一、客户信息保密义务
第四十一条 证券交易场所、证券公司、证券登记结算机构、证券服务机构及其工作人员应当依法为投资者的信息保密,不得非法买卖、提供或者公开投资者的信息。
证券交易场所、证券公司、证券登记结算机构、证券服务机构及其工作人员不得泄露所知悉的商业秘密。
第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
第五条 对依法履行反洗钱职责或者义务获得的客户身份资料和交易信息,应当予以保密;非依法律规定,不得向任何单位和个人提供。
反洗钱行政主管部门和其他依法负有反洗钱监督管理职责的部门、机构履行反洗钱职责获得的客户身份资料和交易信息,只能用于反洗钱行政调查。
司法机关依照本法获得的客户身份资料和交易信息,只能用于反洗钱刑事诉讼。
第七十条 证券公司对客户资料负有保密义务。
证券公司有权拒绝其他任何单位或者个人对客户资料的查询,但法律、行政法规或者中国证监会另有规定的除外。
第二十九条 证券公司应建立对录入证券交易系统的客户资料等内容的复核和保密机制;应妥善保管客户开户、交易及其他资料,杜绝非法修改客户资料;应完善客户查询、咨询和投诉处理等制度,确保客户能够及时获知其账户、资金、交易、清算等方面的完整信息。
第三十条 基金销售机构应建立严格的基金份额持有人信息管理制度和保密制度,及时维护更新基金份额持有人的信息,基金份额持有人的信息应严格保密,防范投资人资料被不当运用。
对基金份额持有人信息的维护和使用应当明确权限并留存相关记录。
第七条 证券经营机构应当加强保密信息的管理,采取保密措施,防范工作人员利用内幕信息、未公开信息、客户信息、商业秘密等信息输送或者谋取不正当利益。
第三十二条 证券公司应当及时、准确、完整地建立客户纸质或者电子档案,妥善保管客户档案和资料,为客户保密。
客户纸质及电子档案保存期限自资金账户注销之日起不得少于20年。
第四十九条 证券金融公司及其工作人员应当对因履行职责而获悉的信息保密。法律、行政法规和本办法另有规定的除外。
第六条 保荐代表人应当遵守职业道德准则,珍视和维护保荐代表人职业声誉,保持应有的职业谨慎,保持和提高专业胜任能力。
保荐代表人应当维护发行人的合法利益,对从事保荐业务过程中获知的发行人信息保密。保荐代表人应当恪守独立履行职责的原则,不因迎合发行人或者满足发行人的不当要求而丧失客观、公正的立场,不得唆使、协助或者参与发行人及证券服务机构等实施非法的或者具有欺诈性的行为。
保荐代表人及其配偶不得以任何名义或者方式持有发行人的股份。
保荐代表人、保荐业务负责人、内核负责人、保荐业务部门负责人及其他保荐业务人员应当保持独立、客观、审慎,与接受其服务的发行人及其关联方不存在利害关系,不存在妨碍其进行独立专业判断的情形。
第三条 上市公司的收购及相关股份权益变动活动,必须遵循公开、公平、公正的原则。
上市公司的收购及相关股份权益变动活动中的信息披露义务人,应当充分披露其在上市公司中的权益及变动情况,依法严格履行报告、公告和其他法定义务。在相关信息披露前,负有保密义务。
信息披露义务人报告、公告的信息必须真实、准确、完整,不得有虚假记载、误导性陈述或者重大遗漏。
第七条 任何单位和个人对所知悉的重大资产重组信息在依法披露前负有保密义务。
禁止任何单位和个人利用重大资产重组信息从事内幕交易、操纵证券市场等违法活动。
第七条 中国人民银行及其工作人员应当对依法履行反洗钱职责获得的信息予以保密,不得违反规定对外提供。
中国反洗钱监测分析中心及其工作人员应当对依法履行反洗钱职责获得的客户身份资料、大额交易和可疑交易信息予以保密;非依法律规定,不得向任何单位和个人提供。
第三条 金融机构应当勤勉尽责,遵循“了解你的客户”的原则,识别并核实客户及其受益所有人身份,针对具有不同洗钱或者恐怖融资风险特征的客户、业务关系或者交易,采取相应的尽职调查措施。
金融机构在与客户业务存续期间,应当采取持续的尽职调查措施。针对洗钱或者恐怖融资风险较高的情形,金融机构应当采取相应的强化尽职调查措施,必要时应当拒绝建立业务关系或者办理业务,或者终止已经建立的业务关系。
第二十七条 证券经营机构及其工作人员应当对在履行适当性义务时获取的投资者基本信息、投资者风险承受能力评级结果等信息严格保密,防止该等信息被泄露或被不当利用。
第三条 本指引所称内幕信息,是指根据《证券法》第五十二条规定,涉及上市公司的经营、财务或者对上市公司证券市场价格有重大影响的尚未公开的信息。
