上海网信办等《上海市互联网证券信息服务企业合规指引》发布！

上海市互联网证券信息服务企业合规指引

（上海市人民检察院、上海市委网络安全和信息化委员会办公室、上海市证券同业公会联合发布，2023年9月15日）

第一章 总则

第一条【目的和依据】 为切实维护人民群众财产安全，防范和处置股市“黑嘴”、非法荐股等互联网非法证券活动，打造清朗网络空间，引导相关企业加强互联网证券信息服务合规建设，增强投资者识别风险的能力，促进证券市场规范有序发展，根据《证券法》《网络安全法》《数据安全法》《证券、期货投资咨询管理暂行办法》《证券投资顾问业务暂行规定》《关于加强对利用“荐股软件”从事证券投资咨询业务监管的暂行规定》《互联网用户账号信息管理规定》《金融信息服务管理规定》《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》《证券公司和证券投资基金管理公司合规管理办法》《涉案企业合规建设、评估和审查办法（试行）》等法律法规和管理规定，结合涉案企业合规改革试点工作经验，制定本指引。

第二条【互联网证券信息服务企业合规建设】互联网证券信息服务企业合规建设是指从事证券信息服务的互联网企业，在面向社会公众、个人投资者发布与证券相关信息活动中，针对企业及相关个人可能存在的违法风险点，建立一套旨在防范和识别合规风险，完善企业治理结构，健全内部规章制度，形成有效合规管理体系的专项活动。

第三条【适用范围】提供证券信息服务的本市属地网站平台、“自媒体”以及各类所有制企业，均可参照本指引开展业务合规管理。

第二章 互联网证券信息服务合规管理体系

第四条【合规责任人】企业的主要负责人是企业合规建设第一责任人，应当切实履行依法合规经营管理的重要职责。企业可以设置合规负责人，对企业及其工作人员的经营管理和执业行为的合规性进行审查、监督和检查， 组织拟定合规管理的基本制度和其他合规管理制度，并督导实施。

第五条【合规组织建设】企业可以根据企业类型、规模、业务范围等设置合规管理部门或管理人员。负责信息内容的部门可以设置由业务骨干担任的专职合规管理员，接受合规管理部门的指导和培训。

第六条【合规管理职责】合规管理部门或者管理人员的具体职责主要包括：

（一）根据法律法规、行业监管政策和企业经营活动制定互联网证券信息服务专项合规计划；

（二）有效监测、动态识别企业从事的互联网证券信息服务是否存在合规风险；

（三）组织开展企业合规教育培训，塑造企业合规文化；

（四）建立企业违规举报机制，及时处理内外部举报线索；

（五）畅通与行业协会、监管部门、司法机关的沟通渠道，主动接受业务监管和指导，持续开展合规建设。

第三章 互联网证券信息服务风险识别

第七条【风险识别】企业开展互联网证券信息服务合规管理，应当准确识别风险。

本章所列的风险内容并非互联网证券信息服务风险的全面指引，企业应当根据自身实际情况建立必要的合规计划，通过内部反馈、外部咨询、持续跟踪网络及证券领域立法、执法、司法的最新进展等方式准确识别法律风险和安全风险。

第八条【持证、亮牌经营】未经国务院证券监督管理部门批准，为他人有偿提供证券投资分析、预测或者建议等咨询服务活动，涉嫌非法经营。本市网站平台、移动应用程序商店应当将核验证券服务资质作为开展证券领域业务合作、应用程序上架的前置程序。网站平台应加强账号管理，有关账号在推广证券投资咨询服务、发布证券投资咨询文章、报告或者意见时，要明示所在证券投资咨询机构或证券公司名称、个人真实姓名及其登记编码，做到亮牌经营。

第九条【账号信息真实】平台企业对从事互联网证券信息服务的用户应当加强账号信息审核把关：个人用户账号中的职业信息应当与个人真实职业信息相一致；机构用户注册、使用账号信息，应当与机构名称、标识等相一致，与机构性质、经营范围和所属行业类型等相符合。账号信息不得有假冒、仿冒证券基金经营机构、工作人员的名称、标识等内容，不得以损害公共利益或者谋取不正当利益等为目的，故意夹带二维码、网址、邮箱、联系方式等，或者使用同音、谐音、相近的文字、数字、符号和字母等，不得含有名不副实、夸大其词等可能使公众受骗或者产生误解的内容等。

第十条【身份信息认证】平台企业为互联网用户提供信息发布、即时通讯等服务的，应当对申请注册相关账号信息的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。用户不提供真实身份信息，或者冒用组织机构、他人身份信息进行虚假注册的，不得为其提供相关服务。

第十一条【内容风险管理】企业应当加强内容风险管理，确保金融信息真实、客观、合法。不得制作、复制、发布、传播涉散布虚假金融信息，歪曲国家财政货币政策、金融管理政策，教唆他人商业欺诈或经济犯罪，虚构证券、基金、期货、外汇等金融市场事件或新闻，宣传有关主管部门禁止的金融产品与服务等内容。

