《上海证券交易所数据安全管理规范》

《上海证券交易所数据安全管理规范》第一章总则第一条为规范上海证券交易所（以下简称上交所）数据处理活动，强化数据安全治理体系建设，防范化解数据安全风险，保障资本市场核心基础设施安全运行，保护投资者合法权益，维护国家金融安全，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国密码法》《证券期货业网络安全管理办法》《证券期货业数据安全管理指引》《网络数据安全管理条例》等法律法规、监管规则，结合上交所业务实际，制定本规范。第二条本规范适用于上交所内部各部门、下属全资及控股单位、参与上交所业务活动的全市场主体，包括会员单位、证券公司、基金管理公司、期货公司、上市公司、信息服务商、第三方服务机构等处理上交所业务数据的全流程活动；承接上交所外包服务、参与项目合作的第三方机构的所有数据处理活动，均应当遵守本规范要求。第三条上交所数据安全管理遵循以下基本原则：（一）安全优先。将数据安全要求贯穿于业务规划、系统建设、业务运行全流程，在保障资本市场业务稳定运行的前提下，落实最严格的数据安全防护要求，优先保障核心敏感数据安全。（二）全程管控。建立覆盖数据收集、存储、使用、加工、传输、共享、公开、销毁全生命周期的安全管控机制，实现数据处理全环节可管、可控、可追溯。（三）分类分级。根据数据的重要程度、敏感程度、泄露后的危害影响，对数据进行分类分级管理，匹配差异化的安全防护策略，提升安全管理精准性和效率。（四）权责统一。落实“谁主管谁负责、谁处理谁负责、谁运营谁负责”的责任机制，明确各类主体的数据安全责任，构建权责清晰的责任体系。（五）合规开放。在遵守法律法规和监管要求的前提下，推动数据要素合规有序流动，充分发挥数据价值，服务资本市场高质量发展。第四条本规范的管理目标为：构建覆盖全主体、全数据类型、全业务流程的数据安全管理体系，实现数据安全风险早识别、早预警、早处置，保障上交所数据资产安全，防范引发资本市场系统性风险，促进数据合规利用，支撑资本市场稳定运行。第二章组织架构与职责分工第五条上交所设立数据安全管理委员会，作为全所数据安全管理的最高决策机构，由上交所主要负责人担任主任，成员包括分管数据、科技、合规、监察、业务的负责人及各核心部门负责人，主要职责为：（一）审议上交所数据安全战略、总体规划、管理制度和重大政策；（二）统筹协调重大数据安全事项，研究解决重大数据安全风险和重大事件处置；（三）定期听取全所数据安全工作汇报，考核评估全所数据安全工作落实情况；（四）审议重大数据共享、数据出境、风险评估等重大事项，对重大事项作出决策。第六条上交所指定数据管理部作为数据安全管理归口部门，统筹推进全所数据安全日常管理工作，主要职责为：（一）牵头制定、修订数据安全管理制度、标准规范和操作流程，推动各部门落实各项数据安全要求；（二）组织开展全所数据资产梳理、数据分类分级工作，建立并动态更新全所数据资产台账；（三）统筹推进数据安全技术防护体系建设，组织开展常态化数据安全风险评估、监测预警工作；（四）组织开展数据安全监督检查、培训宣传工作，牵头协调数据安全事件应急处置，按要求向监管部门报送数据安全相关信息；（五）协调各部门、各市场主体落实本规范要求，对接监管部门的数据安全管理工作部署。第七条上交所各业务部门是本部门数据安全的直接责任主体，主要职责为：（一）落实本规范及各项数据安全管理制度，梳理本部门负责的数据资产，配合开展数据分类分级工作；（二）指定专人担任本部门数据安全联络员，负责日常数据安全管理对接，落实本部门数据安全日常管控要求；（三）开展本部门工作人员的数据安全培训教育，及时排查上报本部门的数据安全风险隐患；（四）配合归口管理部门开展监督检查、风险评估、事件处置等工作。第八条上交所科技管理部负责数据安全技术支撑，保障数据存储、处理系统的技术安全；合规管理部负责数据处理活动的合规审核；纪检监察审计部负责对数据安全管理工作开展监督审计，对违规违纪行为开展问责；人力资源部负责将数据安全考核结果纳入绩效考核体系。第九条参与上交所业务活动的市场参与者、第三方合作机构应当履行以下数据安全责任：（一）建立符合本规范要求的内部数据安全管理制度，配备专门的数据安全管理人员，落实上交所提出的数据安全管控要求；（二）与上交所签署数据安全保密协议或合规承诺函，明确数据安全责任边界；（三）接受上交所的数据安全监督检查、审计，配合开展风险处置工作，发生数据安全事件及时上报上交所。第三章数据资产梳理与分类分级管理第十条上交所建立常态化数据资产梳理机制，所有上交所业务产生、处理、存储的数据资产均应当纳入统一管理，建立全所统一的数据资产台账。