《证券法》第八十条第二款、第八十一条第二款所列重大事件属于内幕信息。
第四条 内幕信息知情人在内幕信息公开前负有保密义务。
第五条 上市公司应当根据本指引,建立并完善内幕信息知情人登记管理制度,对内幕信息的保密管理及在内幕信息依法公开披露前内幕信息知情人的登记管理作出规定。
第六条 在内幕信息依法公开披露前,上市公司应当按照规定填写上市公司内幕信息知情人档案,及时记录商议筹划、论证咨询、合同订立等阶段及报告、传递、编制、决议、披露等环节的内幕信息知情人名单,及其知悉内幕信息的时间、地点、依据、方式、内容等信息。内幕信息知情人应当进行确认。
证券交易所根据内幕交易防控需要,对内幕信息知情人档案填报所涉重大事项范围、填报的具体内容、填报人员范围等作出具体规定。
第三十四条 上市公司应当按照《证券法》所规定的内幕信息知情人范围,根据内幕信息的实际扩散情况,真实、准确、完整地填写内幕信息知情人档案并向本所报送,不得存在虚假记载、重大遗漏和重大错误。上市公司如发生本指引第三十三条所列事项的,报送的内幕信息知情人至少包括下列人员:
(一)上市公司及其董事、监事、高级管理人员;
(二)上市公司控股股东、第一大股东、实际控制人,及其董事、监事、高级管理人员;
(三)上市公司收购人或者重大资产交易方及其控股股东、实际控制人、董事、监事和高级管理人员(如有);
(四)相关事项的提案股东及其董事、监事、高级管理人员(如有);
(五)为该事项提供服务以及参与本次方案的咨询、制定、论证等各环节的相关专业机构及其法定代表人和经办人(如有);
(六)接收过上市公司报送信息的行政管理部门及其经办人员(如有);
(七)前述第(一)项至第(六)项规定的自然人的配偶、子女和父母;
(八)其他通过直接或间接方式知悉内幕信息的人员及其配偶、子女和父母。
第四十一条 上市公司在报送内幕信息知情人档案和重大事项进程备忘录时应当出具书面承诺,保证所填报内幕信息知情人信息及内容的真实、准确、完整,并向全部内幕信息知情人通报了有关法律法规对内幕信息知情人的相关规定。
公司董事会应当保证内幕信息知情人档案的真实、准确和完整,并按照本指引要求报送。董事长为主要责任人,董事会秘书负责办理上市公司内幕信息知情人的报送事宜。董事长与董事会秘书应当在前款规定的书面承诺上签署确认意见。监事会应当对内幕信息知情人报送工作进行监督。
二、敏感信息隔离墙管控责任
第三条 证券公司应当按照需知原则管理敏感信息,确保敏感信息仅限于存在合理业务需求或管理职责需要的工作人员知悉。
证券公司工作人员对以任何方式知悉的敏感信息负有严格的保密义务,不得利用敏感信息为自己或他人谋取不当利益。
证券公司聘用外部服务商的,应当与服务商约定其对在服务中获知的敏感信息负有保密义务。
第七条 证券公司应当采取保密措施,防止敏感信息的不当流动和使用,包括但不限于:
(一)与公司工作人员签署保密文件,要求工作人员对工作中获取的敏感信息严格保密;
(二)加强对涉及敏感信息的信息系统、通讯及办公自动化等信息设施、设备的管理,保障敏感信息安全;
(三)对可能知悉敏感信息的工作人员使用公司的信息系统或配发的设备形成的电子邮件、即时通讯信息和其他通讯信息进行监测;
(四)建立内幕信息知情人管理制度。
第七十九条 证券公司应通过部门设置、人员管理、信息管理等方面的隔离措施,建立健全研究咨询部门与投资银行、自营等部门之间的隔离墙制度;对跨隔离墙的人员、业务应有完整记录,并采取静默期等措施;对跨越隔离墙的业务、人员应实行重点监控。
第二十三条 证券公司应当做好内部信息隔离及保密工作,非项目组及质量控制、内核等相关人员查阅底稿,应事先履行审批程序,防止其利用底稿系统掌握内幕信息或商业秘密实施违法违规行为。
三、数据安全保护义务
第三十一条 证券基金经营机构应当完善网络隔离、用户认证、访问控制、数据加密、数据备份、数据销毁、日志记录、病毒防范和非法入侵检测等安全保障措施,保护经营数据和客户信息安全,防范信息泄露与损毁。
第三十四条 证券基金经营机构应当建立健全数据安全管理制度,不得收集与服务无关的客户信息,不得购买或使用非法获取或来源不明的数据。在收集使用客户信息之前,证券基金经营机构应当公开收集、使用的规则和目的,并征得客户同意。
除法律法规和中国证监会另有规定外,证券基金经营机构不得允许或者配合其他机构、个人截取、留存客户信息,不得以任何方式向其他机构、个人提供客户信息。
