东方证券股份有限公司隐私及数据安全管理声明
2023/08/02
东方证券股份有限公司(以下简称“东方证券”或“公司”)高度重视数据安全管理和用户隐私保护工作,严格遵循《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《证券基金经营机构信息技术管理办法》《证券期货业网络和信息安全管理办法》《证券期货业数据分类分级指引》《金融数据安全数据生命周期安全规范》等法律法规和监管指引,坚持以“保密性、完整性、可用性”为基本原则开展数据安全及客户隐私保护管理工作,持续健全数据安全管理体系,不断强化内部数据安全治理,深化客户隐私保障建设。
本管理声明适用于东方证券股份有限公司总部、各分支机构及子公司。
一、建立数据安全管理体系
公司持续加强数据安全管理体系建设,完善数据安全管理架构,并通过内外部专项审计,不断建立健全公司数据安全管理体系。现阶段,公司信息安全管理体系已经通过ISO27001认证,实现公司数据中心、机房100%认证覆盖。
在完善数据安全治理方面,公司设立首席信息官,建立了“数据治理委员会—数据治理归口管理部门—数据安全工作小组”三级治理架构,分别负责数据安全工作的监督决策、统筹安排与落地执行。
在加强数据安全管理制度建设方面,公司制定了《东方证券股份有限公司数据治理办法》《东方证券股份有限公司计算机信息系统安全管理办法》《东方证券股份有限公司数据安全管理规范》《东方证券股份有限公司数据分类分级管理指引》《东方证券股份有限公司数据脱敏方案管理指引》等适用于公司各业务条线及子公司的内部制度和行为规范,对数据分级分类管理、数据全生命周期安全管理、数据安全风险评估与数据安全事件处置、客户金融信息保护等方面进行明确规定。
在健全数据安全管理体系方面,公司围绕管理体系的管理标准以及落实情况,开展内外部专项审计,不断完善相关管理细则与要求。按照《证券基金经营机构信息技术管理办法》,公司每年开展信息技术管理工作专项内部审计,并确保每三年对公司信息技术管理全部事项完成一轮全面审计;每三年聘请第三方机构进行专项外部审计。内外部专项审计内容包括公司的信息技术治理、信息技术合规与风险管理、信息技术安全管理、应急管理、信息技术服务机构监督管理等方面的情况。
二、夯实数据安全管理机制
为了有效落实公司数据安全管理体系要求,公司采取主动管理与被动响应相结合的措施,通过数据全生命周期管理机制、数据分级分类管理机制及数据安全应急管理模式,做好数据安全风险防范与应急管理工作,并不断提升全体员工的数据安全意识及能力,切实加强公司内部数据安全治理,避免数据泄露带来的多重风险。
1.主动措施
在强化数据安全主动管理方面,东方证券针对数据采集、数据传输、数据存储、数据处理、数据使用、数据删除等数据全生命周期的各个环节建立了严格的治理机制,通过规范数据采集流程及采集方法、应用受控网络及受控传输介质、采用分级存储和加密存储方式、明确数据使用权限、使用可靠的数据安全消除手段等方式,避免数据管理各环节的泄露风险。
此外,公司采取数据分级管理机制,根据内部数据安全分类标准,综合考量数据的重要性和敏感度差异,将数据划分为四个级别,并基于不同级别对数据实行加密存储、密码保护、访问授权、访问监控及对承载数据的服务器网络环境进行访问控制等分级分类管理。
在提升员工数据安全意识及能力方面,公司面向全体员工(包括派遣至公司工作的劳务派遣工),开展数据安全及客户隐私保护相关培训,包括针对《数据安全法》及《个人信息保护法》的主题学习及专项考试。
2.被动措施
在加强数据安全事件应急处理方面,东方证券设立有应急指挥中心(信息安全应急小组),负责落实公司数据安全应急管理工作,并建立了《东方证券股份有限公司网络安全应急预案》及《网络和信息系统子预案》,针对数据泄露事件场景、性质、严重程度、可控性及影响范围,进行安全事件等级划分,明确各等级安全事件的处理时限要求及事件升级机制,形成从信息安全预防预警到应急响应的闭环处理模式,并在日常运营及业务开展过程中进行信息安全应急演练。
三、强化客户隐私保护
东方证券高度重视客户隐私保护,给与客户充分的个人数据管理权限的同时,在公司运营及业务开展的各个环节中明确客户信息及数据的管理规范,保障客户隐私不受到侵犯。
在保障客户数据管理权利方面,公司通过制定数据保护相关规章制度和隐私政策,保障客户对其个人金融信息的处理享有知情权及决定权。客户有权通过公司官方APP、营业部现场等渠道访问和管理个人信息。
在客户信息收集及储存方面,根据公司数据安全管理规范及用户隐私政策,客户数据采集需考虑其必要性,不得收集与服务无关的业务信息、个人金融信息等;除法律、行政法规另有规定外,公司仅在为实现处理目的所必要的最短时间内保存客户个人信息,在交易目的已实现、停止提供产品或服务、客户数据超出保存期限后,公司会根据法律法规监管的要求妥善处理。
在客户数据访问管理方面,公司制定《东方证券股份有限公司数据需求管理指引》等管理制度,明确信息系统权限及权限审批管理流程,严格控制客户信息的接触和知悉范围,确保仅有授权人员才可访问个人信息。此外,根据《东方证券股份有限公司数据脱敏方案管理指引》,公司制定了数据脱敏策略,通过模糊化、匿名及差分隐私等加密、去标识安全技术措施和应用,对客户个人信息及敏感数据进行加强管理。
在客户数据第三方共享方面,除法律法规相关规定或政府主管部门强制性要求,公司仅会出于合法、正当、必要、特定、明确的目的,在获取明确客户同意的情况下,出于完成交易、服务的目的进行第三方数据共享,同时要求第三方签署严格的保密协定,对个人信息进行合理的保密措施。公司承诺不会出于完成交易、服务之外的目的向第三方采集或提供个人金融信息。
在监督供应商和合作伙伴落实客户隐私保护管理方面,公司已明确数据安全与隐私保护议题涉及的主要供应商类型,并识别出重点保护内容。在供应商引入环节,如涉及客户隐私相关采购,数据安全及隐私保护将作为重要的投标评分项。在供应商合同签订环节,公司在商务合同中明确要求供应商签订信息保密条款、主流供应商驻场服务人员会签署驻场服务附信息安全承诺书。在供应商合作过程中,将信息安全纳入结项核查范畴,并对供应商数据安全与隐私保护制度制定、数据安全及隐私保护持续监控作出相关规定,要求供应商“制定数据安全与隐私保护制度,采取完善的数据安全及隐私保护措施,针对数据泄露等异常情况制定应急预案,并在日常管理工作中遵照执行。如果发生数据安全或隐私保护方面的违规事件,应及时汇报相关事件及整改措施”,规定公司可通过申请对供应商相关管理举措及义务履行情况进行合规性审查。