全所每年度至少开展一次全面的数据资产梳理，发生重大业务变更、新系统上线、机构调整时，应当及时更新数据资产台账。数据资产台账应当明确数据名称、数据来源、业务归属、责任人、存储位置、处理方式、共享范围、敏感等级、更新频率、保存期限等核心信息。第十一条上交所数据按照业务属性分为三类：（一）核心业务数据：直接支撑发行上市、交易、结算、监察、监管、行情服务等上交所核心职能运行的数据，是上交所数据资产的核心组成部分；（二）内部管理数据：支撑上交所内部行政管理、人力资源、财务、综合办公等内部管理活动的数据；（三）外部协同数据：上交所从外部机构合法获取、用于业务分析、协同运行的数据，包括公开宏观经济数据、第三方机构合规共享的行业数据等。第十二条上交所数据按照重要程度、敏感程度、泄露后可能造成的危害程度，分为四个安全等级：（一）一级数据（核心敏感数据）：指一旦发生泄露、篡改、毁损、非法利用，可能严重危害国家安全、国家金融安全、资本市场整体稳定，造成投资者重大合法权益损害的数据，具体包括：未公开的发行审核信息、未公开的重大监管措施信息、监察办案涉密信息、核心交易系统的配置参数、访问密钥、拓扑结构信息、未公开的大额订单申报数据、未公开的实时交易数据、投资者敏感个人信息（包括生物识别信息、金融账户密码、征信信息、行踪轨迹、通信内容等）、未公开的跨境交易数据、其他按照法律法规应当认定为核心敏感的数据。（二）二级数据（重要敏感数据）：指一旦发生泄露、篡改、毁损，可能危害资本市场运行秩序，损害投资者、市场机构合法权益的数据，具体包括：已脱敏但仍可通过关联分析识别到特定主体的投资者信息、上市公司未公开的重大事项信息、会员单位报送的非公开业务数据、未公开的市场风险监控数据、上交所未公开的业务发展规划、监管部门交办的非公开调研数据等。（三）三级数据（一般业务数据）：不涉及国家秘密、敏感业务信息和个人敏感信息，仅需限定范围使用的数据，具体包括：上交所内部公开的办公信息、完全去标识化的业务统计数据、公开出版的业务研究资料、内部培训材料等。（四）四级数据（公开数据）：已经上交所按照法定程序正式对外公开的数据，包括公开披露的上市公司信息、公开交易行情、公开监管规则、市场统计公报等。第十三条数据分类分级按照以下流程开展：由数据产生或归口业务部门提出初步分类分级意见，报上交所数据管理部审核，最终由上交所数据安全管理委员会审定，分级结果载入数据资产台账。数据分类分级结果实行动态调整机制，每两年至少开展一次全面复核，发生法律法规调整、业务变革、安全事件后，应当及时调整数据安全等级。第十四条不同等级数据匹配差异化防护要求：一级核心敏感数据按照最高防护等级实施管控，严格控制访问和使用范围，落实最严格的审批和防护措施；二级重要敏感数据落实严格的身份认证和授权管控；三级一般业务数据限定在授权范围内使用；四级公开数据按照规定对外公开提供。第四章数据全生命周期安全管理第十五条数据收集环节安全管理：（一）数据收集应当遵循合法、正当、必要原则，不得超出法定职责和业务范围收集数据，不得收集与业务无关的信息。（二）收集个人信息应当明确告知收集、使用的目的、方式、范围和规则，获得个人信息主体的合法授权；收集敏感个人信息应当获得个人信息主体的单独同意，法律法规规定不需要授权告知的除外。（三）从第三方机构获取数据应当核实数据来源的合法性，核查第三方机构的数据收集处理是否符合法律法规要求，签订数据共享协议明确双方数据安全责任，不得使用来源不合法的数据。第十六条数据存储环节安全管理：（一）一级核心敏感数据和二级重要敏感数据应当存储在位于境内的、符合证券业监管要求的合规数据中心，一律不得存储在境外，不得委托境外机构存储、处理核心敏感数据，法律法规另有规定的除外。（二）一级核心敏感数据应当采用符合国密标准的加密算法进行加密存储，严格落实备份要求：一级核心数据应当按照“两地三中心”架构开展备份，每季度至少开展一次备份恢复验证，确保备份数据可用。（三）存储介质报废销毁前应当进行彻底消磁或者物理粉碎，彻底清除所有数据，由两名以上工作人员监销，留存销毁记录，严禁未经处理的报废存储介质对外流出。（四）严禁工作人员违规将一级、二级数据存储在私人计算机、移动存储设备、个人云盘、互联网公共存储平台等非合规存储场所。第十七条数据使用与加工环节安全管理：（一）严格落实最小权限、最小必要访问原则，基于岗位职责分配数据访问权限，建立权限定期复核机制，每年至少开展一次权限梳理，及时清理冗余权限、离职人员权限。（二）所有数据系统访问均应当落实实名身份认证，访问一级核心敏感数据应当采用多因素认证，并且经过双人审批复核，严禁匿名访问、共享账号访问。（三）工作人员不得私自下载、留存超出岗位职责范围的敏感数据，工作人员离职时应当交回所有工作存储设备，注销所有系统访问账号，删除私自留存的所有上交所数据，签署离职保密承诺书。