国泰君安证券股份有限公司(以下简称“国泰君安”或“公司”)致力于成为“受人尊敬、全面领先、具有国际竞争力的现代投资银行”,在加快布局数字化转型的背景下,公司高度重视数据安全及隐私保护治理,以务实推进安全的“数字化经营”。
公司致力于将数据安全管理融入到公司各个业务及各个环节,严格保障公司管理和技术的规范,为客户提供安全和优质的体验。公司严格遵循《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》《信息安全技术——个人信息安全规范》《证券期货业网络和信息安全管理办法》《证券期货业数据安全管理与保护指引》《证券期货业数据分类分级指引》《证券期货业移动互联网应用程序安全规范》《个人金融信息保护技术规范》《移动金融客户端应用软件安全管理规范》等法律法规及监管要求,敦促、加强和规范网络及数据安全管理与个人信息保护工作,为公司各项业务保驾护航,保障客户个人信息主体权益。
一、管理架构及管理制度(一)数据安全管理架构
完善的管理架构为公司数据安全管理提供保障。公司遵循“责任明确、授权合理、流程规范、技管结合”的工作方针,建立了由数据治理领导小组、数据治理工作小组、数据治理执行层组成的三层管理组织架构,构建了数据安全三道防线,并明确了各层级的职责归属,致力于打造更安全、透明、合规、高效的管理体系。
▼表1 国泰君安数据安全管理架构
层级 |
职责 |
决策层:数据治理领导小组 |
数据治理领导小组是数据安全管理的议事决策机构,负责组织制定公司数据安全的总体方针、政策制度、目标策略、工作计划及考核标准,统筹数据安全资源,并对公司的数据安全工作进行指导、评估及监督。 |
管理层:数据治理工作小组 |
数据治理领导小组下设工作小组,作为数据安全的管理层,负责推动各单元落实数据治理领导小组的各项工作要求。 |
执行层:公司总部各部门、各分公司数据治理专员 |
公司总部各部门、各分公司负责数据安全工作的具体执行,在业务开展及经营管理过程中对所在单位的数据负有安全管理职责,落实所辖业务、系统和流程中涉及的数据安全管理要求和控制策略。 |
(二)管理制度
为规范数据安全及隐私保护的管理体系,公司制定《国泰君安证券股份有限公司数据治理工作管理办法》《国泰君安证券股份有限公司业务系统权限与信息安全管理办法》《国泰君安证券股份有限公司数据安全管理实施细则》等制度,适用于公司总部各部门、分支机构、子公司,明确了公司数据安全的主要目标、基本要求、工作任务、保护措施等重点,旨在防范因数据泄露或不正当使用个人信息导致的风险,加强和规范公司网络及数据安全管理,保护公司信息系统和数据安全。
其中,《国泰君安证券股份有限公司数据安全管理实施细则》在数据分类分级的基础上明确了数据生命周期各阶段的安全保护要求,建立覆盖数据采集、数据展现、数据传输、数据处理、数据存储的安全管控框架,持续推进数据在安全合规基础上的有序流转。公司主要的线上对客服务APP(包括国泰君安君弘、国泰君安道合)已公开并明确告知客户隐私政策,包括《国泰君安证券互联网平台隐私政策》及《国泰君安道合平台隐私政策》。
▼表2 国泰君安数据安全及隐私保护政策
类别 |
政策名称 |
适用范围 |
数据安全 |
《国泰君安证券股份有限公司数据安全管理实施细则》 |
公司总部各部门、各分公司,子公司参照管理细则开展数据安全管理工作。 |
隐私保护 |
《国泰君安证券互联网平台隐私政策》 |
包括国泰君安君弘APP、君弘富易、君弘商城、国泰君安君弘公众号及其各子页面等。 |
《国泰君安道合平台隐私政策》 |
包括国泰君安道合APP、国泰君安道合中英文网站、国泰君安道合微信小程序、国泰君安道合微信服务号等。 |
二、数据安全管理措施为应对潜在信息及隐私泄露事件并防范公司数据安全保护机制中可能存在的风险,公司采取主动和被动相结合的数据安全保护措施,实现快速遏制并缩小数据信息泄露事件对公司及客户权益的负面影响。公司通过定期的内外部审计核查确保信息安全政策的合规性,以及系统保障方面达到行业标准。
