环境,确保基金销售系统有充足的处理能力、存储容量和通讯带宽,满足业务增长的需要。
第十五条 基金销售机构应对网上基金销售信息系统的各个子系统合理划分安全域,在不同安全域之间进行有效的隔离,保障网上基金销售前台系统与其后台系统在技术上进行有效隔离,门户网站和网上基金销售信息系统进行有效隔离。
第十六条 网上基金销售信息系统各环节必须有可靠的热备或冷备措施,保证整个系统的高可用性。
第十七条 用于网上基金销售信息系统的服务器、操作系统、平台软件等应及时进行补丁和版本升级。升级前需进行严格的系统测试。
第十八条 网上基金销售信息系统应具备2个或2个以上不同运营商的互联网接入,避免在同一运营商的线路接入上出现单点故障和瓶颈。
第十九条 网上基金销售信息系统应部署防火墙、入侵检测系统或入侵防护系统,并定期对安全日志进行检查,以提高网上基金销售信息系统的防护能力。
第三章 门户网站
第二十条 门户网站指基金销售机构建立的实现信息发布、业务咨询、营销推广、客户服务和投资者教育等功能的网站。
第二十一条 基金销售机构门户网站应在当地电信管理局办理ICP备案,同时向当地工商局等有关部门办理网站备案,在网站首页公布ICP备案号,提供客户查询门户网站备案信息的链接。
第二十二条 基金销售机构应采取有效措施监控门户网站防止被篡改。当网站上的页面内容、提供给投资者下载的客户端软件及其他文件被异常修改时,能及时发现并恢复。
第二十三条 门户网站中不得存放与基金交易业务有关的客户资料、交易数据等客户敏感数据。
第二十四条 门户网站中的客户账号及口令,应采用加密方式传输,并最低达到SSL协议128位的加密强度。
第二十五条 基金销售机构应建立对门户网站内容发布的审核、管理和监控机制,对网页内容进行监控,对有害信息进行过滤,防止网站出现不良信息。
第四章 网上基金销售信息系统客户端
第二十六条 网上基金销售信息系统客户端是指基金销售机构提供的,由基金投资人通过互联网、移动通信等非现场方式独自完成业务操作的应用系统。
第二十七条 网上基金销售信息系统客户端应能向客户提示最近一次登录的日期、时间等信息。
第二十八条 网上基金销售信息系统客户端应能在指定 的闲置时间间隔到期后,自动锁定客户端的使用或退出。
第二十九条 网上基金销售信息系统客户端的数据传输应采用国家信息安全机构认可的加密技术和加密强度,并最低达到SSL协议128位的加密强度。
第三十条 网上基金销售信息系统客户端如需与银行等支付系统进行数据通信时,应使用数字加密技术(如数字证书方式)进行严格的数据加密处理防止数据被篡改。
第三十一条 当客户访问网上基金销售信息系统时,未经客户许可,除提高安全性的控件之外,不得以任何方式在客户系统中安装插件。
第三十二条 网上基金销售信息系统应提供可靠的身份验证机制,除采用账号名、口令、验证码的身份认证方式外,还应向客户提供一种以上强度更高的身份认证方式供客户选择使用,如,客户端电脑或手机特征码绑定、软硬件证书、动态口令等认证方式,确认客户的身份和登录的合法性,防止不法分子利用木马等黑客程序窃取客户账号和口令。
第三十三条 基金销售机构为基金客户网上开立基金交易账户时,应当要求基金客户提供身份证明信息,并采取等效实名制的方式核实基金客户身份。
第三十四条 基金销售机构应采取有效技术措施,识别与验证使用网上基金销售业务服务的投资者的真实、有效身份,并应依照与投资者签订的协议对投资者操作权限、资金转移或交易限额等实施有效管理。
第三十五条 网上基金销售信息系统客户端不得在客户本地计算机储存客户账户、口令等重要信息。存储其它信息应当提示客户,本地数据存储只是参考数据,应当以基金销售机构记录数据为最终准确数据。
第三十六条 网上基金销售信息系统客户端应当具有基金客户交易口令复杂度控制和提醒机制,提醒客户定期修改口令;系统自动生成的初始口令,必须有最小生存期限制或强制客户修改,禁止系统自动生成相同口令或弱口令;基金客户口令的修改和取回操作要有日志记录。
第五章 网上基金销售信息系统服务端
第三十七条 网上基金销售信息系统服务端是指基金销售机构通过互联网向客户提供网上基金交易、基金账户信息查询等服务的信息系统,包括互联网接入、安全防护与监控、应用服务、身份认证等相关子系统。
第三十八条 网上基金销售信息系统服务端应能向客户提供可证明服务端自身身份的信息,如提供预留验证信息服务,在客户登录时向客户显示预留的验证信息, 以帮助客户识别仿冒的网上基金信息系统,防止不法分子利用仿冒的网上基金信息系统进行诈骗活动或盗取用户账号、口令等信息。
第三十九条 网上基金销售信息系统应保障对客户的授权不被恶意提升或转授,防止客户访问未经过授权的数据,使用未经授权的功能。
第四十条 基金销售机构开展网上基金销售业务,需要对客户信息和交易信息等使用电子签名或电子认证时,应遵照国家有关法律法规的规定。
