中华人民共和国政府和匈牙利共和国政府贸易协定

上一篇: 关于加强因公出国机票管理的通知
下一篇: 第九届全国人民代表大会第三次会议关于最高人民法院工作报告的决议

我国检察官自由裁量权的完善研究

段明学

一、我国检察机关自由裁量权的历史发展
在我国，长期以来将起诉法定主义确定为刑事诉讼的基本原则 [1]，而将起诉便宜主义作为起诉法定原则的例外。所谓例外“不过是在某种程度上渗入了一些起诉便宜主义的内容而已”[2] 。原则具有普遍性，例外则具有特殊性，因而，将起诉法定主义规定为刑事诉讼的基本原则而将起诉便宜主义看作例外，反映出刑事追诉仍然以报应主义为主的立法思想。
我国检察机关自由裁量权直接来源于民主革命时期的实践经验。据文献资料表明，早在民主革命时期的法律中就有对犯罪嫌疑人的不起诉的规定。1948年华北人民政府颁布的《关于县市公安机关与司法机关处理刑事案件权责的规定》中，对于汉奸、特务及内战战犯等案件，“侦查的结果嫌疑不足，或其行为不成立犯罪，再则纵系罪犯，而以不起诉为适当时，则公安机关均有权释放，不予起诉，司法方面不得干涉”。1956年全国人大常委会通过的《关于处理在押日本侵略中国战争中战争犯罪分子的决定》中规定了“对于次要的或者悔罪表现较好的日本战争犯罪分子，可以从宽处理，免于起诉。”1959年，我国为处理在押日本战犯而实行免予起诉制度，最高人民检察院对符合条件的1017名战犯作了免予起诉处理，取得了良好的效果。
1979年，我国制定并颁布了新中国第一部《刑事诉讼法》。该法在一定程度上确认了检察机关的自由裁量权，它主要是通过免予起诉制度体现出来的。该法第101条规定，“依照刑法规定不需要判处刑罚或者可以免除刑事处罚的，人民检察院可以免予起诉。”由于免予起诉以承认犯罪嫌疑人有罪为基础，有悖于未经法院判决不得有罪的诉讼法理，而且由于缺乏必要的监督制约机制，导致免予起诉在实践中被普遍滥用。因此，1996年修订后的《刑事诉讼法》废除了免予起诉制度，但同时保留了免予起诉制度中所贯彻的起诉便宜主义的合理因素，赋予检察机关有限的自由裁量权，建立了相对不起诉制度。
须指出的是，我国立法机关赋予检察机关有限的自由裁量权，并不是出于诉讼经济的考虑，“最早主要并不是为了解决诉讼经济的问题，而是基于政治方面的考虑”[3] 。尽管我国刑事犯罪与司法资源有限性之间的矛盾十分突出，但诉讼经济不是赋予检察机关自由裁量权的直接动因。同时，在我国，教育刑思想并不占有主导地位。长期以来，我们坚持的是“重打击、轻保护”的思想观念。肇始于1983年的“严打”及1996年修订的刑法典呈现出“重刑化”倾向，似乎与国际上的“重重”政策不谋而合。但司法机关在执行严打政策，强调“快捕快诉”、“从重从快”的同时，却对“轻轻”政策认识不足，西方社会流行的“轻轻”的刑事政策在我国并没有得到回应，因而检察机关自由裁量权并没有引起足够的重视。
直至今日，赋予检察机关一定的自由裁量权也不是迫于诉讼效率方面的压力。因此，我国检察机关自由裁量权并不是检察制度自然发展的产物。这是我们在探讨我国检察官自由裁量权时必须首先需要明确的。
二、我国检察机关自由裁量权的权限
我 国检察机关享有哪些自由裁量权？在多大程度上享有自由裁量权？一种观点认为，我国检察机关在立案、立案监督、侦查、审查批捕、审查起诉、刑罚执行监督等各个方面都享有自由裁量权。[4] 我们认为，这种观点值得商榷。姑且不谈其它方面，单就法律的规定来看：（1）在立案阶段，只要犯罪嫌疑人的行为符合《刑事诉讼法》第86条之规定就应当立案或者不予立案。检察官没有选择权，即认为有犯罪事实需要追究刑事责任的时候，就得立案，而不能选择不立案，可见，在立案阶段我国检察官没有自由裁量权；（2）在立案监督阶段，只要符合《刑事诉讼法》第87条之规定就应当监督公安机关立案，而涉嫌犯罪与无罪的评价，均是建立在案件事实基础之上的，不能把有罪说成无罪，因此，检察官在立案监督阶段也没有自由裁量权。（3）在侦查阶段，侦查通常从立案后开始进行到案件事实全部查清，作出起诉、不起诉或者撤销案件的决定时终结。