(一)主被动相结合的数据安全保护措施
公司建立了高效的应急响应和预警机制,并采取主动与被动相结合的措施维护数据安全,具体措施如下:
主动措施
1.建立预警响应机制。针对发生的应急事件,对事件的基本情况、可能造成的影响范围和后果、已采取的防范措施及相关建议等信息进行详细报告,并按照事件的严重性和紧急程度,对各级别提出差异化预警处置要求、采取相应防范措施、预备应急所需的设备和资源;
2.建立数据脱敏系统。系统具有精准的敏感数据发现、丰富的数据脱敏算法、统一的敏感元数据管理、多重的任务分发、多样的数据脱敏方式、保证数据一致性、完善的安全审计与动态监控体系等功能。公司以数据脱敏系统为重要工具平台,实现了客户隐私的有效保护,提升了敏感数据的安全处理。
被动措施
1.建立应急管理组织架构,确定关键业务及其恢复目标,制定应急预案,配置充足关键信息技术资源,稳妥处置信息技术突发事件,积极开展应急演练和信息技术应急管理的评估与改进。应急管理组织架构包括应急指挥领导小组、应急处置工作小组、应急联动工作小组、应急策划工作小组。
2.建立应急响应机制,按照事件持续时间、数据损毁程度,以及对国家金融安全、社会秩序、投资者合法权益造成损害的程度等事件特征,建立五级事件分级标准,并根据事件分级启动对应急处置流程,及时、有效地进行处置。
3.建立应急保障机制,根据公司业务影响分析和信息技术服务连续性风险评估结果,在信息技术服务连续性策略指导下,建设信息技术服务连续性管理所需资源并定期维护,保障信息技术服务连续性计划顺利执行。
(二)政策及系统审计
通过ISO27001认证并接受年度审核
国泰君安证券股份有限公司信息技术部、数据中心通过了ISO27001信息安全管理体系认证,委托中国网络安全审查技术与认证中心(CCRC)进行认证和监督审核,认证范围包括国泰君安证券股份有限公司信息技术部、数据中心所承担的相关应用开发、运营、管理服务、灾备业务。
通过等级保护测评
公司高度重视网络安全等级保护工作,充分认识到等级保护工作既是国家对重要行业网络安全保障工作提出的要求,也是证券期货行业维护信息系统安全运行,维护资本市场健康稳定发展的客观需要。公司依据《信息安全技术网络安全等级保护基本要求》《证券期货业网络安全等级保护基本要求》相关要求进行了等级保护备案,并根据公司信息系统定级情况,委托外部机构每年度对公司信息系统开展安全等级保护测评工作。此外,公司持续参与金融行业及证券行业等级保护标准建设,推进等级保护标准在行业的落地和完善优化。
开展信息安全及隐私保护内部审计
在内部审计方面,公司对照《App违法违规收集使用个人信息行为认定方法》《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》,每年度进行内部审计排查,并对发现的个人信息安全合规问题进行优化整改。
三、客户隐私保护管理措施公司严格遵守《信息安全技术个人信息安全规范》等法律法规及标准,在《国泰君安证券互联网平台隐私政策》及《国泰君安道合平台隐私政策》中,明确了在业务开展的各个环节中收集和处理客户信息、控制访问敏感数据、赋予客户权限、产品和服务开发等方面的管理规范,以保障客户隐私信息。
(一)收集和处理客户信息
收集
公司根据合法、正当、必要、诚信、公开、透明的原则,基于相关政策所述的目的,收集和使用客户的个人信息。如果公司客户的个人信息用于政策未载明的其它用途,或基于其他特定目的而收集客户的个人信息,公司将以合理的方式告知客户,并在使用前再次征得客户的同意。
公司遵循“最小限度、必要收集”原则,采集的数据符合业务开展或经营管理需要,并与合同协议条款、隐私政策中约定采集的内容保持一致,不超范围采集数据。在停止相关业务或无需继续执行数据采集时,将立即停止数据收集活动。
处理
在数据删除部分,公司将依据国家、行业主管部门及内部规章有关规定及与个人金融信息主体约定的时限等,针对不同类型的数据设定其数据保存期。超过国家及行业主管部门有关规定、内部规章及合同协议所述保存期限的数据,将执行数据删除操作。