网上基金销售信息系统采用的认证授权和加密体系应具备足够的强度和抗攻击能力,并根据网上基金销售业务的安全性需要和信息技术的发展,定期检查,适时调整。
第四十一条 网上基金销售信息系统未经基金销售机构授权不得与第三方进行任何形式的数据交换,并具备经过认证后仅向指定地址发送信息的功能。
第四十二条 网上基金销售机构应保证网上基金数据传输的保密性、完整性、真实性和可稽核性,对网上基金交易的客户信息、交易信息及其他敏感信息进行可靠的加密,不得存在任何中间环节对数据进行加解密处理。
第四十三条 网上基金销售信息系统服务端应能够抵御连续猜测,防止攻击者通过对合法账户进行大规模非法登录请求,导致大量用户账户被异常锁定,正常用户无法登录。
第四十四条 网上基金销售信息系统服务端应对异常情况进行监控,并具有相应报警功能。
第四十五条 网上基金销售信息系统服务端对数据包被篡改、异常重发等情况需具有应对能力。
第四十六条 网上基金销售信息系统服务端应能在指定的闲置操作时间限制到期后,自动终止用户对系统的访问权。
第四十七条 网上基金销售信息系统服务端应能产生、记录并集中存储必要的日志信息,日志信息应至少包含能识别服务请求方身份的内容,如,登录终端的IP地址、MAC地址、手机号码和终端特征码等,并确保数据的可审计性,满足监管部门现场检查要求及司法机构调查取证的要求。
第四十八条 网上基金销售信息系统服务端应能够有效屏蔽系统技术错误信息,不将系统产生的错误信息直接反馈给客户端。
第四十九条 网上基金销售信息系统服务端应能够提供系统运行状况信息(如活动状态、并发在线客户数目、并发会话数目、线程数目、队列长度等)、错误信息、安全警告等。
第五十条 网上基金销售信息系统应具备防范SQL注入、跨站脚本、Session欺骗、拒绝式服务攻击和缓冲区溢出等攻击的能力。
第五十一条 网上基金销售信息系统服务端对于客户口令等数据应当以密文形式存储。
第六章 安全管理
第五十二条 网上基金销售信息系统的开发、测试人员及环境应与运营人员及生产环境分离。开发、测试人员未经授权不得访问、修改非职责范围内的网上基金销售信息系统。
第五十三条 基金销售机构应对网上基金销售信息系统中包括网络安全设备、服务器以及应用系统在内的账户进行严格管理,账户权限应按最小权限原则设置,清除所有冗余、与应用无关的账户,并严格限制各管理员账户的使用,禁止用最高权限账户执行一般操作,尽量避免以最高权限账户运行网上基金销售信息系统服务端应用软件。
第五十四条 系统各级管理用户和口令应由专人负责,在系统允许的情况下,口令长度应在12位(含12位)以上,且含有字符和数字,区分大小写,并定期更改。
第五十五条 基金销售机构应定期进行网上基金销售系统的漏洞扫描和渗透测试工作,及时发现系统中存在的各种安全问题并及时修补。
第五十六条 原则上不允许通过互联网对网上基金销售信息系统(如防火墙、网络设备、服务器等)进行远程管理和日常维护等操作,对网上基金销售信息系统的访问控制应做到:
(一)关闭网上基金销售信息系统所有与业务和维护无关的服务及端口,严格控制防火墙中的权限设置,确保按“最小权限原则”进行设置;
(二)对于网上基金销售信息系统的内部访问,应严格限制访问源;
(三)特殊紧急情况下需要通过互联网进行远程操作时,应通过限制登录IP、使用数字证书或动态口令、全程监控等措施确保安全,并在操作完成后,及时关闭相关端口。
第五十七条 基金销售机构应当确保网上基金销售信息系统服务器采取技术手段防止恶意代码(病毒等)运行、传播。对于防病毒软件,要保证病毒库的及时更新,定期对系统进行全面的病毒扫描。
第五十八条 基金销售机构应采取有效措施对门户网站上提供下载的网上基金客户端软件程序进行保护,客户端软件程序编译封装、形成下载文件后,对其进行严格的病毒扫描和木马检查,并通过专用安全手段传输至网站文件下载服务器。
第五十九条 基金销售机构应对网上基金销售信息系统进行实时监控,建立异常事件的甄别、报警、处理和报告机制。网上基金销售信息系统实时监控范围应包括各种安全设备、网络设备、服务器设备及操作系统、通讯线路状态、数据库、应用软件等。监控内容包括其运行状况、日志内容、安全警告等,应统一记录保存监控信息,保存期至少为6个月。
第六十条 基金销售机构应当妥善保存网上基金销售信息系统关键软件的日志文件,并定期检查、审核记录。
第六十一条 基金销售机构网上销售系统开发、测试中不应当存放来自于生产系统的客户真实数据。
第六十二条 基金销售机构网上基金销售信息系统上线或重大版本升级,应进行安全测试或技术评估。
第六十三条 基金销售机构应建立严格的变更管理流程,对包括网络安全设备、服务器、应用系统等软硬件系统变更实行规范化的变更管理。因系统变更而导致的网上基金销售服务暂停,需提前向投资者公告。
第六十四条 基金销售机构应建立针对网上基金销售信息系统的配置管理制度,完整、真实地记录和反映系统所涉及的软硬件配置及相互影响关系,并保持与实际生产环境同步更新。