《刑事诉讼法》第82条第一款规定，侦查必须依法进行，那么，只要案件事实全部查清，就应当侦查终结，没有查清，仍应继续侦查，而不应以是否必要来体现。因此，在侦查阶段，检察官也没有自由裁量权。（4）在审查批捕阶段，只要符合《刑事诉讼法》第60条规定的三个条件，就应当批准逮捕，否则不批准逮捕，而不应以涉嫌有罪与无罪的评价过程，作为行使自由裁量权的衡量标准，因为只要嫌疑人的行为涉嫌有罪，就不能自由裁量为无罪。（5）在审查起诉阶段，《刑事诉讼法》第142条第一款的法定不起诉和第一百四十条第四款的存疑不起诉都不属于起诉便宜主义，存疑不起诉从法理上讲，应是“应当”不起诉而不是“可以”不起诉，因此，检察机关对此没有自由裁量权。（6）在刑罚执行监督阶段，《刑事诉讼法》第222条规定：“人民检察院认为人民法院减刑、假释的裁定不当，应当在收到裁定书副本后二十日以内，向人民法院提出书面纠正意见。”人民检察院要履行刑罚执行监督权，那么必须依据刑法关于减刑、假释的实体条件作出衡量、判断，这种衡量和判断必须建立在案件事实的基础上，不能将有说成无，更不能想当然地自由选择，因此，在刑罚执行监督阶段，检察官是没有自由裁量权的。
因此，我国检察机关并不是在所有领域都享有自由裁量权的，其自由裁量权主要体现在对于已经具备起诉条件的案件，可以斟酌具体情况而作出不起诉决定。《刑事诉讼法》第142条第二款规定，对于犯罪情节轻微的，依照刑法规定不需要判处刑罚或者免除刑罚的，人民检察院可以作出不起诉决定。具体说来，在下列情形下，检察机关可以裁量适用不起诉：
（1）刑法第7条规定，我国公民在我国领域外犯罪，依我国刑法最高刑 为三年以下有期徒刑的。
（2）刑法第8条规定，外国人在我国领域外对我国国家或者公民的犯罪，依我国刑法最低刑为三年以下有期徒刑的。
（3）刑法第10条规定，在我国领域外犯罪，并且在外国已经受过刑事处罚的。
（4）刑法第19条规定，又聋又哑的人或者盲人犯罪的。
（5）刑法第20条、21条规定，防卫过当及避险过当的。
（6）刑法第22条规定，为了犯罪，准备工具，制造条件的。
（7）刑法第27条规定，在共同犯罪中起次要作用或者辅助作用的。
（8）刑法第28条规定，对于被胁迫参加犯罪的。
（9）刑法第37条规定，对于犯罪情节轻微不需要判处刑罚的。
（10）刑法第67条规定，犯罪以后自动投案的。
（11）刑法第68条规定，犯罪分子有立功或者重大立功表现的。
（12）刑法每241条第6款规定，收买被拐卖的妇女，按照被拐志卖的妇女的意愿，不阻碍其返回原居住地的，对被收买的儿童没有虐待行为，不阻碍对其解救的。
（13）刑法第351条规定，非法种植罂粟或者其它毒品原植物，在收获前自动铲除的。
（14）刑法第383条第1款第3项规定，个人贪污数额在5000元以上不满1万元，犯罪后有悔改表现，积极退赃的。
（15）刑法第392条规定第2款规定，介绍贿赂人在被追 诉前主动交待介绍贿赂行为的。
此外，最高人民检察院制定的《人民检察院刑事诉讼规则》第351条规定，“在人民法院宣告判决前，人民检察院发现被告人的真实身份或者犯罪事实与起诉书中叙述的身份或指控犯罪事实不符的，可以要求变更起诉；发现遗漏的同案犯罪嫌疑人或者罪行可以一并起诉和审理的，可以要求追加起诉；发现不存在犯罪事实、犯罪事实并非被告人所为或者不应当追究被告人刑事责任的，可以要求撤回起诉。”因此，我国检察机关还享有变更起诉、追加起诉及撤回起诉的自由裁量权。
总的说来，我国检察机关自由裁量权品种极为有限，难以适应刑事诉讼对公正和效率的要求。正是如此，许多地区都突破法律的既有框架和现有空间，不同程度地运用暂缓起诉、豁免权及辩诉交易权。问题在于，由于没有法律的明确规定，检察机关在运用这些权力时超越了法律的权限，是一种“违法”试验，有损法律的稳定性和权威性。而且，由于缺乏理论的指导和论证，各地的认识十分模糊，做法极不统一，有的甚至给人一种“做秀”的感觉。这对于实现司法公正和效率的目标是极为不利的。
三、我国检察机关自由裁量权的发展空间