对公司委托处理客户个人信息的公司、组织和个人,公司会要求其仅按照公司的要求、隐私政策以及其他任何相关的保密和安全措施来处理个人信息。除特定情形及相关法律另有规定外,公司不会向第三方公司、组织或个人提供或转移客户的个人信息。
(二)敏感数据访问控制
针对客户个人数据和敏感数据,公司从数据传输、存储、使用、展示、共享等方面进行了严格的访问控制,并建立相关数据安全保护机制。
▼表3 国泰君安数据安全保护机制
环节 |
保护措施 |
数据传输 |
均使用加密协议,对传输数据进行保护; |
数据存储 |
采用加密存储方式,确保在移动端存储介质中的安全性,客户个人信息的存储时间为业务必需的最短时间; |
数据使用 |
公司对应用账号、操作系统账号、数据库账号均按照“最小权限”原则进行授权管理并进行定期审计,并通过设置网络防火墙、主机防火墙等方式限制访问源,通过安装主机入侵检测工具进行异常行为监测,以避免非法入侵或访问。在数据使用过程中,公司要求业务系统对于敏感数据的显示进行脱敏处理,并严格限制用户查看和下载权限; |
数据展示 |
公司APP客户端对手机号码、交易账号等客户敏感数据进行屏蔽显示,平台页面增加背景水印,降低个人敏感数据截图泄露风险; |
数据共享 |
公司根据业务需求实施静态脱敏和动态脱敏。 |
(三)赋予客户权限
公司保障客户对自己个人信息行使查阅、复制、转移、更正、删除、更改或撤回授权同意的范围、注销账户、拒绝个性化推荐,以及《中华人民共和国个人信息保护法》等规定的其他权利,并提供客服热线和客服邮箱以便客户随时联系。相关客户权利的详细说明,可参见公开发布的《国泰君安证券互联网平台隐私政策》及《国泰君安道合平台隐私政策》。
(四)产品和服务开发规范
公司在产品和服务开发过程中,通过及时更新《国泰君安证券互联网平台隐私政策》,制定《证券APP个人信息保护技术标准》等,对个人信息全生命周期采取安全保障措施,具体措施如采用安全键盘进行输入、使用https进行加密传输、C3类别个人金融信息(主要为各类账户密码)不在客户端中落地存储、客户信息分级权限管理等,以严格保障用户个人信息,最大限度地减少对个人权益的潜在负面影响。
四、数据安全管理配套措施(一)对员工及外包人员开展培训
公司重视数据安全与隐私保护的培训与考核,定期对公司总部、分公司、子公司所有员工进行培训,并每年对信息技术条线的外包人员进行数据安全培训,如公司曾开展“网络安全周——上海市委网信办网络安全知识培训”系列培训,含《中华人民共和国数据安全法》解读、数据出境安全合规解读、数据要素与数据交易安全防护、智能网联汽车数据安全、数据安全管理认证工作解读等多个培训主题。
公司定期开展线上培训、钓鱼邮件测试、现场案例体验等多样化活动,将数据安全培训工作体系化、规范化,并紧密结合实际工作,提高员工日常办公和展业过程中的数据安全防护水平。公司通过现场、线上、邮件传达等多种形式开展合规风控文化培训宣导,并通过开展钓鱼邮件测试对集团全体员工进行防钓鱼攻击知识宣贯,加深员工对数据安全风险和防范技巧的认知能力。
(二)供应商数据安全管理
公司在不断提升自身数据安全及隐私保护水平的同时,积极推动供应商及合作伙伴完善数据安全管理。针对供应商合作伙伴,公司参照《证券期货业网络和信息安全管理办法》《证券基金经营机构信息技术管理办法》《国泰君安股份有限公司供应商管理办法》等制度文件的要求,在前期商务阶段、中期实施阶段、后期验收阶段及供应商考核,全方位检验供应商及合作伙伴对信息安全的遵守情况,并在供应商考核中明确列出了数据安全相关指标,以助力提高行业整体数据安全水平。
版权所有 ? 国泰君安证券股份有限公司
由国泰君安证券股份有限公司ESG与可持续发展委员会于 2023 年 10 月 24 日更新
Copyright ? 1999-2023 GuotaiJunan Securities Co., Ltd
支持IPv6 上海市互联网违法和不良信息举报中心 举报方式:021-38676666 website@gtjas.com