第六十五条 基金销售机构应制定网上基金销售信息系统的数据备份计划并落实执行,数据备份应有严格的保管、使用、检查制度。备份数据应包括:系统程序、客户数据、配置参数、系统日志、安全审计数据等信息。
第六十六条 基金销售机构在公司灾备系统和业务连续性计划中应当包括网上基金销售系统。
第六十七条 基金销售机构应建立网上基金销售信息系统应急处置组织体系,并有针对性地制定应急预案,应急预案应纳入基金销售机构的整体应急预案体系内,并按照有关规定进行演练。
第六十八条 基金销售机构应根据网上基金销售信息系统故障的影响和损失情况对应急组织体系和应急预案进行分级管理,并遵循统一领导、快速响应、协调配合、最小损失的原则。
第六十九条 基金销售机构网上基金应急预案应针对电力、通信等基础设施故障、计算机硬件或网络设备故障、操作系统或应用系统故障、操作系统或应用系统漏洞、病毒入侵、恶意攻击、误操作、不可抗力等可能的故障原因制定对应的应急恢复操作流程。
第七十条 基金销售机构销售机构在网上基金销售信息系统发生影响业务正常业务的技术故障时,应立即启动应急预案、尽快恢复交易业务运行,并按有关要求及时上报监管部门。
第七章 附则
第七十一条 本指引自发布之日起施行。
一、对司法的再认识:为什么司法需要限度?
依法治国是我国的基本方略,“法治”成为当下社会管理体制创新中的核心概念之一。我们在接受法治科教育时,对法治的基本理解是:法律至上,任何人或组织都不能凌驾于法律,任何违法行为都要受到法律的制裁。法学者们也把“司法是维护社会公平正义的最后一道防线”作为法治的最高圭臬而引进来,鼓励法律实务者负起“铁肩担道义”的社会责任。但是,司法应该无所不在吗,司法应该是万能的吗?即使是当今最完备的法治国家里,恐怕也不能得出这样的结论,正所谓“上帝的归上帝,凯撒的对凯撒”,司法只是社会管理方式之一,而非惟一,只是比较规范,而非全能规则。
当我们对司法有了如上比较客观的认识,才能更全面地认识法院工作在化解社会矛盾纠纷中的位置和作用:法院是化解社会矛盾纠纷的主要机关之一,但不是惟一机关;法院是化解社会矛盾纠纷的主要实践者之一,但不是万能裁决者;法院能够依法受理各种矛盾纠纷,但并不是所有矛盾纠纷在法院都能依法得出清晰的结论。
所以,司法是有限度的。这种限度首先来自对司法规律的科学认识。司法的前提在于有法可依,法院面对每一件纠纷时,必须对其进行法律事实的归纳,然后对照法律规定得出结论。即使是所谓的自由裁量、内心确认等情形,也是建立在对事实的全面把握、对法律精神的深刻理解这样基础之上的。[1]问题是,①是否所有的行为规范都必须上升到法律层面?人类社会行为是极其复杂的,立法机关对各种行为的归类和规范,永远只能是一部分。这就是法律的不全面性。实际上,法律的不全面性并非立法机关立法技术差、立法水平低所造成,这种不全面的立法恰恰是对法治本质的尊重,即法律不是万能的。从人类社会发展的历史看,真正的法治也不过一两百年而已。那么,在没有“法治”的社会制度里,人类文明不是也得到长足的发展吗?由此,我们肯定,除了法律,还有过多的非法律层面的规则在约束着人们的行为。②法律规定是否是最正确的?法律条文的规定一般包括事实假设和法律结论两个部分,即对特定的法律事实表明司法态度。我们知道,这里的法律事实是一种要件事实,并非真实存在的事实。审判人员的工作之一就是从真实存在的事实中抽取要件事实,然后才能得出法律结论。要件事实的抽取或归纳,是完全客观的吗?实际上,不论审判人员意识到如否,其在抽取要件事实时,总会有一种主观价值判断在里面,造成要件事实和客观事实可能存在一定差距。对于当事人来讲,总喜欢在细枝末节上讨价还价,埋怨审判人员没有考虑一些他们自认为很重要的事实因素。所以,当我们依据归纳出的要件事实而逻辑地作出司法裁判时,得出的也只是对某类纠纷的一般看法而已,是否是与该具体纠纷最切合的结论,还不能轻易判断。当我们强调在司法过程中考虑群众的看法和感受时,初衷也在于此。
司法资源紧张、司法成本高也是应该坚持司法限度的重要原因。案多人少是近年来一直困扰基层法院的难题,这实际反映:①社会矛盾纠纷增加迅速,但化解社会矛盾纠纷的机制没有得到相应的完善。前面提到,法院是化解社会矛盾纠纷的主要实践者之一,这是法院的职责和社会责任,我们义不容辞。但是,法院不是“全能冠军”,不是任何矛盾纠纷在法院都能得到圆满解决。建设法治社会,也不是建设“法院治理下的社会”。而令人沮丧的是,许多应能够在其他组织下解决的纠纷,特别是貌似民事案件的纠纷,都被以“法治”的名义推到法院,让法院给个说法。比如劳动争议案件,笔者两年来审理的劳动争议案件中,只有一件经过劳动仲裁部门的实体裁决,其余均已超过受理期限等理由不予受理,使所谓的劳动仲裁仅仅成为法院受理的程序性前提。②司法原有的程序性规定不能完全适应人民群众日益增加的化解矛盾、维护权益的需求。