多地证监局发文，打击信息泄露、保护投资者信息安全再升级

财联社7月7日讯（记者林坚）距离2021年11月1日《中华人民共和国个人信息保护法》正式实施已过去半年有余的时间。财联社记者获悉，多地证监局于日前向辖区内包括券商、基金公司、投顾公司等在内多类机构下发通知并做出系列要求，要求机构应提高内控管理水平，进一步加强投资者信息安全防护，以切实防范泄露信息违法违规行为的出现。

依据多地证监局下发的文件显示，近年来中国证监会持续加强日常监管，依法从严打击泄露信息违法违规行为，但相关案件仍时有发生，而《证券法》《证券投资基金法》《期货和衍生品法》等法律法规对投资者信息保护作出明确规定，行业机构是投资者信息保护的责任主体，为进一步加强投资者信息保护工作，因此下发上述通知以及做出相关要求。

财联社记者梳理后发现，各地证监局提出的要求主要有以下四个方面内容：

一是健全内控制度。将投资者信息保护纳入公司全面合规和风险管理范畴，规范信息管理；

二是加强信息技术系统建设。开展信息技术系统风险自查，全面梳理、识别、监测、防范因使用信息技术手段引发的安全风险；

三是加强人员管理。建立健全各项制度，以切实防止员工个人行为造成投资者个人信息泄露或滥用等事件的发生；

四是优化防控机制。建立健全信息安全事件应急处理机制，对于突发重大负面舆情，及时发声澄清认识，传递客观信息，防止局部、单一事件蔓延或升级；发生投资者个人信息泄露、损毁、丢失等情况的，及时采取措施，将损失降低到最小。

另值得一提的是，部分证监局下发的通知还显示，将加大执法力度，把投资者个人信息保护纳入日常重点监管范畴，对辖区内机构的投资者个人信息保护情况开展专项排查，针对严重违反相关法律法规的行为，坚决依法查处，从严处罚。

财联社记者注意到，今年以来，多款理财类APP因用户信息问题被通报批评，涉及多家券商机构，主要问题在于APP在未征得用户同意前就开始收集个人信息，并涉嫌隐私不合规。此外，还有三家券商因APP宕机，造成信息安全事故被监管处罚。

投资者信息是投资者个人权益的重要组成部分，保护投资者信息是保护投资者合法权益的重要内容。不难发现，对投资者信息安全的保护是监管长期以来的工作重点。就在不久前，最高人民检察院印发通知要求，将聚焦包括金融行业在内的多个领域打击泄露个人信息违法犯罪。有业界人士在受访时表示，全国证监系统都下发了类似通知要求，对投资者信息安全保护作出了相应规定。

六大违规行为明令禁止，应健全检查问责机制

通知要求，各行业机构要高度重视投资者个人信息保护工作，明确公司内部信息保护牵头部门及合规风控等其他相关部门职责，形成相互监督、相互制约的管理体制。积极有效整合公司内部资源，完善内部工作制度，明确决策层、管理层和执行层等各层级人员职责，确保信息保护要求传达畅通，构建相互衔接、全面有效的投资者信息保护体系。

将投资者信息保护纳入公司全面合规和风险管理范畴，加强对分支机构、子公司的指导和管理，构建覆盖公司全链条的保护机制。加强对外部中介机构、信息技术服务机构等第三方服务机构的管理，防范重要敏感信息违规外泄，确保金融信息和投资者信息安全。

通知还要求，辖区机构应该完善信息管理流程。进一步完善投资者信息收集、保存、处理和使用等全生命周期管理流程。收集前必须征得投资者个人同意，并明确告知投资者相关信息的使用范围和目的。收集完成后，严格规范使用程序，明确授权管理，加强监控留痕，确保按规定使用和处理相关信息，切实保障投资者信息安全。业务办理完成后，确保投资者能够根据个人情况及时更正、修改个人信息；业务了结后，确保投资者能够及时注销账户及有关个人信息。

值得注意的是，通知还明确指出，各公司及其员工不得有以下六项违规行为：

收集与公司业务无关的投资者个人信息；

采取不正当的方式或从非法从事征信业务活动的第三方获取投资者个人信息；

违规查询、复制、保存、篡改投资者个人信息；

违规泄露投资者个人信息；

利用投资者信息牟取不正当利益；

以出售或者其他方式将投资者个人信息非法提供给他人。

基于上述情况，通知要求，行业机构应结合内部组织架构、职责分工构建覆盖全员的内部监测、检查、问责与纠错处置机制，明确公司员工违反投资者信息保护要求需要承担的责任。行业机构应及时开展投资者信息泄露风险自查工作，通过定期或不定期的检查，及时发现违规行为，采取有效措施处置风险。同时举一反三，及时弥补管理漏洞，并根据危害程度开展问责，既要追究员工个人主体责任，也要追查主要负责人、分管负责人、部门和分支机构负责人的管理责任。对于重大违法违规情况，要主动向监管部门报告。

