Tag: 政策解读

政策解读|证券期货行业如何做好数据安全管理与保护

安恒信息安全咨询讲武堂

讲武堂，带兵者研究武学之所。今设“安恒信息安全咨询讲武堂”，与圈内人士共同聚焦、分享安全咨询领域的心得体会与实践经验。

本期聚焦《证券期货业数据安全管理与保护指引》内容解读，为行业数据安全体系化建设提供参考依据，欢迎大家文末留言探讨。

指引制定背景

随着近年来相关法律法规与行业标准相继出台，数据安全体系建设的监管要求日趋严格。其中《网络安全法》《数据安全法》将信息安全和数据安全上升为国家战略，明确指出各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。

近日，证监会正式发布并实施JR/T 0250—2022《证券期货业数据安全管理与保护指引》（以下简称“指引”），在结合JR∕T 0158-2018《证券期货业数据分类分级指引》将数据定级划分为1至4级的基础之上，进一步对不同安全级别的数据在数据生命周期的各个过程域中宜采取的管控措施进行细化，为证券期货行业建设体系化的数据安全架构提供了具有强落地性和可执行性的参考依据。

指引适用范围

指引适用的证券期货业机构包括：证券期货业市场核心机构、证券期货基金经营机构、证券期货信息技术服务机构和证券期货业市场监管机构，作为其开展数据安全管理与保护工作的参考和指引。同时，涉及国家秘密的数据不在指引的适用范围里。

术语定义

指引首次定义了四个新的概念：

数据接触者：

在数据采集、数据展现、数据传输、数据处理、数据存储过程中的参与者，包括投资者、经营机构、服务机构、核心机构、监管机构等。

数据控制者：

可以授权或拒绝访问某些数据、决定数据使用和数据处理目的和方式，并对其完整性、可用性和安全性负责的个人或机构。

可控区域：

在每个数据过程域中，数据控制者独立拥有直接承载数据的信息基础设施和其所承载信息系统的管理权或使用权的区域。例如本地机房、租赁场地但设备自有的机房、私有云等环境。

非可控区域：

在每个数据过程域中，数据控制者非独立拥有直接承载数据的信息基础设施或其所承载信息系统的所有权或使用权的区域。例如托管的机房、租赁设备的机房、公有云、混合云等环境。

基本原则

在过程域划分原则上，指引中的数据存储阶段涵盖了数据删除和数据销毁两个环节，进行了部分环节的合并与调整。

指引同时强调从组织、制度、技术方面建立数据安全体系，提高整体防护能力，也须注意数据级别与数据安全防护的差异性，确保实用性。同时也建议各机构依据自身情况，将数据安全管理进行具体落实。

组织架构

从上述内容中可以看出，指引在遵循了《数据安全法》中需确定数据安全最高责任人的要求之外，还明确了其应当履行的职责，在现行的各数据安全管理相关部门中选定一个部门或者新组建一个数据安全管理部门作为数据安全管理的主责部门。

同时指引还针对数据安全管理部门、合规风控部门、业务管理部门、信息技术部门和内部审计部门明确了各部门的数据安全管理职责的责任划分，建立了数据安全工作分工协作的机制。

制度建设

制度体系建设作为数据安全体系建设中不可或缺的一部分，需要建立数据安全工作开展的管理组织和管理流程，形成明确的数据安全管理机制，指引中共列出了九份制度清单，包括一份数据安全管理办法和八份管理细则：

除此之外，基于《数据安全法》和《个人信息保护法》等法律法规的要求，结合安恒信息多年的数据安全实践经验，建议应补充如下三份管理制度：

数据分类分级管理制度：内容应明确数据分类分级的工作流程，确定相关人员职责，明确数据分类的原则和方法、数据分级的原则和方法，明确数据分类分级的逻辑框架等。

数据安全风险评估管理制度：内容应明确数据安全风险评估工作开展的原则、工作流程、风险计量方式、风险处置整改流程等。

个人信息保护管理制度：内容应明确个人信息保护的原则、个人信息的类型和敏感程度、用户信息保护的管控措施、内部员工信息保护的管控措施以及相关工作开展的流程等。

数据安全管理与保护

在数据安全管理与保护部分，指引从管理安全、技术安全和数据接触者安全三个角度，针对不同安全级别的数据明确了其在不同的生命周期过程域中、涵盖了可控区域和非可控区域的宜采取的各项管控措施，为数据安全体系的落地提供了细颗粒度的指导。

（一）不同级别数据安全指引

与JR∕T 0158-2018《证券期货业数据分类分级指引》数据定级相适应，指引将数据安全管理与保护划分为四级，在数据生命周期各阶段提出在管理、技术等维度，提供与该级别数据相对应的安全指引。