法院受理、审理案件必须遵循诉讼法的相关规定,如立案条件、答辩日期、送达方式、庭审程序等等,这些程序的遵循是需要时间的,因此,法院审理案件首先需要保证的是正义,而非效率。[2]不过,尽管法律以维护社会正义为旗帜,法律正义和社会正义还是有一定区别的。简而言之,社会正义是社会成员对正义实现与否的看法;而法律正义则是法律规定的正义。从立法过程看,现代法律的形成主要是民意的集聚,法律正义与社会正义在基本价值取向上应是一致的。不过,正义作为一种价值判断,是建立在事实基础上的,鉴于前面提及的要件事实和客观事实的差异,两种正义有所不同也就不奇怪了。当事人到法院起诉和应诉时,在其内心还有“个别正义”的概念,即认为自己是有理的,法律应该支持自己的“个别正义”。而这一个别正义往往与法律正义、社会正义还有一定差别。正因为对正义本身有不同理解,而司法活动最后只能有一个非此即彼的结论,那种“胜败皆服”的结果是基本不存在的。③小标的纠纷与高成本司法的冲突,加剧了案多人少的矛盾。诉讼法在立案审查方面没有规定权益标的额的限制,只要当事人认为自己的权益受到了损害,有明确的被告,都可以起诉到法院,属于法院受理范围的,法院应当受理。我们知道,司法是高度规范的纠纷处理方式,诉讼的启动,不会因为涉案标的小而在程序上有所减损。换言之,对小标的纠纷的予以诉讼处理的成本并不低于大额标的案件。现实生活中,小标的纠纷在数量上又占有绝对优势,牵涉更多数量群众的利益(而非利益数额大小)。这种情况下,按部就班地走诉讼程序,一方面在化解纠纷方面不经济,效率不高,另一方面可能会影响其他更重大纠纷进入诉讼程序的解决,阻碍了更多社会正义的较快实现。
二、有限度的司法是对群众路线的科学落实
首先要明确的是,坚持司法的限度不是推脱司法职责,而是在尊重司法规律的基础上更好地实现司法目标。人民司法为人民,指出了:①司法权力的属性;②司法服务的对象;③司法的根本立场。而对这三个方面予以落实的根本方法就是走群众路线,把是否维护好、实现好群众的根本利益作为衡量工作质量的根本标准。但是,就人民法院而言,这仅仅是一种政治宣示,没有多少实际操作意义,因为任何一个公权力机关,都应该以此为政治指引。一般而言,走群众路线就是要更加贴近群众的生活、更加聆听群众的声音,坚持群众利益无小事的工作姿态。人民法院作为群众利益的判断者,贴近群众、聆听群众,对于公正司法,提高司法的社会认同度是十分必要的。比如,马锡五审判方式、陈燕萍工作法,都是群众路线在司法实践中的生动落实,得到了人们群众的认可。但是,人民法院在审判实践中走群众路线(根本指向),并不意味着对群众的各种纠纷都不加甄别、事无巨细地全部纳入法院受理范围,惟有有所为有所不为(方式方法),才能实现维护群众整体利益的最大化(根本目标)。
这里的有所为有所不为,就是要坚持好司法的限度:①没有必要把所有矛盾纠纷都纳入到诉讼中,即使法律规定属于法院受案范围。应把那些标的额度小、法律关系清晰的纠纷,协调其他组织,如劳动、工会、工商、人民调解委员会等处理。这与法院自身设立的诉前调解机制还有所不同,诉前调解实际还是法院司法资源的一部分,没有改变法院面对社会矛盾纠纷“一家独撑”的局面。②尊重司法规律,正确区分司法创新与标新立异。面对不断增加的社会矛盾纠纷和多元化的法律需求,人民法院工作需要创新,但是这种创新必须尊重司法的基本规律,不能危害到司法公正,不能动摇司法的公信力,否则只能是标新立异、哗众取宠。人民法院走群众路线,需要法院以更加开放的姿态走向社会,这种开放,在于司法过程的开放以及虚心接受社会各界对司法的监督,此为群众路线的根本。但是,我们不难发现有的法院有舍本取末的现象。③树立司法自信,敢于为群众利益站稳立场。司法的限度不仅仅是不要做什么,更重要的是把限度内的事情做好。当前涉诉矛盾纠纷很多,需要我们认真反思:为什么本来属于其他机关不作为或乱作为的纠纷,最后成了法院“审判不公”的纠纷;为什么法院依法审判的案件,最后成了法院“亏理”的案件;为什么我们以和谐司法为目标处理纠纷,最后却让公众解读为枉法裁判的“河蟹”司法?回到群众路线这一主题上,就需要从维护好群众的根本利益立场出发,敢于依法判案,心底无私天地宽,才能经得起历史的检验、社会的评判。
前面对群众路线与司法限度关系的分析,实际也涉及了司法公信力的问题。所谓司法公信力,就是人民群众对司法权威的认可程度,对司法公正的信任程度。走群众路线是提升司法公信力的根本方法,但是要以坚持理性的司法限度为前提,防止迷失司法的“自我”而适得其反。这里要提出的是:司法公信力是法律方法问题还是法律文化问题?换言之,司法公信力的缺失主要是由于司法产品的质量不高而导致社会公众对司法公正产生合理怀疑,还是当下社会情境下还没有完全确立法律的信仰地位,以致于法律工具主义的盛行?我们看到,随着普法活动的深入,社会公众的法律意识不断增强(?),通过法律途径维护自己的合法权益正不断得到认同。如何理解当前公众的法律意识?