加强员工管理，切实防止员工造成投资者信息泄露

在各地证监局下发的通知中，监管针对机构人员管理提出了一系列要求，要求筑牢底线思维。

通知显示，行业机构应进一步加强公司员工管理，通过采取签订安全保密责任书等方式，有效规范员工行为。对能够接触投资者信息的岗位人员按照“分工清晰、最小权限”原则合理设置权限，明确投资者个人信息的查询和使用程序，建立健全分级审批、双人控制的查询使用制度，切实防止员工个人行为造成投资者个人信息泄露或滥用等事件的发生。

此外，行业机构应进一步加强公司员工内部培训和警示教育，加强《数据安全法》《个人信息保护法》及侵犯公民个人信息罪等相关法律法规学习，切实增强员工合规意识。引导员工正确有效遵循公司关于投资者信息保护的工作原则，自觉遵守各项法律法规，牢固树立制度观念，不碰红线、不踩底线、不触碰高压线，有效防止投资者信息泄露风险。

通知还显示机构要做好投资者宣传教育，并推进公司文化建设，形成自觉保护投资者个人信息的一致认识，避免投资者个人信息泄露等事项的发生。

定期评估系统风险，优化第三方服务机构的合作管理

近年来，证券行业的数字化转型加速推进，金融科技已经渗透到行业的各个环节。今年以来，三家券商因发生信息技术事故而遭到监管处罚，在这种背景下，财联社记者注意到，证监局下发的通知还在投资者信息安全保护的角度下，针对信息技术系统建设作出了一系列要求。

一是进一步加强信息技术系统建设，完善网络隔离、用户认证、数据加密、数据备份、数据销毁、病毒防范和非法入侵检测等安全保障措施，保护投资者信息安全，防范信息遗失、毁损、泄露或者被篡改。开展信息技术系统风险自查，全面梳理、识别、监测、防范因使用信息技术手段引发的安全风险。定期对信息技术系统可能遇到的各种风险进行评估，提高信息技术系统的安全性。建立健全内外部数据安全及投资者信息保护的监测防护体系，完善系统功能模块，确保系统生成日志能及时、准确、全面地记录投资者信息的查询和下载操作，信息泄露发生后能够及时追溯。

二是优化信息数据传导流程。进一步优化信息管理系统，加强对传导途径和存储介质的安全管理，限制对投资者信息的导入和导出，坚决防止信息数据违规外泄。完善系统权限的分级授权机制，确保不同职能人员具有对应级别的系统访问权限避免信息传递中的越权操作行为。完善保密认证机制，员工之间的敏感数据传递应采取与信息级别相适应的保密措施，保障信息传递安全。

三是做好第三方服务机构的管理。进一步严格外部中介机构、信息技术服务商等第三方服务机构的准入要求，全面考察相关机构的人员、资质、技术和信誉等，并将投资者信息保护能力作为重要评估指标。持续优化对于外部中介机构的管控机制，严格执行涉密敏感信息脱密脱敏处理。对已开展合作的机构，要进行全流程的再识别和再评估，从事前、事中和事后重点防范投资者信息泄露风险。加强对第三方服务机构的技术考察，涉及第三方信息系统的，要持续做好安全监测。定期通过现场或非现场方式对第三方服务机构进行检查，对投资者信息保护不力的应及时终止合作。

重视投诉举报，及时采取措施将损失降低到最小

如若投资者信息安全已经遭到威胁，机构该如何应对？证监局下发的通知作出了三点重点要求。

首先是加强舆情监控。通知要求，各行业机构要采取有效措施开展舆情动态监测，持续跟踪舆情变化，对涉及公司投资者个人信息的舆情案件要及时研判并报告，并适时进行应急处置。对于突发重大负面舆情，及时发声澄清认识，传递客观信息，防止局部、单一事件蔓延或升级。

其次是重视投诉举报。通知要求，各行业机构要健全并畅通咨询、投诉、举报渠道，及时解决、解答投资者关于个人信息保护的诉求。充分发挥投诉、举报、咨询的预警纠偏作用，结合投资者提供的问题线索，主动查找投资者个人信息泄露的漏洞和薄弱环节，及时研究和处置问题，消除风险隐患。

最后是做好应急预案。通知要求，各行业机构要建立健全网络安全事件应急处理机制，并结合业务及信息系统变化情况及时更新各类管理制度、操作流程及应急预案。定期开展应急演练，提升网络安全事件应急处置能力，确保发生网络安全事件后能够快速响应，妥善应对。发生投资者个人信息泄露、损毁、丢失等情况的，及时采取措施，将损失降低到最小。