目前，我国检察机关自由裁量权品种单一，适用范围狭窄，其在刑事诉讼中的功效还远没有得到充分的发挥。20世纪90年代以来，伴随犯罪增多对诉讼经济的诉求，刑事诉讼中对抗制因素的引进及刑事司法观念的转变等都对扩大检察机关的自由裁量权提供了良好的社会条件。因此，我国检察机关自由裁量权的发展空间还是比较广阔的。无论是暂缓起诉，豁免权抑或辩诉交易等，在我国都可以找到其生长发育的土壤。下面，试就我国检察机关自由裁量权发展的宏观条件进行分析。
（一）社会空间：犯罪增多的压力
如前所述，我国赋予检察机关自由裁量权并不是迫于诉讼效率方面的压力。即便如此，由于检察机关自由裁量权符合诉讼经济原则的要求，有利于司法资源的合理配置，缩短诉讼时间，节省人力、物力，能够减少诉讼成本投入，因此在刑事案件的发案数逐年上升，司法机关处断案件压力越来越的情况下，检察机关自由裁量权在实现诉讼经济的价值方面所具有的功能越来越突出。
20世纪90年代以来，伴随着经济体制的转型、经济结构的战略性调整以及对外开放的扩大，国际交流与合作的加深，我国刑事犯罪逐年上升。据统计，1998—2003年，各级人民检察院共批准逮捕各类刑事犯罪嫌疑人3601357人，提起公诉3666142人，比前五年分别上升24.5％和30.6％。[5] 各级人民法院共审结一审刑事案件283万件，比前五年上升16％，判处犯罪分子322万人，上升18％。其中，判处五年以上有期徒刑、无期徒刑和死刑的81.9万人，占25％。[6] 上述情况表明，我国刑事犯罪案件上升幅度越来越大，司法机关处理的担子也越来越重。
按照经济学的观点，司法资源是有限的，不充分的。刑事案件的立案、侦查、起诉、审判和执行都需要付出相应的成本。就我国而言，一方面司法资源严重短缺，另一方面诉讼成本明显偏高。“我们国家为了打击各种犯罪，每年都需要投入大量的社会资源，仅关押一个犯人，每年就需要花费1 万元以上的费用。”[7] 现实决定了对犯罪不应当也不可能做到每案必究。国家应当将有限的司法资源放到追究大案、要案上去。对于轻罪案件，应当用尽可能少的司法资源对之进行处理。刑事犯罪的增多与司法资源的有限性矛盾日益突出，这为检察机关自由裁量权的扩大提供了社会空间（条件）。因此，扩大检察机关的自由裁量权，使其能够根据案件具体情况采取灵活的措施，是提高诉讼效率、降低司法成本的客观要求。
（二）制度空间：对抗制因素的引进
我国在传统上一直奉行职权主义诉讼模式，强调国家机关在刑事诉讼中的职权作用，尤其是强调法官在审判中积极查明案件事实的作用，而不强调当事人在诉讼中的主体地位和能动作用。因此，检察机关的自由裁量权历来较小。在职权主义诉讼模式下，检察机关也没有必要享有那么大的自由裁量权。1996年刑诉法适当引入了英美对抗制的因素。在法庭上，询问被告、询问证人、出示物证、宣读书证和鉴定结论等，都不再以法官为主进行，而主要由检察官和律师进行，且在这个过程中，控辩双方可以相互辩论。对抗制因素的引进，既加强了检察机关的控诉责任，同时又为检察机关自由裁量权的扩张提供了制度空间。因为对抗制（Adversary System）,从实质意义上看，意味着“控辩双方拥有对案件中的实质问题或诉讼标的——被告人的刑事责任问题——进行处分的权利”[8] 。在英美等国家，实行当事人主义诉讼模式，检察官和被告人之间存在激烈的对抗。由于检察官承担控诉职能，要用证据证明被告人有罪，而在实践中，搜集证据的难度是相当大的，需要花费相当的人力、物力和时间。如果对每一个案件，检察官都投入同样的资源既不可能也不现实。因此，有必要赋予检察官广泛的自由裁量权。。由此可见，我国在引入对抗制因素后，扩大检察官的自由裁量权也已成为一种必然趋势。
（三）观念空间：司法观念的转变
20世纪90年代以来，我国民众的司法观念发生了很大的变化。随着市场经济的发展及依法治国方略的实施，对犯罪的认识渐趋理性化，对被告人的人权保障更加重视。之前，我们教条化地理解马克思的“犯罪——孤立的个人反对统治关系的斗争”这一论断，将犯罪视为一种敌对性的行为，是对统治关系的破坏，因而将被告人（包括犯罪嫌疑人）视为有罪之人，并对犯罪人给予严厉制裁和打击。而在现在，犯罪被认为是个人与国家之间的一种纠纷与冲突，犯罪行为人本身也是社会的一个成员，因而应给予作为人的尊重与保护。正如黑格尔所言：由于文化的进步，对犯罪的看法已比较缓和了，今天刑罚早已不像百年以前那样严峻。
