中信证券股份有限公司数据与信息保护声明
(2026年6月修订)
中信证券股份有限公司(以下简称中信证券或公司)深刻认识到企业数据安全与个人信息保护工作对于金融服务行业的重要性,将其视为公司合规运营的核心基石。为切实保障客户合法权益,规范数据处理全流程,公司依据《中华人民共和国证券法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《证券基金经营机构信息技术管理办法》《证券期货业网络和信息安全管理办法》等法律法规,制定并发布本声明。
本声明适用于中信证券各部门、业务线、分支机构及控股子公司,及其日常运营覆盖的境内外所有区域。
一、组织架构与管理制度
公司构建了“决策层-管理层-执行层”三级数字化组织架构:
决策层:公司数字化委员会作为公司数字化工作的领导机构和最高议事机构,负责公司数据治理、数字化经营管理、信息技术治理和网络与信息安全等相关工作。
管理层:数字化委员会下设专项工作组,负责制定公司数据治理、数据安全保护、个人信息保护相关等领域管理制度,协调推进各部门开展各项工作,提升数据安全治理水平。
执行层:由信息技术中心、合规部及各业务条线组成执行体系,确保管理要求在业务全流程中的有效落实。
公司构建了适用于公司各部门、业务线和分支机构全体在职人员以及所有运营区域的公司级数据安全与个人信息保护制度,包括《中信证券股份有限公司数据治理管理办法》《中信证券股份有限公司个人信息保护管理办法》《中信证券股份有限公司网络安全管理办法》及配套的《中信证券股份有限公司数据安全管理实施细则》等管理实施细则,管理范围覆盖了公司所有业务系统、数据资产及信息处理活动,结合自身业务特点形成符合监管要求、国内外标准依据、内部管理需要的网络安全管理制度体系,制订覆盖物理安全、网络安全、应用安全、数据安全、供应链安全等层面的管理策略。
公司已通过ISO 27001信息安全管理体系标准认证,全部系统按照国家网络安全等级保护工作要求完成了定级测评工作。
二、个人信息权益保障
公司全面保障客户信息主体权益,并向客户承诺,按照国家个人信息保护工作要求,采取相应的安全保护措施保护客户个人信息,提供便捷的权益行使渠道:
(一)收集原则
公司严格遵循“目的明确、最小必要”原则收集客户数据,仅收集与提供证券业务服务与办理直接相关的客户信息。采集的数据符合业务开展或经营管理需要,并与合同协议条款、隐私政策中约定采集的内容保持一致,不超范围采集数据。在停止相关业务或无需继续执行数据采集时,将立即停止数据收集活动。
(二)个人同意原则
公司通过APP、网页等方式向客户发布隐私保护协议,明确告知客户个人信息处理目的、处理方式、处理的个人信息种类及保存期限等,并在取得客户同意情况下采集处理客户个人信息。
(三)查阅权
公司通过隐私保护条款公开个人信息处理规则,且可以查询已收集个人信息清单。
(四)更正权
客户发现信息有误时,可通过线上线下渠道申请更正,公司在3个工作日内完成核查与处理。
(五)注销/删除权
公司提供账户注销“一站式”服务。客户注销互联网账户后,公司将及时清除客户的互联网账户信息,客户注销资金账户后,公司将不再收集与该账户相关的个人信息;客户撤回信息处理授权的,公司立即停止继续收集客户个人信息的活动。公司将依据国家、行业主管部门及内部规章有关规定及与个人金融信息主体约定的时限等,针对不同类型的数据设定其数据保存期。超过国家及行业主管部门有关规定、内部规章及合同协议所述保存期限的数据,将执行数据删除操作。
(六)数据处理规范
除法律法规相关规定或政府主管部门强制性要求,公司仅会出于合法、正当、必要、特定、明确的目的,在获取明确客户同意的情况下,出于完成交易、服务的目的进行第三方数据共享,同时要求第三方签署严格的保密协定,对个人信息进行合理的保密措施。公司承诺,除完成交易、服务之外的目的外,公司不会出租、出售或与第三方共享任何个人数据。
三、数据安全防护措施
(一)数据生命周期保护措施
公司开展数据分类分级保护工作,基于数据安全保护级别,开展信息系统建设与数据生命周期保护,通过综合利用数据脱敏、数据备份、终端防泄漏等多种数据安全保护工具,保护客户个人信息与数据安全。