不同级别的数据安全管理与保护相关的要求、标准，呈逐级递增趋势，与数据重要性等分级的业务属性相符合。

（二）数据生命周期过程划分

指引中，数据生命周期包括数据采集、展现、传输、处理、存储五个阶段过程，依据数据的不同级别给出相对应的安全要求与措施。

数据生命周期过程的划分，为证券期货行业在数据安全管理体系与技术体系的建设过程中，能够依据自身数据的不同场景设计安全管理与保护能力，确保覆盖数据面临的全面风险。

（三）可控区域安全管理与保护

各级数据安全指引针对数据控制者的可控区域，提出包括管理指引、技术指引方面的细化要求，同时对2级及以上的数据提出数据接触者指引的概念并细化了相关要求。

可控区域数据安全保护，是数据控制者与保护责任者必须独立构建数据安全管理、技术防护的重点工作。在实践过程中可与机构内部管理体系、技术体系进行有效融合，提高整体安全效率与安全效能。

（四）非可控区域安全管理与保护

针对非可控区域的数据安全管理与保护，是与数据的流转、使用等场景相适应的，有利于差异化数据安全保护方案的实践，确保数据生命周期安全的同时，保障数据价值的充分发挥。

非可控区域数据安全保护，是在可控区域数据安全要求基础上，对数据控制者和其他相关方，对该阶段数据场景“外延场景”在管理、技术等方面提出的细化要求。

随着数据安全保护相关标准要求不断完善和安全监管力度的不断强化，数据安全治理与保护工作任务日益艰巨。安恒信息多年来积极参与国家、行业网络安全与数据安全标准规范的制定，持续投入相关资源，进行数据安全风险评估体系、安全管理体系、技术支撑体系、安全合规体系等方面的研究，在金融等重点行业取得了丰富的实践经验。为各金融机构和各行业用户提供专业的数据安全咨询能力，确保数据安全工作的合规性，切实保障数据资产的整体安全。

外贸出口退税，最晚啥时候能申报？别慌，看完就懂了！

做外贸的朋友们，是不是经常操心一个问题：出口退税，最晚啥时候申报？ 超期了是不是就退不了？别担心，咱们今天就把这事儿掰扯清楚，其实规则很明白！

核心规则就两点，记清楚：

（一）正常申报期（赶早别赶晚！）：

官方说法（这部分咱照搬政策原文，很重要）：“企业应在货物报关出口之日次月起至次年4月30日前的各增值税纳税申报期内，收齐有关凭证，向主管税务机关办理出口货物增值税、消费税免退税申报。”大白话：比如你2024年出口的货，最晚得在2025年4月30日之前的那个增值税申报期（通常是2025年4月18日左右截止）报上去，而且该收齐的单证都得收齐了。简单记： 出口的第二年4月申报期截止前报！这是最理想、最省心的状态。

（二）超期了还能报吗？（能！但有条件）：

官方说法（同样重要原文）：“纳税人出口货物劳务、发生跨境应税行为，未在规定期限内申报出口退(免)税的，在收齐退(免)税凭证及相关电子信息后，即可申报办理出口退(免)税。”好消息：过了上面说的那个“次年4月截止日”也能报！ 关键是你得把退税需要的所有凭证和信息都收齐了才行。注意点： 超期申报时，记得同时报送一份《出口货物收汇情况表》和相关的证明材料。这个别漏了！

重点来了：钱啥时候收到？(收汇时限)

光报上去还不行，税务局还看钱（外汇）有没有按时回来！

情况二：合同约定收汇时间本来就晚情况三：真收不回来了，也不符合“视同”条件

总结一下关键时间点（以2024年出口货物为例）：

【最理想申报截止】

2025年4月增值税申报期截止日 (约2025.4.18)

要点提示：收齐凭证+申报+收汇都得在这之前完成！最省心！

【超期申报可行】

不限时间

要点提示：必须收齐所有退税凭证和信息，申报时附《出口货物收汇情况表》+举证材料。

【收汇截止】

2025年4月增值税申报期截止日 (约2025.4.18)

要点提示：钱最晚这天要收到。

【收汇补救】

视情况而定

要点提示：

①符合“视同收汇”？备查材料即可；

②合同约定晚收？按合同时间收即可；

③真收不回且不符合条件？退税无望，可能需冲回/补税，最终免税。

注意！此种情况我在上一篇文章中也做了详细介绍，大家可以查看历史文章。

↓↓↓在这里

货物出口后收汇有问题，还能申请退税吗？别慌，来看看这两种情况

所以，回到最初的问题：最晚什么时候申报？

理论上最晚： 只要你收齐了所有退税需要的凭证和信息，随时都能申报！没有绝对的“死线”说过了XX日就不能报了（除了政策规定的那个正常申报期）。但实际操作：强烈建议在正常申报期（次年4月申报期截止前） 搞定！这是最顺畅、要求最宽松的时候。收汇问题卡脖子！ 即使你能超期申报，钱（外汇） 必须在那个“次年4月申报期截止日”前到位（或者符合视同/合同约定条件）。钱没搞定，报上去也可能退不成，甚至可能惹麻烦（需要冲减、补税）。

我的建议：

大家想一想，退税也是咱们企业的真金白银，流程上虽然有点细节，但核心规则其实就上面这些。理清楚时间点和关键要求，心里有数，操作起来就不慌！赶紧检查一下你手头的单子和外汇情况吧！