在保障人权观念的指导下，我国更加注重犯罪嫌疑人、被告人合法权益的保护，尽量使他们避免受到非人道、不公正的待遇。近年来，最高人民法院、最高人民检察院都相继采取了一系列重大措施如清理超期羁押、对未成年人实行暂缓起诉（尽管是“违法试验”）等，都体现了对被告人的关怀，体现了司法的人性化色彩。因此，扩大检察机关的自由裁量权，就成为实现司法文明的一个重要举措。检察机关拥有较大的自由裁量权，就能够根据案件具体情况作出合理的处理决定，而不是古板地将犯罪人送上审判席、投入监狱，这样更有利于对犯罪嫌疑人、被告人的人权保障，以及对他们的教育挽救。
四、我国检察官自由裁量权的发展及完善
（一） 审前程序检察官自由裁量权的完善
1.完善不起诉裁量制度。
一般地说，不起诉权主要包括两个方面：一是法定不起诉，即对于不具备起诉条件的案件，检察机关必须作出不起诉决定，这是起诉法定主义的基本要求，因而不属于检察官自由裁量权的范畴；二是酌定不起诉，即对于具备起诉条件的案件，检察官斟酌具体情况作出不起诉决定。[9] 我们所讲的不起诉权主要就指酌定不起诉。
第一，拓展不起诉的案件范围。
刑诉法第142条第二款规定：“对于犯罪情节轻微，依照刑法规定不需要判处刑罚或者免除刑罚的，人民检察院可以作出不起诉决定。”因此，我国检察官自由裁量权的行使范围主要就限于“犯罪情节轻微，依照刑法规定不需要判处刑罚或者免除刑罚”的案件。而对于什么是“犯罪情节轻微”，理论及实务界都存在重大的分歧。一种观点认为，“犯罪情节轻微”指的是罪名轻，犯罪的情节也轻；另一种观点认为，“犯罪情节轻微”仅指犯罪的情节轻微，而不管该罪名是轻还是重。依第一种观点，检察官自由裁量权的案件范围相当狭窄。而依第二种观点，则范围较宽。我们认为，立法对授予检察官自由裁量权的态度是十分谨慎的，从立法的前后变化明显可以看出。其目的就在于严格限制检察官不起诉裁量权的案件范围，即限定在犯罪情节轻微的案件。至于犯罪情节较重的案件，检察机关不得作出不起诉处理。因此，我们同意第一种观点，在现行法律框架内，检察官只能对轻微犯罪案件，才可行使自由裁量权，决定不起诉。
总的说来，我国检察官自由裁量权的案件范围不适应犯罪多样化的社会形势，不利于节约司法资源，也没有体现出区别对待的刑事政策。因此，应当通过法律的明确规定，拓展不起诉裁量权的行使空间，扩大检察官不起诉权的案件范围。
我们认为，对刑事诉讼法第142条第2款的修改完善，可以包括如下内容：（1）根据犯罪情节和公共利益，依照刑法规定不需要判处刑罚或者免除处罚的，检察机关可以裁量作不起诉处理。（2）可能判处三年以下有期徒刑、拘役，根据犯罪情节、公共利益和悔罪表现，检察机关可以作出不起诉处理。这是参照刑法第72条关于适用缓刑的规定而提出来的。因为缓刑与不起诉的法律后果相当，所以不须浪费司法资源，等到审判阶段宣告缓刑。（3）对过失犯罪情节较轻的，检察机关可以裁量作不起诉处理。司法实践中适用缓刑的案件比较多。但是国家机关工作人员渎职的过失犯罪除外，因为国家机关工作人员属于职务上、业务上富有特定责任的特殊主体，他们的渎职犯罪给国家和人民的利益造成的损害往往是很大的，这类犯罪嫌疑人如果确需作不起诉处理，只应作为特例而存在。（4）原则上老年人（70岁以上）、未成年人（18周岁以下）、聋哑、盲人以外的其他残疾人犯罪，情节较轻的，检察机关可以作不起诉处理。（5）犯罪后有立功表现的，检察机关可以裁量作不起诉处理。现行刑法第68条规定，有重大立功表现的才可以减轻或者免除处罚，我们认为，从刑事司法的整体平衡角度以及鼓励犯罪人揭发他人犯罪行为，积极为公安司法机关提供犯罪线索方面来看，应放宽有立功表现免除处罚的条件，只要犯罪嫌疑人有立功表现，哪怕是一般的立功表现，也可以综合案件其他情节，考虑是否可以不起诉。
中国证券业协会