笔者认为,这种意识仅仅是一种对法律的初步了解和认识,而且是选择性认识,即往往从有利于己的角度来表达对法律的理解;一旦自己的理解或主张,得不到法院的认可、支持,就表现出对法律或法院的极大蔑视,甚至通过过激手段发泄自己的不满。笔者对网络上一些有关司法的负面帖子进行了初步梳理:①喊冤型,对自己的案情进行陈述,请求社会公众的舆论支持。这种帖子,如果陈述事实比较全面的话,应该对促进法院提高司法水平有一定督促作用。②斥责型,不讲事实,直接用夸张的语言指责某法院或某法官司法不公。值得注意的是,许多跟贴也不分青红皂白地“灌水”,人为扭曲舆论导向(信任危机成为当下社会心理的主要问题之一),唯恐天下不乱。③攻击型,没有任何理由,直接对法院、法官进行人身攻击或威胁。笔者曾看到一三轮摩托车贴着“某某法院是×××,某某院长是×××”的标语招摇过市,这难道就是中国法治的真实写照吗?当司法职业没有基本的尊严时,何谈建立公信力?这实际反映了这样的问题:①司法信任机制没有得到有效建立,这种机制主要是沟通机制、反馈机制和保护机制。司法活动启动以后,如何与当事人进行有效沟通成为当前司法活动的重要内容,有时候往往由于审判人员不经意的举动或不耐烦的表情,都会刺激当事人敏感的心理;对当事人的疑问或不满如何进行疏导,这里主要指信访问题,不能给少数当事人形成“信访不信法”的习惯;审判人员是公务人员,但也是普通公民,当审判人员受到人格攻击或人身威胁时,应该得到有力的保护。②对司法的依赖与对司法的信仰不成正比。许多行政执法机关或其他组织,在面对人民群众的矛盾纠纷时,不是想如何尽力化解纠纷,而是告诉他们到法院诉讼。有的行政部门领导是如此做群众工作,并认为自己是有法治思想的表现。实际上,这些做法都是以所谓“法治”的名头,把社会矛盾纠纷不加区别地推向法院,使法院从最后一道防线成为第一道防线。一旦法院不能完全解决这些矛盾纠纷时,这些矛盾纠纷就演变成涉诉矛盾纠纷,法院成为矛盾纠纷的一方“当事人”。在基层法院审判一线,法官的巨大职业压力并没有得到有效缓解,许多案件的审理都面临“出力不讨好”的尴尬境地,当审判人员尽心竭力地审结案件后,也许就被当事人一次无中生有的投诉而抹杀了所有辛苦。
总的来说,坚持司法的限度,并不会降低司法适应经济社会发展的活力,相反地,当明确了法院化解社会矛盾纠纷的职责界限后,法院将会把有限的司法资源有效地运用到解决关涉群众根本利益、能够发挥司法专业优势的矛盾纠纷,真正急群众所急,这才是落实群众路线的要义所在。如果法院能够保持必要的司法节制,协调好外部社会管理机制与审判工作的关系,把有限的司法资源用于解决关系大局、关系民生的矛盾纠纷上时,提高司法效率和司法质量,实际就是为提高司法公信力奠定了基础。
实现有限度的司法,当前最要紧的是社会矛盾纠纷化解机制的创新和完善。除了社会基本制度的长远安排外,矛盾纠纷的化解机制应是多元化的、循环型的,以诉调对接机制为基础,着重扩展参与部门和组织的范围,法院不再唱独角戏,通过整合各种社会资源,力求满足不同领域、不同性质矛盾纠纷化解的需要,使“所有的”矛盾纠纷在机制中都能够得到申诉或解决,司法公信力才会不断增强。
--------------------------------------------------------------------------------
关于发布《网上基金销售信息系统技术指引》的通知
关于发布《网上基金销售信息系统技术指引》的通知
各基金销售机构:
为保护投资者的合法权益, 促进基金销售业务健康有序发展,保障基金销售机构在互联网上安全可靠地开展基金销售活动,协会组织制定了《网上基金销售信息系统技术指引》,现予发布,请参照执行。
二○○九年十一月二十日
网上基金销售信息系统技术指引
第一章 总则
第一条 为保障网上基金销售信息系统的安全、可靠、高效运行,促进基金销售业务健康有序发展,保护投资者的合法权益,依据《中华人民共和国证券投资基金法》、《证券投资基金销售业务信息管理平台管理规定》等法律法规制定本指引。
第二条 在中华人民共和国境内依法设立的基金销售机构开展网上基金销售业务适用于本指引。
基金销售机构是指依法办理基金份额认购、申购和赎回等业务的基金管理人,以及取得基金代销业务资格的其它机构,包括基金管理公司、商业银行、证券公司、证券投资咨询机构、专业基金销售机构等。
