国元证券股份有限公司(以下简称国元证券或公司)高度重视信息安全管理和个人隐私保护工作,严格遵循《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《证券基金经营机构信息技术管理办法》《证券期货业网络和信息安全管理办法》等法律法规,构建健全的数据安全及个人隐私保护治理架构,完善相关制度体系,深化主动预防与被动响应机制建设,持续提升公司信息系统安全等级,进一步保障客户权益与公司数字资产安全。本管理声明适用于国元证券股份有限公司各业务条线、分支机构及控股子公司。
一、治理架构与制度
公司健全数据安全及隐私保护治理架构和职责分配机制,构建“信息技术治理委员会—数据治理领导小组—业务和执行组”自上而下、权责明确的三级管理架构。信息技术治理委员会为决策层,职责包括制定公司信息技术治理目标和工作计划,审议制度、重要流程、信息技术规划、年度预算、应急预案等,信息技术治理委员会由首席信息官负责牵头,直接向董事会负责,由董事会担任最高责任机构,负责公司隐私和数据安全战略及绩效 。
层级 | 委员会/部门 |
决策层 | 信息技术治理委员会 |
管理层 | 数据治理领导小组 包括组长、副组长、其他相关部门经理、秘书部门 |
执行层 | 业务组 包括数据质量管理员、数据质量专员 |
技术组 包括数据标准管理员、元数据管理员、技术部门数据治理专员、系统管理员 |
公司制定并完善数据安全及隐私保护制度,包括《国元证券股份有限公司数据治理管理办法》《国元证券股份有限公司数据安全管理细则》《国元证券股份有限公司数据分类分级管理细则》《国元证券股份有限公司个人信息保护管理办法(试行)》等,持续推动数据安全及个人隐私保护治理。
二、数据安全管理机制
(一)信息安全主动措施
规范公司数据生命周期管理工作,保障数据传输、存贮、加工、分析和应用等过程合规、有效,提升数据使用效率和使用价值,避免数据管理各环节的泄漏风险 。
规范公司数据分类分级管理工作,厘清公司数据资产,明确数据重要性和敏感度,建立数据分类分级体系框架对数据的分类、定级等系列活动进行有效干预并监督,有效进行数据资产管理与保护 。
每年组织进行第三方外部审计,针对信息系统治理、数据安全管理等各领域,识别评估可能存在的风险,给出最佳实践方案,有效提升信息技术管理水平等 。
面向全体员工(包括劳务派遣员工)定期开展数据安全及客户隐私保护相关培训 。
以每年不低于一次的频率开展信息安全应急演练,应急演练在两年内覆盖全部重要信息系统。
严格执行信息系统7*24小时值班制度,交易时间设专人实时监控重要信息系统,并使用7*24小时自动监控报警系统。
(二)信息安全被动措施
根据系统的重要等级建立本地、同城和异地数据备份设施,重要系统每天至少备份数据一次,每季度对数据备份进行有效性验证。建立重要信息系统的故障备份设施和灾难备份设施,根据信息系统的重要程度和业务影响情况,确定恢复目标。
在被动应对阶段,若发生网络安全和数据泄露事件,值班及监控人员立即向单位负责人报告并初步判定事件级别。若为较大及以上级别事件,由应急处置总指挥启动应急预案,同时应急处置人员需全程记录处置过程、留存证据,并动态通报事态进展与处置情况。对于发生网络安全和数据泄露事件的单位,公司要求其在发生7日内完成内部调查并提交总结报告,结合事件特征与处置实践,系统分析事件根源及演变路径,总结应急响应中的经验教训,形成案例库与知识文档,并针对暴露的薄弱环节制定整改计划,确保风险隐患闭环管理,切实提升网络和数据安全防御能力 。
(三)信息安全认证与审计
公司每年对信息系统安全等进行审计。针对ISO27001信息安全管理体系认证开展前期论证工作,预期于2025年末实现公司数据中心、机房100%认证覆盖。
三、个人隐私保护
国元证券给予客户充分的个人信息与数据管理权限,在运营及业务开展的各个环节中均遵循用户个人信息及数据的管理规范,保障用户隐私不受到侵犯。