关于发布《证券公司网上证券信息系统技术指引》的通知

各证券公司会员：

为促进证券公司网上证券业务健康有序发展，保障网上证券业务系统的安全、可靠、高效运行，提高行业信息化水平，保护投资者的合法权益，我会制定了《证券公司网上证券信息系统技术指引》，并经理事会表决通过，现予发布，请参照执行。



　　　　　　　　　　　　　　　　　　　　　　　

中国证券业协会

二○○九年六月二十三日




证券公司网上证券信息系统技术指引


第一章 总则
第一条 为保障网上证券信息系统的安全、可靠、高效运行，促进证券公司在网上开展的证券业务健康有序发展，保护投资者的合法权益，依据《中华人民共和国电子签名法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等相关法律法规制定本指引。

第二条 本指引适用于在中华人民共和国境内依法设立的证券公司。

第三条 网上证券信息系统是证券公司在网上开展证券业务活动中所采用的由相关网络设备、计算机设备、软件及专用通讯线路等构成的信息系统，包括网上证券服务端、客户端和门户网站。

第四条 证券公司利用网上证券信息系统开展证券业务应遵循如下基本原则：

（一）安全性原则：网上证券信息系统的建设应提高风险防范意识，保证在网上开展证券业务的安全性。通过技术措施和管理手段，实现信息的保密性、完整性和服务可用性。

（二）系统性原则：网上证券信息系统的安全建设应覆盖安全保障体系的各个方面，包括：安全体系建设、证券业务在网上的开展、网络和系统安全、应用系统安全、运维和安全保障、灾难恢复和应急措施等。

（三）可用性原则：网上证券信息系统的建设应在保障安全的原则下，确保在网上开展的证券业务的连续性和可靠性。

第五条 中国证券业协会对证券公司执行本指引的情况进行指导和督促。

第二章 基本要求
第六条 证券公司对网上证券信息系统应统一规划、集中管理，保证在网上开展证券业务安全、有序发展。

第七条 证券公司应制定在网上开展证券业务的各项安全管理制度，对安全管理目标、安全管理组织、安全人员配备、安全策略、安全措施、安全培训、安全检查、系统建设、运行管理、应急措施、风险控制、安全审计等方面作出规定。

第八条 证券公司应根据在网上开展证券业务特性，设立相应的管理职能岗位，明确在网上开展证券业务管理的责任，配备合格、足够的管理人员和技术人员，包括安全管理员、安全审计员等。

第九条 证券公司应将在网上开展证券业务的风险管理纳入证券公司风险控制工作范围，建立健全网上证券风险控制管理体系。

第十条 对在网上开展证券业务的审计应纳入证券公司的审计工作范围。

第十一条 证券公司网上证券信息系统应部署在中华人民共和国境内，满足技术审计、监管部门现场检查及中国司法机构调查取证等要求。部署网上证券信息系统的有形场所，应符合国家安全标准的有关要求。

第十二条 证券公司应当与投资者签订网上证券服务协议或合同，明确双方的权利、义务和相关风险的责任承担，向投资者充分揭示使用网上证券信息系统可能面临的风险、证券公司已采取的风险控制措施和客户应采取的风险防范措施。

第十三条 证券公司应通过多种方式揭示使用网上交易方式可能面临的风险和客户应采取的风险防范措施，提醒投资者加强账号、口令的保护工作，建议投资者定期修改口令、增强口令强度、防止口令泄露、防止用于网上交易的计算机或手机终端感染木马、病毒等，并根据投资者需要开启或关闭网上交易方式。

第十四条 证券公司应尽可能使用统一的网上证券服务电话、域名、短信号码等，并应在与投资者签订的协议或合同中明确告知客户使用网上证券信息系统的合法途径、意外事件的处理办法，以及证券公司联系方式等。

第十五条 证券公司的网上证券信息系统应自主运营、自主管理。如涉及第三方（指除证券公司及其客户以外的任何一方），应与第三方签订保密协议和服务级别协议，并明确责任，采取措施防止通过第三方泄露用户信息。

第十六条 证券公司通过网上证券信息系统向客户提供证券交易的行情信息，应提示行情源；如向客户提供证券信息，应说明信息来源，并提示投资者对行情信息及证券信息等进行核实。

第十七条 证券公司应对网上证券信息系统的各个子系统合理划分安全域，在不同安全域之间进行有效的隔离，保障网上证券信息系统的接入系统与其后台系统在技术上进行有效隔离，后台系统应与行情、资讯处理系统进行网络隔离，并应部署在证券公司可控的物理安全域内。

第十八条 证券公司应在两个以上的物理地点建立网上证券信息系统，互为备份，并应具备2个或2个以上不同运营商的互联网接入，避免在同一运营商的线路接入上出现单点故障和瓶颈，同时应充分考虑不同互联网运营商的互联瓶颈问题，确保局部故障或灾难发生时，系统能继续对用户提供服务。

