多地证监局发文，打击信息泄露、保护投资者信息安全再升级，明令禁止员工六项违规行为

基于上述情况，多地通知要求，证监资者再升止行业机构应结合内部组织架构、局发击信级明职责分工构建覆盖全员的文打违规内部监测、检查、息泄信息行问责与纠错处置机制，露保令禁明确公司员工违反投资者信息保护要求需要承担的护投责任。行业机构应及时开展投资者信息泄露风险自查工作，安全通过定期或不定期的工项检查，及时发现违规行为，多地采取有效措施处置风险。证监资者再升止同时举一反三，局发击信级明及时弥补管理漏洞，文打违规并根据危害程度开展问责，息泄信息行既要追究员工个人主体责任，露保令禁也要追查主要负责人、分管负责人、部门和分支机构负责人的管理责任。对于重大违法违规情况，要主动向监管部门报告。

加强员工管理，切实防止员工造成投资者信息泄露

在各地证监局下发的通知中，监管针对机构人员管理提出了一系列要求，要求筑牢底线思维。

通知显示，行业机构应进一步加强公司员工管理，通过采取签订安全保密责任书等方式，有效规范员工行为。对能够接触投资者信息的岗位人员按照“分工清晰、最小权限”原则合理设置权限，明确投资者个人信息的查询和使用程序，建立健全分级审批、双人控制的查询使用制度，切实防止员工个人行为造成投资者个人信息泄露或滥用等事件的发生。

此外，行业机构应进一步加强公司员工内部培训和警示教育，加强《数据安全法》《个人信息保护法》及侵犯公民个人信息罪等相关法律法规学习，切实增强员工合规意识。引导员工正确有效遵循公司关于投资者信息保护的工作原则，自觉遵守各项法律法规，牢固树立制度观念，不碰红线、不踩底线、不触碰高压线，有效防止投资者信息泄露风险。

通知还显示机构要做好投资者宣传教育，并推进公司文化建设，形成自觉保护投资者个人信息的一致认识，避免投资者个人信息泄露等事项的发生。

定期评估系统风险 ，优化第三方服务机构的合作管理

近年来，证券行业的数字化转型加速推进，金融科技已经渗透到行业的各个环节。今年以来，三家券商因发生信息技术事故而遭到监管处罚，在这种背景下，财联社记者注意到，证监局下发的通知还在投资者信息安全保护的角度下，针对信息技术系统建设作出了一系列要求。

一是进一步加强信息技术系统建设，完善网络隔离、用户认证、数据加密、数据备份、数据销毁、病毒防范和非法入侵检测等安全保障措施，保护投资者信息安全，防范信息遗失、毁损、泄露或者被篡改。开展信息技术系统风险自查，全面梳理、识别、监测、防范因使用信息技术手段引发的安全风险。定期对信息技术系统可能遇到的各种风险进行评估，提高信息技术系统的安全性。建立健全内外部数据安全及投资者信息保护的监测防护体系，完善系统功能模块，确保系统生成日志能及时、准确、全面地记录投资者信息的查询和下载操作，信息泄露发生后能够及时追溯。

二是优化信息数据传导流程。进一步优化信息管理系统，加强对传导途径和存储介质的安全管理，限制对投资者信息的导入和导出，坚决防止信息数据违规外泄。完善系统权限的分级授权机制，确保不同职能人员具有对应级别的系统访问权限避免信息传递中的越权操作行为。完善保密认证机制，员工之间的敏感数据传递应采取与信息级别相适应的保密措施，保障信息传递安全。

三是做好第三方服务机构的管理。进一步严格外部中介机构、信息技术服务商等第三方服务机构的准入要求，全面考察相关机构的人员、资质、技术和信誉等，并将投资者信息保护能力作为重要评估指标。持续优化对于外部中介机构的管控机制，严格执行涉密敏感信息脱密脱敏处理。对已开展合作的机构，要进行全流程的再识别和再评估，从事前、事中和事后重点防范投资者信息泄露风险。加强对第三方服务机构的技术考察，涉及第三方信息系统的，要持续做好安全监测。定期通过现场或非现场方式对第三方服务机构进行检查，对投资者信息保护不力的应及时终止合作。

重视投诉举报，及时采取措施将损失降低到最小

如若投资者信息安全已经遭到威胁，机构该如何应对？证监局下发的通知作出了三点重点要求。

首先是加强舆情监控。通知要求，各行业机构要采取有效措施开展舆情动态监测，持续跟踪舆情变化，对涉及公司投资者个人信息的舆情案件要及时研判并报告，并适时进行应急处置。对于突发重大负面舆情，及时发声澄清认识，传递客观信息，防止局部、单一事件蔓延或升级。

其次是重视投诉举报。通知要求，各行业机构要健全并畅通咨询、投诉、举报渠道，及时解决、解答投资者关于个人信息保护的诉求。充分发挥投诉、举报、咨询的预警纠偏作用，结合投资者提供的问题线索，主动查找投资者个人信息泄露的漏洞和薄弱环节，及时研究和处置问题，消除风险隐患。

最后是做好应急预案。通知要求，各行业机构要建立健全网络安全事件应急处理机制，并结合业务及信息系统变化情况及时更新各类管理制度、操作流程及应急预案。定期开展应急演练，提升网络安全事件应急处置能力，确保发生网络安全事件后能够快速响应，妥善应对。发生投资者个人信息泄露、损毁、丢失等情况的，及时采取措施，将损失降低到最小。

(责任编辑：时尚)