中信证券股份有限公司（以下简称中信证券或公司）深刻认识到企业数据安全与个人信息保护工作对于金融服务行业的重要性，将其视为公司合规运营的核心基石。为切实保障客户合法权益，规范数据处理全流程，公司依据《中华人民共和国证券法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《证券基金经营机构信息技术管理办法》等法律法规，发布本声明。

一、组织架构与管理制度

公司构建了“决策层-管理层-执行层”三级数字化组织架构：

决策层：公司数字化委员会作为公司数字化工作的领导机构和最高议事机构，负责公司数据治理、数字化经营管理、信息技术治理和网络与信息安全等相关工作。

管理层：数字化委员会下设专项工作组，负责制定公司数据治理、数据安全保护、个人信息保护相关等领域管理制度，协调推进各部门开展各项工作，提升数据安全治理水平。

执行层：由信息技术中心、合规部及各业务条线组成执行体系，确保管理要求在业务全流程中的有效落实。

公司构建了适用于公司各部门、业务线和分支机构全体在职人员的公司级数据安全与个人信息保护制度，包括《中信证券股份有限公司数据治理管理办法》《中信证券股份有限公司个人信息保护管理办法》《中信证券股份有限公司网络安全管理办法》及配套管理实施细则，管理范围覆盖了公司所有业务系统、数据资产及信息处理活动。

公司已通过ISO 27001信息安全管理体系标准认证，全部系统按照国家网络安全等级保护工作要求完成了定级测评工作。

二、个人信息权益保障

公司全面保障客户信息主体权益，并向客户承诺，按照国家个人信息保护工作要求，采取相应的安全保护措施保护客户个人信息，提供便捷的权益行使渠道：

（一）收集原则

公司严格遵循“目的明确、最小必要”原则收集客户数据，仅收集与提供证券业务服务与办理直接相关的客户信息。

（二）个人同意原则

公司通过APP、网页等方式向客户发布隐私保护协议，明确告知客户个人信息处理目的、处理方式、处理的个人信息种类及保存期限等，并在取得客户同意情况下采集处理客户个人信息。

（三）查阅权

公司通过隐私保护条款公开个人信息处理规则，且可以查询已收集个人信息清单。

（四)更正权

客户发现信息有误时，可通过线上线下渠道申请更正，公司在3个工作日内完成核查与处理。

（五)注销/删除权

公司提供账户注销“一站式”服务。客户注销互联网账户后，公司将及时清除客户的互联网账户信息，客户注销资金账户后，公司将不再收集与该账户相关的个人信息；客户撤回信息处理授权的，公司立即停止继续收集客户个人信息的活动。

（六）数据处理规范

公司承诺不会出于完成交易/服务以外的目的向第三方出租、出售或提供个人数据。

三、数据安全防护措施

（一）数据生命周期保护措施

公司开展数据分类分级保护工作，基于数据安全保护级别，开展信息系统建设与数据生命周期保护，通过综合利用数据脱敏、数据备份、终端防泄漏等多种数据安全保护工具，保护客户个人信息与数据安全。

公司建立了网络与数据安全纵深防御体系，分别在网络层、主机层、应用层部署了入侵检测工具和安全防护工具；执行严格的网络主机应用资源申请与发布管理机制；建立数据操作行为审计能力，妥善保存各类操作行为日志，实现内外部数据访问行为的审计追溯。

公司通过实战化网络安全攻防演练，测试员工网络安全防护意识，检验信息系统网络与数据安全保护能力。

（二）权限控制

公司依据“岗位适配最小化权限”的管理要求控制数据访问权限，员工仅能获取完成本职工作必需的数据权限；针对重要信息系统建立访问权限申请审批机制，基于员工身份，调整清理访问权限。

（三）第三方管理

公司对数据与信息保护的要求及措施覆盖全部供应商及业务合作伙伴，对其实施严格的准入管理，签订数据安全保护协议，明确数据处理边界与责任。

（四）应急响应机制

公司针对个人信息泄露、数据不可用等典型安全事件场景，制定了信息系统数据安全事件应急处置计划，规范了数据安全事件监测、问题定位、应急处置、根因分析、事件处理、后续优化、事件上报等环节的应对方法。

（五）员工培训

公司每年均会开展全员网络安全、数据安全保护培训，提升员工安全保护责任意识，增强防钓鱼邮件、防网络攻击、防数据安全泄露等领域的基本技能。

五、监督与激励机制

（一）信息安全审计

公司每年开展一次外部信息技术审计，每三年开展一次信息技术全面审计。审计范围覆盖信息技术治理、风险合规管理、信息系统安全、运维管理、机房管理、数据管理、应急管理、信息技术服务机构管理。

（二）信息安全监督机制

公司相关高管承担隐私和数据安全责任，对个人信息处理活动以及采取的保护措施等进行监督。

公司遵照“谁处理谁负责”的原则，明确个人信息处理责任部门，作为个人信息处理的第一责任人。

（三）安全责任制

公司严格落实网络责任制，将网络与数据安全保护责任情况纳入员工综合考核，若发生安全事件将对相关人员进行追责。

（四）持续优化

建立客户反馈机制，通过客服热线、意见箱等渠道收集信息保护相关建议，适时更新个人信息保护条款和定期更新数据安全管理制度，引入前沿安全技术，持续提升防护能力。