第十九条 对于外包定制的网上证券信息系统，证券公司应与软件开发商签署服务协议和保密协议，明确客户端、服务端以及数据传输过程均无后门，明确软件开发商应用软件中使用的插件具备合法版权，以确保客户数据、交易资料不被泄漏，保障证券公司的权益。

第三章 门户网站
第二十条 证券公司门户网站指证券公司建立的实现信息发布、业务咨询、营销推广、客户服务和投资者教育等功能的网站。

第二十一条 证券公司门户网站应当按照国家主管部门的有关规定办理网站备案，并提供备案信息的链接。

第二十二条 证券公司应定期对网站程序代码进行全面检查和评估，并及时修补，避免各种漏洞的存在。

第二十三条 证券公司应在门户网站部署防篡改系统，当网站上的页面内容、提供给投资者下载的客户端软件及其它文件被异常修改时，能自动告警或自动恢复，防止被捆绑木马程序。

第二十四条 与核心交易业务有关的客户资料、交易数据等客户敏感数据不得存放在门户网站数据库中。网上客户业务处理的日志应单独存放。

第二十五条 在证券公司门户网站中客户账号及口令，应采用加密方式传输，并最低达到SSL协议128位的加密强度。

第二十六条 证券公司应该建立对门户网站内容发布的审核、管理和监控机制，对网页内容进行监控，对有害信息进行过滤，防止网站出现不良信息。

第四章 网上证券客户端
第二十七条 网上证券客户端是指证券公司通过互联网向本公司开户的客户提供的用于查看行情、检索资讯、交易委托等的应用程序，包括基于计算机和手机等终端的前端软件。

第二十八条 网上证券客户端应提供技术手段协助用户检查、清除木马等恶意程序，并提供验证码、强制口令图形键盘、安全的口令输入安全控件、客户端电脑或手机特征码绑定、软硬件证书、动态口令等多种用户认证方式，防范不法分子利用木马等黑客程序窃取客户账号和口令信息，进行证券盗买盗卖非法活动。

第二十九条 网上证券客户端应具备反调试能力。

第三十条 网上证券客户端的客户身份信息和交易数据等重要数据传输应采用国家信息安全机构认可的加密技术和加密强度，并最低达到SSL协议128位的加密强度。

第三十一条 网上证券客户端应能向客户提示最近一次登录的日期、时间、地址等信息。

第三十二条 网上证券客户端应能在指定的闲置时间间隔到期后，自动锁定客户端的使用。

第三十三条 网上证券客户端应具有唯一连接到本证券公司网上证券接入系统的保障机制。网上证券客户端应提供足够的识别信息，以保证网上证券服务端能够对发出连接请求的客户端与证券公司所提供下载的程序进行一致性验证。

第三十四条 当客户访问网上证券服务端时，未经客户许可，不得以任何方式在客户端系统中安装插件。

第三十五条 网上证券客户端在本地计算机储存客户账户、交易数据等重要信息，应提示客户，经客户确认后以加密方式存储。

第五章 网上证券服务端
第三十六条 网上证券服务端是指证券公司通过互联网向客户提供网上交易、网上行情、数据查询等服务的信息系统，包括互联网接入子系统、安全防护与监控子系统、应用服务子系统、身份认证子系统和后台隔离子系统。

第三十七条 证券公司应提供预留验证信息服务，在客户登录时向客户显示预留的验证信息，帮助客户识别仿冒的网上证券信息系统，防范不法分子利用仿冒的网上证券信息系统进行诈骗活动或盗取用户账号、口令等信息。

第三十八条 证券公司应提供可靠的用户身份认证机制，支持网上证券客户端采用多种认证方式与服务端进行身份认证。除输入账户名、口令、验证码的身份认证方式之外，还应向客户提供一种以上强度更高的身份认证方式，如，客户端电脑或手机特征码绑定、软硬件证书、动态口令等认证方式，确认网上交易客户的身份和登录的合法性，防止非法接入。用户身份认证信息应当在服务器上加密存放。

第三十九条 证券公司应提供可靠的访问控制和权限管理机制，防止客户的授权被恶意提升或转授，防止客户使用未经授权的功能，防止客户进行访问未经授权的数据等非法访问活动。

第四十条 网上证券信息系统采用的认证授权和加密体系应通过国家信息安全机构的安全性测评，具备足够的强度和抗攻击能力，并根据在网上开展证券业务的安全性需要和信息技术的发展，定期检查、评估和及时调整。

第四十一条 网上证券信息系统未经证券公司授权不得与第三方进行任何形式的数据交换，并具备经过认证后仅向授权的第三方指定地址发送信息的功能。

第四十二条 证券公司应保证网上证券数据传输的保密性、完整性、真实性和可稽核性，对网上交易委托的客户信息、交易指令及其他敏感信息进行可靠的加密，加解密应在投资者与证券公司实际控制的设备中进行，不得存在任何中间环节对数据进行加解密。