第二十二条 金融控股公司与其所控股机构之间、其所控股机构之间在开展业务协同,共享客户信息、销售团队、信息技术系统、运营后台、营业场所等资源时,不得损害客户权益,应当依法明确风险承担主体,防止风险责任不清、交叉传染及利益冲突。
第二十三条 金融控股公司及其所控股机构在集团内部共享客户信息时,应当确保依法合规、风险可控并经客户书面授权或同意,防止客户信息被不当使用。
金融控股公司所控股机构在提供综合化金融服务时,应当尊重客户知情权和选择权。
第二十二条 核心机构和经营机构应当建立健全供应商管理机制,明确信息技术产品和服务准入标准,审慎采购并持续评估相关产品和服务的质量,及时改进风险管理措施,健全应急处置机制,确保重要信息系统运行安全可控。
核心机构和经营机构应当与供应商签订合同及保密协议,明确约定各方保障网络和信息安全的权利和义务;在使用供应商提供产品或者服务时引发网络安全事件的,相关供应商有义务配合中国证监会及其派出机构查明网络安全事件原因,认定网络安全事件责任。
第三十二条 核心机构和经营机构处理投资者个人信息时,应当确保个人信息在收集、存储、使用、加工、传输、提供、公开、删除等处理过程中的合规、安全,防止个人信息的泄露、篡改、丢失。
第三十三条 核心机构和经营机构应当依法依规向第三方机构提供投资者个人信息,明确告知投资者个人信息处理目的、处理方式、个人信息种类、保存期限、保护措施以及相关方的权利和义务等,并取得投资者个人单独同意,履行法定职责或者法定义务的情形除外。
第三十四条 核心机构和经营机构在本机构网络安全防护边界以外处理投资者个人信息的,应当采取数据脱敏、数据加密等措施,防范化解投资者个人信息在处理过程中的泄露风险。
核心机构和经营机构通过短信、邮件等非自主运营渠道发送投资者敏感个人信息的,应当将投资者账号信息、身份证号码等敏感个人信息进行脱敏处理。
第二十一条 证券公司应当妥善保存客户身份资料和交易记录,保存方式和保存期限按照国家有关规定执行。
客户身份资料包括个人客户的身份证件复印件或影印件、机构客户的开户资格证明文件复印件或影印件、代理人的身份证件复印件或影印件、授权书原件、账户开立内部审核记录、客户信息核实和更正记录等。
交易记录包括关于每笔交易的数据信息、业务凭证、账簿以及有关规定要求的反映交易真实情况的合同、业务凭证、单据、业务函件和其他资料。
四、信息系统安全管理义务
第四十三条 证券基金经营机构借助信息技术手段从事证券基金业务活动的,可以委托信息技术服务机构提供产品或服务,但证券基金经营机构依法应当承担的责任不因委托而免除或减轻。
证券基金经营机构应当清晰、准确、完整的掌握重要信息系统的技术架构、业务逻辑和操作流程等内容,确保重要信息系统运行始终处于自身控制范围。除法律法规及中国证监会另有规定外,不得将重要信息系统的运维、日常安全管理交由信息技术服务机构独立实施。
五、上市证券公司独立性要求
第二十条 证券公司的控股股东、实际控制人不得利用其控制地位或者滥用权利损害证券公司、公司其他股东和公司客户的合法权益。
第二十一条 证券公司的控股股东不得超越股东会、董事会任免证券公司的董事、监事和高级管理人员。
证券公司的股东、实际控制人不得违反法律、行政法规和公司章程的规定干预证券公司的经营管理活动。
第二十二条 证券公司与其股东、实际控制人或者其他关联方应当在业务、机构、资产、财务、办公场所等方面严格分开,各自独立经营、独立核算、独立承担责任和风险。
证券公司股东的人员在证券公司兼职的,应当遵守法律、行政法规和中国证监会的规定。
第三条 证券公司的股东和实际控制人不得滥用权利,占用证券公司或者客户的资产,损害证券公司或者客户的合法权益。
4.1.2 上市公司董事会、监事会和其他内部机构应当独立运作,独立行使决策权、经营管理权,不得与控股股东、实际控制人及其关联人存在机构混同等影响公司独立经营的情形,保证人员、资产、财务分开,保证机构、业务独立。
第六十四条 控股股东提名上市公司董事、监事候选人的,应当遵循法律法规和公司章程规定的条件和程序。控股股东不得对股东大会人事选举结果和董事会人事聘任决议设置批准程序。
第六十五条 上市公司的重大决策应当由股东大会和董事会依法作出。控股股东、实际控制人及其关联方不得违反法律法规和公司章程干预上市公司的正常决策程序,损害上市公司及其他股东的合法权益。