第十二条【网络及数据安全管理】企业应当加强网站安全建设，避免网站被黑客攻击、病毒入侵等，防止侵犯公民个人信息、非法获取计算机信息系统数据、传播违法信息、非法跨境提供数据、数据滥用、数据泄露等事件发生。

企业进行数据收集、存储、使用、加工、传输、提供、公开等数据处理活动，应当遵守法律、法规规定，应当在网络安全等级保护制度的基础上，履行数据安全保护义务。

第四章 互联网证券信息服务风险评估与处置

第十三条【风险评估与提示】企业从事互联网证券信息服务，应当根据自身业务类别与监管要求，建立合规风险评估机制。企业合规部门和相关业务部门负责人应当根据风险评估结果对不同职级、不同工作范围的管理层、员工以及平台外聘人员进行风险提示，降低企业及相关个人的违法犯罪风险。

第十四条【风险处置机制】企业应当建立健全信息内容违规事件应急预案与风险处置机制，对识别和评估的各类信息内容风险设置恰当的控制和应对措施来降低风险。

平台企业发现互联网用户注册、使用账号信息违反相关规定的，应当依法依约采取警示提醒、限期改正、限制账号功能、暂停使用、关闭账号、禁止重新注册等处置措施，保存有关记录，并及时向网信等有关主管部门报告。

平台企业发现互联网用户发布的内容违法，应当立即终止传输、禁止使用和停止传播，及时采取处置措施，消除相关信息内容，保存完整记录并向网信、公安等部门报告。

第十五条【积极配合调查】企业受到监管部门或司法机关调查时，应当积极配合调查，提供相关线索和证据，分析并调整企业专项合规计划。不得拒绝提供有关材料、信息，或者提供虚假材料、信息，或者隐匿、销毁、转移证据，或者有其他拒绝、阻碍调查的行为。

企业已经建立有效合规机制并积极配合调查或者主动消除、减轻违法行为危害后果的，行业自律组织、监管部门或司法机关可以依法从宽处理。

第五章 互联网证券信息服务合规保障

第十六条【合规文化培育】鼓励企业将信息内容合规作为企业文化建设的重要内容，践行合规经营的价值观，不断增强员工的合规经营意识。

第十七条【合规咨询】企业可以建立信息内容合规咨询机制。管理层、员工以及平台外聘人员在工作中均可以向合规管理部门咨询信息内容合规问题。

合规管理部门应当不断学习、提升合规管理水平，可以同外部机构开展合规咨询合作，也可以向相关监管机构学习了解监管要求。

第十八条【合规培训】合规管理部门应当建立培训机制，定期为管理层、员工及外聘人员作法律法规及监管合规培训，使其充分了解各类信息的法律属性及监管要求、企业合规计划、岗位角色与职责等。

第十九条【合规承诺】鼓励企业的主要负责人、高级管理人员、员工及外聘人员作出并履行明确、公开的信息内容合规承诺，知悉并愿意遵守合规计划，愿意承担违反合规承诺的后果。

第二十条【举报机制】企业应当鼓励、允许员工实名或者匿名通过内部举报系统举报信息内容违规行为，并严格保护举报人的个人信息安全。

企业应当在网站、移动应用程序的显著位置设置便捷的投诉举报入口，公布投诉举报方式，健全受理、甄别、处置、反馈等机制，明确处理流程和反馈时限，及时处理用户和公众投诉举报。

第二十一条【绩效评价机制】企业应当建立合规绩效评价机制，将合规考核结果作为企业绩效考核的重要依据，与员工的评优评先、职务任免、职务晋升以及薪酬待遇等挂钩。

对于严格遵守合规计划和合规承诺的管理层和员工，制定适当的激励措施使合规计划得到一致遵守和执行。

对于不严格执行甚至违反合规计划的管理层和员工，采取适当的纪律措施进行惩戒，并根据违规程度采取不同的风险处置措施。涉嫌违法犯罪的应当及时向公安机关报案。

第二十二条【合规管理信息化建设】企业可通过信息内容合规管理信息化建设，运用大数据分析等工具辅助人工审核等方式，加强对平台信息内容合规的实时监控和风险分析。

第二十三条【接受行业自律组织自律管理】鼓励从事证券投资咨询的企业加入行业自律组织并接受其自律管理。行业自律组织应当指引、引导企业提高合规管理水平。

第二十四条【合规管理体系有效性评估】企业开展合规管理有效性评估，应当以合规风险为导向，重点关注可能存在合规管理缺失、遗漏或薄弱的环节，全面、客观反映合规管理存在的问题，充分揭示合规风险。

对于通过合规管理有效性评估发现的问题，企业应当加强对问题的整改落实与跟踪，将整改情况纳入合规考核与问责范围。

企业可以委托符合条件的律师事务所、会计师事务所或管理咨询公司等外部专业机构进行合规管理有效性评估。

第六章 附则

第二十五条【指引的解释】本指引由上海市人民检察院、上海市委网络安全和信息化委员会办公室、上海市证券同业公会负责解释，自发布之日起实施。