第三条 网上基金销售信息系统是指基金销售机构在网上开展基金销售业务活动中所采用的网络设备、计算机设备、软件及专用通信线路等构成的信息系统,包括网上基金销售系统服务端、客户端和门户网站。
第四条 基金销售机构应采取技术和管理措施,保证网上基金销售系统的安全性、完整性和可用性,并做好系统信息保密工作。
第五条 中国证券业协会对基金销售机构执行本指引的情况进行指导和督促。
第二章 基本要求
第六条 基金销售机构对网上基金销售信息系统应统一规划、集中管理,保证网上基金销售业务安全、有序发展。
第七条 基金销售机构应制定在网上开展基金销售业务的各项安全管理制度,对安全管理目标、安全管理组织、安全人员配备、安全策略、安全措施、安全培训、安全检查、系统建设、运行管理、应急措施、风险控制、安全审计等方面作出规定。
第八条 基金销售机构应将网上开展基金销售业务的风险管理纳入本机构风险控制工作范围,建立健全网上基金销售风险控制管理体系。
第九条 基金销售机构的网上基金销售信息系统应部署在中华人民共和国境内,满足监管部门现场检查要求及中国司法机构调查取证要求。
第十条 基金销售机构应当与投资者签订网上基金或网上金融业务服务协议或合同,明确双方的权利、义务和风险的责任承担,向投资者揭示使用网上基金销售信息系统可能面临的风险、基金销售机构已采取的风险控制措施和客户应采取的风险防范措施。
第十一条 网上基金销售信息系统应具有向投资者提示交易时间区间的功能。交易时间区间应严格遵守监管机构或交易所的相关规定。
第十二条 网上基金销售信息系统应由基金销售机构自主运营、自主管理。如涉及第三方(指除基金销售机构及其客户以外的任何一方),必须与第三方签订保密协议和服务协议,明确责任,采取措施防止通过第三方泄露用户信息。
第十三条 基金销售机构委托或定制开发网上基金销售业务系统,应与软件开发商签订详细的商业合同及保密协议,明确软件开发商应用软件中使用的第三方产品具备合法版权。应要求开发商提供源代码或对源代码实行第三方托管。
第十四条 基金销售机构应建立可靠的运行环境,确保基金销售系统有充足的处理能力、存储容量和通讯带宽,满足业务增长的需要。
第十五条 基金销售机构应对网上基金销售信息系统的各个子系统合理划分安全域,在不同安全域之间进行有效的隔离,保障网上基金销售前台系统与其后台系统在技术上进行有效隔离,门户网站和网上基金销售信息系统进行有效隔离。
第十六条 网上基金销售信息系统各环节必须有可靠的热备或冷备措施,保证整个系统的高可用性。
第十七条 用于网上基金销售信息系统的服务器、操作系统、平台软件等应及时进行补丁和版本升级。升级前需进行严格的系统测试。
第十八条 网上基金销售信息系统应具备2个或2个以上不同运营商的互联网接入,避免在同一运营商的线路接入上出现单点故障和瓶颈。
第十九条 网上基金销售信息系统应部署防火墙、入侵检测系统或入侵防护系统,并定期对安全日志进行检查,以提高网上基金销售信息系统的防护能力。
第三章 门户网站
第二十条 门户网站指基金销售机构建立的实现信息发布、业务咨询、营销推广、客户服务和投资者教育等功能的网站。
第二十一条 基金销售机构门户网站应在当地电信管理局办理ICP备案,同时向当地工商局等有关部门办理网站备案,在网站首页公布ICP备案号,提供客户查询门户网站备案信息的链接。
第二十二条 基金销售机构应采取有效措施监控门户网站防止被篡改。当网站上的页面内容、提供给投资者下载的客户端软件及其他文件被异常修改时,能及时发现并恢复。
第二十三条 门户网站中不得存放与基金交易业务有关的客户资料、交易数据等客户敏感数据。
第二十四条 门户网站中的客户账号及口令,应采用加密方式传输,并最低达到SSL协议128位的加密强度。
第二十五条 基金销售机构应建立对门户网站内容发布的审核、管理和监控机制,对网页内容进行监控,对有害信息进行过滤,防止网站出现不良信息。
第四章 网上基金销售信息系统客户端
第二十六条 网上基金销售信息系统客户端是指基金销售机构提供的,由基金投资人通过互联网、移动通信等非现场方式独自完成业务操作的应用系统。
第二十七条 网上基金销售信息系统客户端应能向客户提示最近一次登录的日期、时间等信息。
第二十八条 网上基金销售信息系统客户端应能在指定 的闲置时间间隔到期后,自动锁定客户端的使用或退出。
第二十九条 网上基金销售信息系统客户端的数据传输应采用国家信息安全机构认可的加密技术和加密强度,并最低达到SSL协议128位的加密强度。