第六十八条 控股股东、实际控制人与上市公司应当实行人员、资产、财务分开,机构、业务独立,各自独立核算、独立承担责任和风险。
第六十九条 上市公司人员应当独立于控股股东。上市公司的高级管理人员在控股股东不得担任除董事、监事以外的其他行政职务。控股股东高级管理人员兼任上市公司董事、监事的,应当保证有足够的时间和精力承担上市公司的工作。
第七十条 控股股东投入上市公司的资产应当独立完整、权属清晰。
控股股东、实际控制人及其关联方不得占用、支配上市公司资产。
第七十一条 上市公司应当依照法律法规和公司章程建立健全财务、会计管理制度,坚持独立核算。
控股股东、实际控制人及其关联方应当尊重上市公司财务的独立性,不得干预上市公司的财务、会计活动。
第七十二条 上市公司的董事会、监事会及其他内部机构应当独立运作。控股股东、实际控制人及其内部机构与上市公司及其内部机构之间没有上下级关系。
控股股东、实际控制人及其关联方不得违反法律法规、公司章程和规定程序干涉上市公司的具体运作,不得影响其经营管理的独立性。
第七十三条 上市公司业务应当独立于控股股东、实际控制人。
控股股东、实际控制人及其控制的其他单位不应从事与上市公司相同或者相近的业务。控股股东、实际控制人应当采取有效措施避免同业竞争。
4.1.1 控股股东和实际控制人应当遵守诚实信用原则,依法行使股东权利、履行股东义务,依规签署并恪守有关声明和承诺,不得隐瞒其控股股东、实际控制人身份,逃避相关义务和责任。
控股股东和实际控制人应当维护公司独立性,不得滥用股东权利、控制地位损害上市公司和其他股东的合法权益,不得利用对公司的控制地位牟取非法利益。
4.2.1 控股股东、实际控制人应当维护上市公司的独立性,采取切实措施保障公司资产完整、人员独立、财务独立、机构独立和业务独立。
控股股东、实际控制人依照法律法规或者有权机关授权履行国有资本出资人职责的,从其规定。
4.2.2 控股股东、实际控制人应当维护上市公司资产完整,不得通过以下方式影响公司资产的完整性:
(一)与生产型公司共用与生产经营有关的生产系统、辅助生产系统和配套设施;
(二)与非生产型公司共用与经营有关的业务体系及相关资产;
(三)以显失公平的方式与公司共用商标、专利、非专利技术等;
(四)以无偿或者以明显不公平的条件占有、使用、收益或者处分公司的资产;
(五)未按照法律规定及合同约定及时办理投入或者转让给公司资产的过户手续;
(六)法律法规、本所相关规定或者认定的其他情形。
4.2.3 控股股东、实际控制人应当维护上市公司人员独立,不得通过以下方式影响公司人员的独立性:
(一)通过行使提案权、表决权等法律法规、本所相关规定及公司章程规定的股东权利以外的方式,影响公司人事任免或者限制公司董事、监事和高级管理人员履行职责;
(二)聘任公司高级管理人员在控股股东、实际控制人或者其控制的企业担任除董事、监事以外的其他行政职务;
(三)要求公司人员为其无偿提供服务;
(四)向公司高级管理人员支付薪金或者其他报酬;
(五)指使公司董事、监事和高级管理人员以及其他在上市公司任职的人员实施损害公司利益的决策或者行为;
(六)法律法规、本所相关规定或者认定的其他情形。
4.2.4 控股股东、实际控制人应当维护上市公司财务独立,不得通过以下方式影响公司财务的独立性:
(一)与公司共用或者借用公司银行账户等金融类账户,或者将公司资金以任何方式存入控股股东、实际控制人及其关联人控制的账户;
(二)通过各种方式非经营性占用公司资金;
(三)要求公司违法违规提供担保;
(四)将公司财务核算体系纳入控股股东、实际控制人管理系统之内,如共用财务会计核算系统或者控股股东、实际控制人可以通过财务会计核算系统直接查询公司经营情况、财务状况等信息;
(五)法律法规、本所相关规定或者认定的其他情形。
4.2.7 控股股东、实际控制人应当维护上市公司机构独立,支持公司董事会、监事会、业务经营部门或者其他机构及其人员的独立运作,不得干预公司机构的设立、调整或者撤销,或者对公司董事会、监事会和其他机构及其人员行使职权进行限制或者施加其他不正当影响。
4.2.8 控股股东、实际控制人应当维护上市公司业务独立,支持并配合公司建立独立的生产经营模式,不得与公司在业务范围、业务性质、客户对象、产品可替代性等方面存在可能损害公司利益的竞争,不得利用其对公司的控制地位,牟取属于公司的商业机会。控股股东、实际控制人应当采取措施,避免或者消除与公司的同业竞争。