第四十三条 网上证券服务端应防止用户使用简单口令，应能够抵御连续猜测等对客户账户恶意攻击行为。

第四十四条 网上证券服务端应对不完整、被篡改、重发的数据包进行监控，对登录、委托方式、品种、价格、数量、操作频率、转账等异常行为进行跟踪、监控和限制，记录其账号、IP地址等相关信息，并通过短信、电话等方式及时提示客户，必要时进行用户临时锁定。监控和处置情况应形成记录备查。

第四十五条 网上证券服务端应能监控并避免攻击者通过群体大规模对合法证券账户进行非法用户登陆的请求，导致大量用户账户被异常锁定，正常用户无法登陆。

第四十六条 网上证券服务端应能在指定的时间间隔到期后，自动中止用户对系统的访问权。

第四十七条 网上交易服务端应能产生、记录并集中存储必要的日志信息，其中应包含能识别服务请求方身份的内容、登录终端的IP地址、MAC地址、手机号码和终端特征码等，并确保数据的可审计性，满足监管部门现场检查要求及司法机构调查取证的要求。

第四十八条 网上证券服务端应能向客户提供可证明服务端自身身份的信息，以确保客户能查验所使用服务的真实性。

第四十九条 网上证券服务端应能够有效屏蔽系统技术错误信息，不将系统产生的错误信息直接反馈给客户。

第五十条 网上证券服务端应能够提供系统运行健康状况信息(如活动状态、并发在线客户数目、并发会话数目、线程数目、队列长度等)、错误信息、安全警告等。

第五十一条 基于浏览器的网上证券下单网页应当使用HTTPS等加密方式与服务端交互，服务端应具备防范SQL注入式攻击、跨站脚本攻击等网页攻击的能力，同时关闭HTTP服务器的Web远程维护功能。

第六章 移动证券
第五十二条 移动证券指客户通过手机或其他具备无线数据通讯能力的移动设备，经无线公众网络获取证券公司提供的行情信息、资讯信息服务或进行交易、转账、查询等证券自助业务。

第五十三条 证券公司应使用安全、可靠的移动证券系统。移动证券系统宜自主运营，实现数据从用户终端到网上证券服务端之间的加密传送和控制，并随着技术的发展，不断提高加密强度，完善认证算法。

第五十四条 证券公司应建立确认机制以保证客户获得正确的移动证券客户端软件。

第五十五条 移动证券客户端应具备一定加密强度的用户认证功能，保护客户账号和口令信息。

第五十六条 证券公司应在门户网站或固定营业场所公告短信服务号码、移动证券门户网站地址等信息，提醒客户防范他人利用移动通讯设备进行欺诈。

第五十七条 证券公司应根据移动证券业务的网络延迟时间、链路稳定状况、信号衰减程度等风险因素，对行情或交易数据可能出现明显滞后或产生数据丢失的情况，事先对客户进行风险提示。

第七章 安全管理
第五十八条 证券公司网上证券信息系统的管理、开发、测试应与运营人员及生产环境分离。开发、测试和运营人员未经授权不得访问、修改非职责范围内的网上证券信息系统。

第五十九条 证券公司应制定在网上开展证券业务连续性计划，保证在网上开展证券业务的连续正常运营。在网上开展证券业务连续性计划应充分评估第三方服务供应商对业务连续性的影响，并应采取适当的预防措施。

第六十条 客户使用的网上证券委托软件应由证券公司管理和授权发布，证券公司应对其授权第三方发布的证券委托软件进行审核、监管。

第六十一条 证券公司应采取有效措施对门户网站上提供下载的网上证券客户端软件程序进行保护，客户端软件程序编译封装、形成下载文件后，应安排专人对其进行严格的病毒扫描和木马检查，并通过专用安全手段传输至网站文件下载服务器。

第六十二条 证券公司网上证券应用系统上线或重大版本升级，应进行安全测试和评估。

第六十三条 原则上不允许通过互联网对网上证券信息系统（如防火墙、网络设备、服务器等）进行远程管理和日常维护等操作，对网上证券信息系统的访问控制应做到：

（一）关闭网上证券信息系统所有与业务和维护无关的服务及端口，严格控制防火墙中的权限设置，确保按“最小权限原则”进行设置；

（二）对于网上证券信息系统的内部访问，应严格限制访问源。

（三）特殊紧急情况下需要通过互联网进行远程操作时，应通过限制登录IP、使用数字证书或动态口令、全程监控等措施确保安全，并在操作完成后，及时关闭相关端口。

第六十四条 证券公司应部署有效的网上证券信息系统安全防护与监控子系统，包括防火墙，防病毒、防木马系统，入侵检测系统或入侵防护系统，并正确配置。应及时更新病毒库，定期对系统进行全面的病毒扫描，加强相关系统的日志审查工作，提高网上证券信息系统的防护能力。

