威夫斯(上海)机械有限公司
数据安全与个人信息保护专项规章
暨公司数据与个人信息安全问题应急预案
目录
数据安全专项规章..................................... 2
第一章 总 则.................................... 2
第二章 公司数据安全制度.................. 2
第三章 公司数据出境管理.................. 3
第四章 公司合规注意事项.................. 4
个人信息保护专项规章............................. 7
第一章 总 则........................................... 7
第二章 个人信息处理规则........................ 8
第三章 个人信息跨境管理.......................10
数据安全专项规章
第一章 总 则
第一条 为了规范公司数据处理活动,保障公司数据安全,促进公司数据开发利用,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等相关法律、行政法规,结合本公司实际,制定本专项规章。
第二条 本专项规章中下列用语的含义:
(一) 数据,是指任何以电子或者其他方式对信息的记录,包括公司技术、业务、管理、员工、客户信息等。
(二) 数据处理,是指对数据的收集、存储、使用、加工、传输、提供、公开等。
(三) 数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
(四) 公司,是指威夫斯(上海)机械有限公司。
第三条 公司所在地:上海市青浦区。
第三章 公司数据出境管理
第十条 公司作为数据处理者,如果发生向境外提供重要数据,或者其他国家网信部门规定的需要申报数据出境安全评估的情形,应通过上海市网信部门向国家网信部门申报数据出境安全评估。
第十一条 在申报数据出境安全评估前,应事先开展数据出境风险自评估,重点对下列事项进行评估:
(一) 数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(二) 出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
(三) 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
(四) 数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险,个人信息权益维护的渠道是否通畅等;
(五) 与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务;
(六) 其他可能影像数据出境安全的事项。
第十二条 申报数据出境安全评估,应当提交以下材料:
(一) 申报书;
(二) 数据出境风险自评估报告;
(三) 公司与境外接收方拟订立的法律文件;
(四) 安全评估工作需要的其他材料。
第十三条 通过并获得数据出境安全评估结果后,应当注意该评估结果的有效期为2年,自评估结果出具之日起开始计算。在有效期内,如果出现下列情形之一的,公司应当重新申报评估:
(一) 向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;
(二) 境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、公司或者境外接收方实际控制权发生变化、公司与境外接收方法律文件变更等影响出境数据安全的;
(三) 出现影响出境数据安全得其他情形。
有效期届满,需要继续开展数据出境活动的,公司应当在有效期届满60个工作日前重新申报评估。
第十四条 公司与数据境外接收方订立的法律文件应当充分约定数据安全保护责任义务,且在法律文件签订前,应当就其合规性请法律专业人员进行审核。
第四章 公司合规注意事项
第十五条 公司应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。
第十六条 公司一般数据由公司各部门自行归档、存储、备份,部门负责人定期进行监督检查。
第十七条 公司重要数据由具体部门或专人负责,具体管理方式如下:
(一) 公司技术秘密、商业秘密由相关部门将已完成或正在进行中的企划书、图纸、样表等文件设立专门电子文档和/或实体文档定期进行存档、备份,由相关负责人监督检查。
(二) 公司客户项目合作相关信息由该项目负责人确保相关数据随项目进展进行存储,并在整个项目结束后进行存档、备份。
(三) 财务数据由财务部门将当月账目、报表等数据统一整理,设立专门电子文档和/或实体文档进行存档、备份。
(四) 公司处理的员工个人信息数据在未达到一定数量和规模之前一般不属于重要信息,但公司人力资源部仍然应当以一致和保密的方式处理这些信息数据,并确保其仅可以在被授权的前提下进行数据处理。
(五) 服务器相关数据应与系统管理员等相关人员确认每日的存档、备份。
(六) 公司其他重要数据均应由专人或者部门负责对其进行存档、备份。
对上述公司重要数据的接入,均应设置密码或采用其他安全保护系统,并确保密码的定期更换和安保系统的及时升级更新。同时,各部门应确保其管理的重要数据的接触者仅为数据的直接相关人,防止非授权的共享和传递。
第十八条 针对公司重要数据的处理,应当每半年开展一次风险评估,并制作风险评估报告,报告内容应包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
第十九条 公司的数据处理活动,应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当依照公司制定的应急预案,采取相应措施,同时向有关主管部门报告,并将警示信息及时通知涉及的有关客户企业和人员。
