证券公司的数据是如何治理的？

证券公司（Securities Company）是专门从事有价证券买卖的法人企业，分为证券经营公司和证券登记公司。狭义的证券公司是指证券经营公司，是经主管机关批准并到有关工商行政管理局领取营业执照后专门经营证券业务的机构。它具有证券交易所的会员资格，可以承销发行、自营买卖或自营兼代理买卖证券。普通投资人的证券投资都要通过证券商来进行。

证券公司应当结合公司发展战略，建立全面、科学、有效的数据治理组织架构以及数据全生命周期管理机制，确保数据统一管理、持续可控和安全存储，切实履行数据安全及数据质量管理职责，不断提升数据使用价值。

1. 数据分类分级

证券公司应当将经营及客户数据按照重要性和敏感性进行分类分级，并根据不同类别和级别作出差异化数据管理制度安排。

2. 数据安全保障措施

证券公司应当完善网络隔离、用户认证、访问控制、数据加密、数据备份、数据销毁、日志记录、病毒防范和非法入侵检测等安全保障措施，保护经营数据和客户信息安全，防范信息泄露与损毁。

3. 信息系统权限管理

证券公司应当遵循最少功能以及最小权限等原则分配信息系统管理、操作和访问权限，并履行审批流程。

合规管理和风险管理部门应当对权限管理制度和操作流程进行合规审査及风险控制。

证券公司应当建立对信息系统权限的定期检査与核对机制，确保用户权限与其工作职责相匹配，防止出现授权不当的情形。

证券公司应当对重要信息系统的开发、测试、运维实施必要分离，保证信息技术管理部门内部岗位的相互制衡。

4. 经营数据和客户信息保护

证券公司应当记录经营数据和客户信息的使用情况，并持续监督信息技术服务机构等相关方落实保密协议的情况。

证券公司发现其他机构、个人违规存储或使用自身经营数据和客户信息的，应当排查数据泄露途径、评估影响范围，采取合理可行的整改措施，及时处置风险隐患，并按照中国证监会规定履行报告和调查处理职责。

证券公司发现信息技术服务机构等相关方违规存储或者使用自身经营数据和客户信息的，应当责令其立即改正并销毁已获取的经营数据和客户信息；信息技术服务机构等相关方拒绝配合整改的，证券公司应当立即停止与其合作，并采取措施维护自身及客户的合法权益。

证券公司应当建立健全数据安全管理制度，不得收集与服务无关的客户信息，不得购买或使用非法获取或来源不明的数据。在收集使用客户信息之前，证券公司应当公开收集、使用的规则和目的，并征得客户同意。除法律法规和中国证监会另有规定外，证券公司不得允许或者配合其他机构、个人截取、留存客户信息，不得以任何方式向其他机构、个人提供客户信息。