第六十五条 证券公司制定的安全措施，应定期检查、测试，并根据实际情况及时调整，保证安全措施的持续有效。

第六十六条 证券公司应建立定期的网上证券信息系统安全风险评估机制和整改的工作制度，及时发现SQL注入漏洞、弱口令账户、绕过验证、目录遍历、文件上传、跨站脚本等系统存在的安全隐患和漏洞，并进行改进和完善。风险评估应通过内部评估与外部评估相结合的方式进行。

第六十七条 安全风险评估应包括漏洞扫描、攻击测试、病毒扫描、木马检测等，针对不同的威胁设置相应的检查频率。

第六十八条 证券公司应对网上证券信息系统进行实时监控，建立异常事件的甄别、报警、处理和报告机制。网上证券信息系统实时监控范围应包括各种安全设备、网络设备、服务器设备及操作系统、通讯线路状态及应用软件等。监控内容包括其运行状况、日志内容、安全警告等，并统一记录保存监控信息，保存期至少为6个月。

第六十九条 证券公司应通过多种技术手段加强对投资者账户异动情况的监控，如委托的方式、品种、价格、数量异常等，并及时提醒客户，以保护客户资产安全。

第七十条 证券公司应对网上证券信息系统中包括网络安全设备、服务器以及应用系统在内的账户进行严格管理，账户权限应按最小权限原则设置，清除所有冗余、与应用无关的账户，并严格限制各管理员账户的使用，禁止用最高权限账户执行一般操作,尽量避免以最高权限账户运行网上信息系统服务端应用软件。

第七十一条 管理员账户和口令应由专人负责，口令长度应在12位以上，且含有字符和数字，区分大小写，并定期更改。

第七十二条 证券公司应严格限制人工对数据库操作的账户权限，并应分别使用不同权限的账户执行查询、插入、更新、删除等操作。

第七十三条 网上证券信息系统各环节应有可靠的热备或冷备措施，保证整个系统的高可用性。

第七十四条 证券公司应根据自身实际情况制订网上证券信息系统的数据备份计划并落实执行。备份的数据应包括：系统程序、配置参数、系统日志、安全审计数据、门户网站信息、客户数据等。

第七十五条 证券公司应保证备份数据的准确性、完整性、可用性。备份数据的管理应符合相关技术管理规定，有严格的保管、使用、检查管理制度。

第七十六条 证券公司应当保障网上证券信息系统运营设施、设备以及安全控制设施、设备的安全。对重要设施、设备的接触、检查、维修和应急处理，应有明确的权限规定、责任划分和操作流程，并建立日志文件管理制度，如实记录并妥善保管相关记录。

第七十七条 证券公司应定期评估可供客户使用的网上证券信息系统的资源状况，并根据实时监控信息、可预见的业务发展需求进行容量的需求预测，确保有充足的处理能力、存储容量和通讯带宽，满足业务增长的需要，保证网上证券服务的可用性，并能抵御一定程度的拒绝服务攻击和缓冲区溢出攻击。

第七十八条 在网上开展证券业务的网络系统、安全系统、应用系统等重要环节应具备足够的冗余，以应对网站及网上交易可能出现的突发峰值；在网上开展证券业务的网络系统、安全系统、应用系统等重要环节应具备良好的可扩充性，以应对业务增长和市场的变化。

第七十九条 证券公司应建立严格的变更管理流程，对包括网络安全设备、服务器、应用系统等软硬件系统和配置变更实行规范化的变更管理，完整、真实地记录和反映系统所涉及的软硬件配置及相互影响关系，并保持与实际生产环境同步更新。

第八十条 证券公司应建立网上证券信息系统应急处理组织体系，并制定相应的应急预案，应急预案应纳入证券公司和行业的应急预案体系内，并按照有关规定进行演练。

第八十一条 证券公司应根据网上证券信息系统故障的影响和损失情况对应急组织体系和应急预案进行分级管理和执行，并遵循统一领导、快速响应、协调配合、最小损失的原则。

第八十二条 证券公司网上证券信息系统应急预案应针对电力、通信等基础设施故障、计算机硬件或网络设备故障、操作系统或应用系统故障、操作系统或应用系统漏洞、病毒入侵、恶意攻击、误操作、不可抗力等可能的故障原因制定对应的应急恢复操作流程或步骤。

第八十三条 证券公司在发现假冒本公司网上证券服务的非法活动或者网上证券信息系统出现重大安全事件后，应及时向监管部门、公安机关报告。在启动实施网上证券信息系统应急预案时应及时向投资者公告。对于假冒本公司的非法活动应及时通过证券公司网站、网上证券客户端、电话语音系统或短信平台等提醒投资者注意。

第八章 附则

第八十四条 本指引由中国证券业协会负责解释。

第八十五条 本指引自发布之日起施行。