公司建立了网络与数据安全纵深防御体系,分别在网络层、主机层、应用层部署了入侵检测工具和安全防护工具;执行严格的网络、主机、应用资源申请与发布管理机制;建立数据操作行为审计能力,妥善保存各类操作行为日志,实现内外部数据访问行为的审计追溯。
公司通过实战化网络安全攻防演练,测试员工网络安全防护意识,检验信息系统网络与数据安全保护能力。
(二)权限控制
公司依据“岗位适配最小化权限”的管理要求控制数据访问权限,员工仅能获取完成本职工作必需的数据权限;针对重要信息系统建立访问权限申请审批机制,基于员工身份,调整清理访问权限。在进行个人信息访问时,建立最小授权的访问控制策略,使其只能访问职责所需的最小必要的个人信息,且仅具备完成职责所需的最少的数据操作权限;对个人信息的重要操作设置内部审批流程。
(三)第三方管理
公司在不断提升自身数据安全及隐私保护水平的同时,积极推动供应商及合作伙伴提升内部网络与数据安全管理能力。公司实施严格的准入管理,要求全部供应商及业务合作伙伴签订数据安全保护协议,严格遵守中信证券网络与数据保护的制度要求及措施,明确数据处理边界与责任,提高整体数据安全水平。在合作项目的商务、实施、验收等各阶段动态考察检验供应商及合作伙伴对信息安全、数据保护相关要求的遵守情况。同时,公司通过网络安全监测与情报等方式感知供应商产品安全风险,并对供应商发布风险预警提示,联合开展风险处置工作。针对所发现的问题提出整改要求并监督落实,要求问题供应商在当年内必须完成问题整改。
公司已经构建了覆盖供应链的信息安全风险管理机制,在《中信证券股份有限公司信息技术预算与采购管理办法》《中信证券股份有限公司网络安全管理细则》中均设置供应链管理要求,采购合同中亦约定供应商数据安全责任。公司与供应商签署《安全责任承诺书》,要求供应商采取有效的技术措施以加强信息安全防护、建立网络安全应急响应机制、定期进行信息安全培训和演练、提高员工的信息安全意识和技能。公司通过以上手段明确了供应商信息安全数据安全管理要求。在供应商准入阶段,对供应商进行准入评估,综合评定企业资质和专业证书;在考核阶段,公司并在每年对供应商进行考核评分,评分环节中有安全管理员根据供应商安全保护情况进行“安全减分”,以促使供应商切实承担信息安全和隐私保护职责。
(四)应急响应机制
公司针对个人信息泄露、数据不可用等典型安全事件场景,制定了信息系统数据安全事件应急处置计划,规范了数据安全事件监测、问题定位、应急处置、根因分析、事件处理、后续优化、事件上报等环节的应对方法。
(五)员工培训
公司重视数据安全与隐私保护的培训与考核,每年对公司总部、分公司、子公司所有员工进行开展全员网络安全、数据安全保护培训,提升员工安全保护责任意识,增强防钓鱼邮件、防网络攻击、防数据泄露等领域的基本技能。同时,公司每年对信息技术条线的外包人员进行数据安全培训。针对劳务派遣人员,公司通过《信息安全保密协议》、《第三方人员信息安全操作告知书》、《关于第三方人员信息安全保密协议、操作告知书等的同意、承诺书》等方式,对其网络安全、数据安全及保密义务、保密信息的使用规范进行了明确,实现对信息技术类外包人员的100%覆盖。
五、监督与激励机制
(一)信息安全审计
公司每年开展一次外部信息技术审计,每三年开展一次信息技术全面审计。审计范围覆盖信息技术治理、风险合规管理、信息系统安全、运维管理、机房管理、数据管理、应急管理、信息技术服务机构管理。
(二)信息安全监督机制
公司相关高管承担隐私和数据安全责任,对个人信息处理活动以及采取的保护措施等进行监督。
公司遵照“谁处理谁负责”的原则,明确个人信息处理责任部门,作为个人信息处理的第一责任人。
(三)安全责任制
公司严格落实网络安全责任制,将网络与数据安全保护责任情况纳入员工综合考核,若发生安全事件将对相关人员进行追责。
(四)持续优化
建立客户反馈机制,通过客服热线、意见箱等渠道收集信息保护相关建议,适时更新个人信息保护条款和定期更新数据安全管理制度,引入前沿安全技术,持续提升防护能力。