第三十条 网上基金销售信息系统客户端如需与银行等支付系统进行数据通信时,应使用数字加密技术(如数字证书方式)进行严格的数据加密处理防止数据被篡改。
第三十一条 当客户访问网上基金销售信息系统时,未经客户许可,除提高安全性的控件之外,不得以任何方式在客户系统中安装插件。
第三十二条 网上基金销售信息系统应提供可靠的身份验证机制,除采用账号名、口令、验证码的身份认证方式外,还应向客户提供一种以上强度更高的身份认证方式供客户选择使用,如,客户端电脑或手机特征码绑定、软硬件证书、动态口令等认证方式,确认客户的身份和登录的合法性,防止不法分子利用木马等黑客程序窃取客户账号和口令。
第三十三条 基金销售机构为基金客户网上开立基金交易账户时,应当要求基金客户提供身份证明信息,并采取等效实名制的方式核实基金客户身份。
第三十四条 基金销售机构应采取有效技术措施,识别与验证使用网上基金销售业务服务的投资者的真实、有效身份,并应依照与投资者签订的协议对投资者操作权限、资金转移或交易限额等实施有效管理。
第三十五条 网上基金销售信息系统客户端不得在客户本地计算机储存客户账户、口令等重要信息。存储其它信息应当提示客户,本地数据存储只是参考数据,应当以基金销售机构记录数据为最终准确数据。
第三十六条 网上基金销售信息系统客户端应当具有基金客户交易口令复杂度控制和提醒机制,提醒客户定期修改口令;系统自动生成的初始口令,必须有最小生存期限制或强制客户修改,禁止系统自动生成相同口令或弱口令;基金客户口令的修改和取回操作要有日志记录。
第五章 网上基金销售信息系统服务端
第三十七条 网上基金销售信息系统服务端是指基金销售机构通过互联网向客户提供网上基金交易、基金账户信息查询等服务的信息系统,包括互联网接入、安全防护与监控、应用服务、身份认证等相关子系统。
第三十八条 网上基金销售信息系统服务端应能向客户提供可证明服务端自身身份的信息,如提供预留验证信息服务,在客户登录时向客户显示预留的验证信息, 以帮助客户识别仿冒的网上基金信息系统,防止不法分子利用仿冒的网上基金信息系统进行诈骗活动或盗取用户账号、口令等信息。
第三十九条 网上基金销售信息系统应保障对客户的授权不被恶意提升或转授,防止客户访问未经过授权的数据,使用未经授权的功能。
第四十条 基金销售机构开展网上基金销售业务,需要对客户信息和交易信息等使用电子签名或电子认证时,应遵照国家有关法律法规的规定。
网上基金销售信息系统采用的认证授权和加密体系应具备足够的强度和抗攻击能力,并根据网上基金销售业务的安全性需要和信息技术的发展,定期检查,适时调整。
第四十一条 网上基金销售信息系统未经基金销售机构授权不得与第三方进行任何形式的数据交换,并具备经过认证后仅向指定地址发送信息的功能。
第四十二条 网上基金销售机构应保证网上基金数据传输的保密性、完整性、真实性和可稽核性,对网上基金交易的客户信息、交易信息及其他敏感信息进行可靠的加密,不得存在任何中间环节对数据进行加解密处理。
第四十三条 网上基金销售信息系统服务端应能够抵御连续猜测,防止攻击者通过对合法账户进行大规模非法登录请求,导致大量用户账户被异常锁定,正常用户无法登录。
第四十四条 网上基金销售信息系统服务端应对异常情况进行监控,并具有相应报警功能。
第四十五条 网上基金销售信息系统服务端对数据包被篡改、异常重发等情况需具有应对能力。
第四十六条 网上基金销售信息系统服务端应能在指定的闲置操作时间限制到期后,自动终止用户对系统的访问权。
第四十七条 网上基金销售信息系统服务端应能产生、记录并集中存储必要的日志信息,日志信息应至少包含能识别服务请求方身份的内容,如,登录终端的IP地址、MAC地址、手机号码和终端特征码等,并确保数据的可审计性,满足监管部门现场检查要求及司法机构调查取证的要求。
第四十八条 网上基金销售信息系统服务端应能够有效屏蔽系统技术错误信息,不将系统产生的错误信息直接反馈给客户端。
第四十九条 网上基金销售信息系统服务端应能够提供系统运行状况信息(如活动状态、并发在线客户数目、并发会话数目、线程数目、队列长度等)、错误信息、安全警告等。
第五十条 网上基金销售信息系统应具备防范SQL注入、跨站脚本、Session欺骗、拒绝式服务攻击和缓冲区溢出等攻击的能力。