（四）加工处理敏感个人信息应当采用符合标准的去标识化、脱敏处理，处理后的信息应当进行复核，确保无法重新识别到特定个人，不得违规破解去标识化处理结果，不得重新识别个人信息。（五）不得利用上交所数据从事内幕交易、操纵市场、利益输送等违法违规活动，不得将数据用于超出授权范围的用途。第十八条数据传输环节安全管理：（一）跨网络传输一级、二级数据应当采用符合国密标准的加密传输，使用上交所统一提供的合规传输通道，严禁通过私人微信、QQ、个人邮箱、私人网盘、短信等非合规公共通道传输一级、二级敏感数据。（二）确需向外传输一级、二级数据的，应当经过数据归属业务部门负责人审批，报上交所数据管理部备案，采取加密脱敏措施，确认接收方符合数据安全防护要求，签订保密协议。（三）向境外提供数据应当严格遵守法律法规和监管规定，经过安全评估、合规审核和数据安全管理委员会审批，严禁违规向境外提供核心敏感数据和重要敏感数据。第十九条数据共享与公开环节安全管理：（一）内部共享数据应当根据业务需要授权，不得随意扩大共享范围，对外共享一级核心敏感数据应当经过数据安全管理委员会审批，对外共享二级数据应当经过数据管理部审核审批。（二）对外共享敏感数据应当签订正式的数据安全共享协议，明确共享数据的范围、用途、安全防护要求、责任边界和违约责任，明确接收方不得转授权、不得超出约定用途使用数据。（三）市场参与者、信息服务商获得上交所数据授权后，不得超出授权范围分发、转授权数据，不得将数据用于约定范围外的用途。（四）数据公开应当经过严格的合规审核，确认公开内容不涉及国家秘密、商业秘密、个人敏感信息和未公开敏感业务信息，公开个人信息应当进行彻底脱敏处理，确保无法识别到特定个人。第二十条数据销毁环节安全管理：超过保存期限、不需要继续保留的数据应当及时进行销毁，销毁一级数据应当由两名以上工作人员监销，完整记录销毁的时间、地点、方式、数据范围、责任人，销毁记录至少留存3年，不得随意丢弃未经销毁处理的数据存储介质，不得将待销毁数据出售给未授权第三方。第五章数据安全技术防护体系建设第二十一条身份认证与访问控制：建立全所统一的实名身份认证体系，落实细粒度访问控制，基于角色、岗位、场景分配访问权限，采用零信任架构实现持续身份验证、动态访问控制，对一级敏感数据访问实现“一人一授权、一次一授权”。第二十二条密码与加密管理：严格落实《中华人民共和国密码法》要求，对敏感数据的传输、存储采用国密算法加密，全所密码密钥由专门密码管理部门统一管理，密钥定期轮换，最长轮换周期不超过90天，严禁密钥明文存储、违规泄露。第二十三条数据脱敏与溯源：建立统一的数据脱敏规则库，符合证券业数据脱敏标准，对外输出的所有敏感数据必须经过脱敏处理；对内部使用、对外输出的敏感数据添加不可篡改的数字水印，实现数据全流程溯源，一旦发生泄露可以快速定位泄露源头和责任主体。第二十四条数据安全监测预警：建立覆盖全系统、全流程的数据安全监测平台，对越权访问、批量下载、异常导出、跨网传输、未授权外联等异常行为进行实时监测、自动预警和自动阻断，所有敏感数据操作日志至少留存3年，一般操作日志至少留存6个月，符合监管要求。第二十五条漏洞管理与攻防演练：定期对数据存储、处理系统开展漏洞扫描和渗透测试，发现高危漏洞应当在72小时内完成修复，每年至少组织两次数据安全专项攻防演练，检验防护体系有效性，提升安全防护能力。第二十六条终端与边界防护：对所有办公终端、业务终端实施安全管控，禁止违规外接存储设备，封堵非合规传输通道，对跨网访问实施安全隔离，持续升级防护措施，防范非法入侵。第六章合规管理、监督考核与应急处置第二十七条风险评估：上交所建立常态化数据安全风险评估机制，每年至少开展一次全面数据安全风险评估，发生重大系统上线、重大数据共享活动、重大数据安全事件后，应当开展专项风险评估，风险评估报告报送数据安全管理委员会，针对发现的风险隐患落实闭环整改，重大风险评估结果按要求报送中国证监会备案。第二十八条监督审计：上交所内部审计部门每年至少开展一次数据安全管理专项审计，审计内容包括制度落实情况、权限管理合规性、数据处理合规性、防护措施落实情况等，审计结果纳入部门绩效考核，针对审计发现的问题限期完成整改。数据管理部每半年对各部门、市场参与者、第三方机构开展一次数据安全监督检查，被检查单位应当配合检查，不得隐瞒、阻挠检查。第二十九条培训与考核：上交所建立分级分类数据安全培训机制，新员工入职必须完成数据安全培训，考核合格后方可上岗，每年至少开展两次全员数据安全培训，提升工作人员数据安全意识；数据安全工作落实情况纳入部门和个人绩效考核，与评优评先、薪酬调整直接挂钩。第三十条应急预案与应急处置：上交所建立分级分