(一)用户对个人信息及数据的控制权
公司制定数据保护相关规章制度和隐私政策,保障客户使用国元点金APP过程中,享有包括但不限于访问、修改、删除用户的个人信息的权利,以及告知、同意、查看、撤回、注销账号等自主化个人信息和数据管理服务,确保用户对个人信息的控制权。
(二)用户信息及数据收集
根据《国元证券股份有限公司个人信息保护管理办法(试行)》规定,公司收集个人信息,并向用户告知收集、使用个人信息的目的、方式和范围等规则,并获其授权同意;不得以欺诈、诱骗、误导的非法方式收集个人信息、不得隐瞒产品或服务所具有的收集个人信息的功能;依照“最小必要”原则,确保收集的个人信息类型与实现产品或服务的业务功能有直接关联,以最低频率自动采集个人信息,以最少数量间接获取个人信息;当产品或服务提供多项需收集个人信息的业务功能时,不得违背用户的自主意愿,强迫用户接受产品或服务所提供的业务功能及相应的个人信息收集请求。
(三)用户数据存储、使用及传输
根据《国元证券股份有限公司个人信息保护管理办法(试行)》规定,除法律法规另有规定或者用户另行授权同意外,公司依据“个人信息存储时间最小化”原则,将个人信息存储期限设定为实现用户授权使用的目的所必需的最短时间;收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理;个人敏感信息在传输和存储时,应采用加密等安全措施,确保个人生物识别信息应与个人身份信息分开存储。
根据《国元证券股份有限公司个人信息保护管理办法(试行)》规定,使用个人信息时,不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围;在业务运营或对外业务合作中使用用户画像的,不得侵害公民、法人和其他组织的合法权益,除为实现用户授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。在进行个人信息访问时,建立最小授权的访问控制策略,使其只能访问职责所需的最小必要的个人信息,且仅具备完成职责所需的最少的数据操作权限;对个人信息的重要操作设置内部审批流程。
根据《国元证券股份有限公司个人信息保护管理办法(试行)》规定,个人信息传输过程的参与方应保证信息在传输过程中的保密性、完整性和可用性。输入个人信息前,通信双方应通过有效技术手段进行身份鉴别和认证,通过公共网络传输时,按信息保密类别使用相应的加密通道或数据加密的方式进行传输。
减少数据收集和保留,公司承诺除国家法律、公共安全相关或处于完成交易、服务等情况外,不会向第三方出租、出售或提供个人数据/服务。
(四)用户数据删除
根据《国元证券个人信息保护管理办法(试行)》规定,在交易目的已实现、停止提供产品或服务、客户数据超出保存期限后,采取技术手段,在金融产品和服务所涉及的系统中去除个人信息,使其保持不可被检索和访问。
四、对供应商与合作伙伴的要求
除法律法规相关规定或政府主管部门强制性要求,公司仅会出于合法、正当、必要、特定、明确的目的,在获取明确客户同意的情况下,出于完成交易、服务的目的进行第三方数据共享,同时要求第三方签署严格的保密协定,对个人信息进行合理的保密措施。公司承诺不会出于完成交易、服务之外的目的向第三方采集或提供个人金融信息。
公司在供应商筛选环节,充分考虑其对信息安全和数据隐私保护的重视程度及相关建设举措;在合同签订过程中,明确要求不得将客户信息以任何形式转让、销售、赠送或泄漏给第三方。此外,公司对供应商的数据安全与隐私保护制度制定、持续监控等工作作出相关规定,要求供应商制定数据安全与隐私保护制度,采取完善的数据安全及隐私保护措施,针对数据泄漏等异常情况制定应急预案,并在日常管理工作中遵照执行;如果发生数据安全或隐私保护违规事件,供应商须及时汇报相关事件及整改措施,公司可对供应商相关管理举措及义务履行情况进行合规性审查。