第五十一条 网上基金销售信息系统服务端对于客户口令等数据应当以密文形式存储。
第六章 安全管理
第五十二条 网上基金销售信息系统的开发、测试人员及环境应与运营人员及生产环境分离。开发、测试人员未经授权不得访问、修改非职责范围内的网上基金销售信息系统。
第五十三条 基金销售机构应对网上基金销售信息系统中包括网络安全设备、服务器以及应用系统在内的账户进行严格管理,账户权限应按最小权限原则设置,清除所有冗余、与应用无关的账户,并严格限制各管理员账户的使用,禁止用最高权限账户执行一般操作,尽量避免以最高权限账户运行网上基金销售信息系统服务端应用软件。
第五十四条 系统各级管理用户和口令应由专人负责,在系统允许的情况下,口令长度应在12位(含12位)以上,且含有字符和数字,区分大小写,并定期更改。
第五十五条 基金销售机构应定期进行网上基金销售系统的漏洞扫描和渗透测试工作,及时发现系统中存在的各种安全问题并及时修补。
第五十六条 原则上不允许通过互联网对网上基金销售信息系统(如防火墙、网络设备、服务器等)进行远程管理和日常维护等操作,对网上基金销售信息系统的访问控制应做到:
(一)关闭网上基金销售信息系统所有与业务和维护无关的服务及端口,严格控制防火墙中的权限设置,确保按“最小权限原则”进行设置;
(二)对于网上基金销售信息系统的内部访问,应严格限制访问源;
(三)特殊紧急情况下需要通过互联网进行远程操作时,应通过限制登录IP、使用数字证书或动态口令、全程监控等措施确保安全,并在操作完成后,及时关闭相关端口。
第五十七条 基金销售机构应当确保网上基金销售信息系统服务器采取技术手段防止恶意代码(病毒等)运行、传播。对于防病毒软件,要保证病毒库的及时更新,定期对系统进行全面的病毒扫描。
第五十八条 基金销售机构应采取有效措施对门户网站上提供下载的网上基金客户端软件程序进行保护,客户端软件程序编译封装、形成下载文件后,对其进行严格的病毒扫描和木马检查,并通过专用安全手段传输至网站文件下载服务器。
第五十九条 基金销售机构应对网上基金销售信息系统进行实时监控,建立异常事件的甄别、报警、处理和报告机制。网上基金销售信息系统实时监控范围应包括各种安全设备、网络设备、服务器设备及操作系统、通讯线路状态、数据库、应用软件等。监控内容包括其运行状况、日志内容、安全警告等,应统一记录保存监控信息,保存期至少为6个月。
第六十条 基金销售机构应当妥善保存网上基金销售信息系统关键软件的日志文件,并定期检查、审核记录。
第六十一条 基金销售机构网上销售系统开发、测试中不应当存放来自于生产系统的客户真实数据。
第六十二条 基金销售机构网上基金销售信息系统上线或重大版本升级,应进行安全测试或技术评估。
第六十三条 基金销售机构应建立严格的变更管理流程,对包括网络安全设备、服务器、应用系统等软硬件系统变更实行规范化的变更管理。因系统变更而导致的网上基金销售服务暂停,需提前向投资者公告。
第六十四条 基金销售机构应建立针对网上基金销售信息系统的配置管理制度,完整、真实地记录和反映系统所涉及的软硬件配置及相互影响关系,并保持与实际生产环境同步更新。
第六十五条 基金销售机构应制定网上基金销售信息系统的数据备份计划并落实执行,数据备份应有严格的保管、使用、检查制度。备份数据应包括:系统程序、客户数据、配置参数、系统日志、安全审计数据等信息。
第六十六条 基金销售机构在公司灾备系统和业务连续性计划中应当包括网上基金销售系统。
第六十七条 基金销售机构应建立网上基金销售信息系统应急处置组织体系,并有针对性地制定应急预案,应急预案应纳入基金销售机构的整体应急预案体系内,并按照有关规定进行演练。
第六十八条 基金销售机构应根据网上基金销售信息系统故障的影响和损失情况对应急组织体系和应急预案进行分级管理,并遵循统一领导、快速响应、协调配合、最小损失的原则。
第六十九条 基金销售机构网上基金应急预案应针对电力、通信等基础设施故障、计算机硬件或网络设备故障、操作系统或应用系统故障、操作系统或应用系统漏洞、病毒入侵、恶意攻击、误操作、不可抗力等可能的故障原因制定对应的应急恢复操作流程。
第七十条 基金销售机构销售机构在网上基金销售信息系统发生影响业务正常业务的技术故障时,应立即启动应急预案、尽快恢复交易业务运行,并按有关要求及时上报监管部门。
第七章 附则
第七十一条 本指引自发布之日起施行。
