事件概述
最近,中信建投证券的一名研学生因在社交媒体上发布包含公司标识及项目信息的视频,而引发了一场社会广泛关注的信息泄露事件。该视频无意中曝光了公司内部正在进行的IPO项目及客户信息,涉及主体包含望圆科技、海柔创新和国能信控等公司的相关信息。目前这一事件不仅导致该研学生被解雇,还促使中信建投启动了内部问责程序和信息安全审查。
![]()
![]()
国内外类似信息泄漏事件
类似信息泄露的事件不仅在中国发生,在美国和欧洲也有诸多案例,但像券商身份的情况哪怕在国外也并不多见:于2023年4月13日,美国国民警卫队成员杰克·特谢拉(Jack Teixeira)在家中被逮捕,职务是“网络传输系统”技术员。特谢拉被指在Discord平台上发布了超过50份五角大楼的机密文件,由于文件涉及俄乌战争情况以及多国信息,且部分敏感信息的生成时间非常接近发布时间,因此该泄密事件的严重程度远甚于以往,甚至导致了美国政府和多国之间的紧张关系。在今年当地时间3月4日,特谢拉在美国波士顿联邦法院签署了认罪协议,承认了美国《间谍法》中“故意保留和传播国防信息”等六项罪名,美国司法部不再对他提出其他指控,特谢拉被判处16年零8个月监禁。然而在7月17日,美国空军发言人表示,特谢拉妨碍了司法公正,并且没有遵守合法命令,特谢拉将因违反军事法而接受军事法庭审判。2023年7月7日,德意志银行(Deutsche Bank AG)和邮政银行宣布,数量不详的客户已成为数据泄露的受害者。在7月11日,据报道德意志银行向Bleeping Computer 证实,其一家服务供应商泄露客户数据,并且这可能是一次受 MOVEit Transfer漏洞影响的数据泄露事件。据德国《每日新闻》报道,直销银行ING和隶属于德国商业银行的Comdirect也受到“黑客攻击账户变更服务供应商事件”的影响,7月11日两家银行都证实了这一点。3.高盛信息泄露以及泄露监管信息事件(2014年、2016年)2014年6月,高盛的一名承包商将“机密客户文件”误发到一个陌生人的Gmail邮箱中,邮件中甚至包含“高度机密的券商账户信息”,高盛表示这一失误有可能导致其“毫无必要地严重”违反隐私保护法。高盛发现后立马联系了谷歌,并寻求法院下令,要求谷歌删除该邮件。在2016年,美联储发布声明称,高盛集团因非法使用和泄露机密监管信息被罚款3630万美元,美联储还责令高盛对机密监管信息的使用加强管理和培训。美联储在声明中说,高盛员工在对客户的推介演讲中非法使用美联储的机密监管信息,用以招揽生意。美联储还发现,高盛在使用机密监管信息方面缺乏相应政策、流程管理及员工培训。声明说,美联储打算对一名涉及非法使用和泄露机密监管信息的前高盛高管处以罚金,并禁止其在银行业从业。此外,美联储还禁止高盛再次聘用涉及泄露机密监管信息的人员。信息安全、信息保密的重要性
随着互联网时代发展至今,信息的传播速度以及内容呈现极高速、多元化的特征,这也导致具有讨论度的隐私信息(尤其是行业潜规则类)传播速度更快、范围更广。中信建投事件所反映的,是相关机构在信息管理方面的失职,仅在事后将相关人员开除作为追责,既无法弥补损失,也无法从源头上防范此类问题。
信息安全、信息保密对于券商公司而言,不仅是法律和监管要求,更是保护公司声誉、维护客户信任的重要保障。以下几点展示了信息保密的重要性:
金融机构处理大量敏感客户数据,如账户信息、交易记录等。信息保密需要确保这些数据得到妥善保护,防止因不当操作(无意或故意)泄露信息从而导致的客户信任危机。根据证监会颁布的《证券公司投资银行类业务内部控制指引》要求,证券公司应当与投资银行类业务人员及相关知情人员签订保密协议,投资银行类业务人员及相关知情人员应当严格遵守保密制度和保密协议的规定,不得传播或泄露内幕信息等。目前证监系统也会就证券从业泄露投资者信息的行为进行处罚。在去年5月15日,湖南证监局对某券商证券营业部从业人员李某开出罚单,事由是李某将通过公司系统查询获悉的某投资者账户信息泄露给他人,证监局决定采取出具警示函的行政监管措施。《证券基金经营机构董监高及从业人员监督管理办法》第26条规定了不得从事的行为,其中第十款为兜底条款“法律法规和证监会规定禁止的其他行为”,而泄露客户信息涉嫌侵犯个人隐私,应属该款。在美国,有《金融服务现代化法案》(Gramm-Leach-Bliley Act, GLBA)和《萨班斯-奥克斯利法案》(Sarbanes-Oxley Act, SOX)等法律规定金融机构必须保护客户的非公开个人信息。欧洲的《通用数据保护条例》(GDPR)和《市场滥用条例》(MAR)同样对数据保护和市场信息披露有严格要求。正如同中信建投事件中,内部问责程序的开启及实施,反映出了此类问题非常需要有效的内控关系及风险控制,有效的内控政策能够帮助公司识别和管理潜在风险,摆脱流程化、表面功夫等质疑,减少因员工或研学生误操作导致的意外信息泄露。例如高盛案例中,完善的内部控制能够在事件发生后迅速采取措施,减轻损失、防止情况恶化。![]()
国内券商的警示
中信建投的事件为国内券商敲响了警钟,强调了在以下几个方面加强管理和控制的必要性:1. 严格的保密协议:研学生和员工在入职前应签署保密协议,明确规定信息泄露的法律后果和公司纪律措施。保密协议不仅是法律文书,更是对员工的行为规范和警示。2. 全面的培训和教育:入职培训应包括信息安全和保密知识,定期组织员工学习最新的合规政策和信息保护技术。通过培训,提高员工的信息安全意识,减少因疏忽导致的信息泄露。3. 访问权限控制:严格限制研学生和员工对敏感信息的访问权限,仅允许其接触工作所需的必要数据。通过技术手段控制和监控信息访问,及时发现和阻止异常操作。4. 监控和审计机制:建立完善的监控和审计机制,对员工和研学生的活动进行实时监控,定期审计其访问记录,确保遵守保密协议和公司政策。5. 明确的人员引入流程、追责流程:结合法律法规内容,将保密义务落实到实践及个人,需要注意,正由于人员的引入涉及人员及部门广泛,需要根据具体引入情况从而确定涉及事件的人员以及追责机制。中信建投研学生泄露信息事件凸显了正确认识券商公司“合规性”的重要性,也为国内券商公司敲响了警钟。通过借鉴国内外的类似案例和法律法规,国内券商应加强保密协议的签署、培训和教育的完善、访问权限的严格控制以及监控和审计机制的建立。只有这样,才能有效保护客户信息,维护公司声誉,确保公司在法律和金融市场中的合规运营。参考文件:
1.《美国“泄密门”嫌疑人将接受军事法庭审判》,央视新闻2024-07-18。2.《高盛因非法使用和泄露机密监管信息被罚》,人民网-人民日报,2016-08-05。