第二十条 公司应当采取相应的技术措施和其他必要措施,防范如计算机病毒和网络攻击、网络入侵等危害网络安全的行为,保障公司数据安全。
第二十一条 公司对数据的收集,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据,且对数据的收集和使用应当在法律、行政法规规定的目的和范围内。
第二十二条 公司以了解市场及竞品情况、数据备份、监控本公司投放产品动态、数据报表制定等目的,采用自动化采集技术等(如数据爬虫)获取相关数据时,必须遵守相关法律法规,评估对网络服务的性能、功能带来的影响,采取正当手段获取数据,不得干扰网络服务的正常功能、破坏竞争秩序或者损害其他主体合法权益。
公司采用自动化工具访问、收集数据违反法律、行政法规或者行业约定、影响网络服务正常功能,或者侵犯他人知识产权等合法权益的,应当停止访问、收集数据行为并采取相应补救措施。
第二十三条 公司在应用程序开发和运营过程中使用第三方软件开发工具包时,应当通过合同等形式明确第三方的数据安全责任义务,并督促第三方采取必要的数据安全保护措施,加强数据合规管理。公司不得使用风险不可控的开源软件开发工具包等工具。
第二十四条 公司指定数据安全负责人,专门负责公司数据安全相关事务,履行以下职责:
(一) 统筹公司内部数据合规管理,建立数据合规技术保障措施,确保公司各部门做好数据风险识别、风险评估、风险处置等工作;
(二) 以本专项规章为基础,根据公司发展和行业形势变化,完善公司数据合规计划,并推动其有效实施;
(三) 审核评估公司的日常经营管理和业务行为,确保公司与客户、供应商、代理商、关联企业、分支机构等的业务活动,以及处理数据等活动符合相关法律法规的要求;
(四) 组织或协助公司各部门开展数据安全及合规教育培训活动,并提供相关咨询;
(五) 建立数据合规举报记录台账,对举报内容开展调查并制定解决方案;
(六) 推动将数据合规责任纳入公司岗位职责和员工绩效考核评估体系,加强公司整体数据合规意识;
(七) 持续关注国内和公司业务所涉及国家(地区)数据法规的发展动态,及时更新公司数据合规相关制度规章。
第二十五条 公司应加强对数据风险的识别。常见的数据风险包括公司数据全生命周期各阶段中可能存在的未授权访问、数据滥用、数据泄露等风险,以及侵犯个人信息、非法获得公司计算机信息系统数据、传播违法信息、侵犯知识产权、非法跨境提供数据等刑事犯罪风险,公司应根据识别出的风险对相关经营管理和业务行为是否合规作出评判,并决定是否要采取相应措施。
第二十六条 公司及公司员工开展数据处理活动,应当遵守相关法律法规,不得从事以下活动:
(一) 危害国家安全、荣誉和利益,泄露国家秘密和工作秘密;
(二) 侵害他人人格权、知识产权和其他合法权益;
(三) 通过窃取或者以其他非法方式获取数据;
(四) 非法出售或者非法向他人提供数据;
(五) 制作、发布、复制、传播违法信息;
(六) 法律、行政法规禁止的其他行为。
公司任何员工知道或应当知道公司内他人从事上述活动的,应当及时告知公司数据安全负责人或向有关部门报告。
第二十七条 公司就所涉及的数据处理组织开展数据安全教育培训,并根据公司员工具体情况有针对性地调整培训内容。
(一) 新入职的员工,作为入职培训的一部分,公司指派专门人员对公司数据处理情况及数据安全注意事项等内容进行全面、详细的介绍和讲解,并及时解答员工提出的问题。
(二) 已进行过数据安全教育培训的员工,公司根据员工负责的具体业务,有针对性的定期开展安全教育培训。
(三) 公司出现数据安全事件,应在事件妥善处理后,尽快针对事件总结经验教训,对相关人员加强培训,并对其他人员进行教育培训。
个人信息保护专项规章
第一章 总 则
第一条 为了保护公司相关个人信息权益,规范公司个人信息处理活动,促进公司相关个人信息合理利用,根据《中华人民共和国个人信息保护法》等法律、行政法规,结合本公司实际,制定本专项规章。
第二条 本专项规章中下列用语的含义:
(一) 个人信息,是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
(二) 敏感个人信息,是指一旦泄露或者非法使用,容易导致被泄露人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
(三) 个人信息的处理,是指对个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
(四) 公司,是指威夫斯(上海)机械有限公司。
第三条 公司联系方式:
公司名称:威夫斯(上海)机械有限公司
公司地址:中国上海青浦区徐泾镇双联路398号1号楼北楼1-2层
公司电话:021-64967188
第四条 公司数据与个人信息保护官信息请见附件。
第五条 公司处理个人信息,应遵循如下原则:
(一) 合法、正当、必要和诚信原则,不以误导、欺诈、胁迫等方式处理个人信息。
(二) 公开、透明原则,对个人信息的处理规则应当公开,明示处理的目的、方式和范围。
第六条 公司处理个人信息应具有明确、合理的目的,并应当与处理目的直接相关,采取对相关个人权益影响最小的方式,且应当将个人信息的收集限制在最小范围内,不过度收集个人信息。
第七条 公司保证其处理的个人信息的准确性、完整性,避免因信息错漏对个人权益造成影响。
第八条 公司采取必要措施保障其所处理的个人信息的安全,不非法收集、使用、加工、传输、买卖、提供或者公开这些个人信息,不从事危害国家安全、公共利益的个人信息处理活动。
第二章 个人信息处理规则
第九条 公司处理个人信息应当取得相关个人的同意,但符合以下情形之一的,无需取得个人授权同意:
(一)为订立、履行个人作为一方当事人的合同所必需;
(二) 为国家安全、国防安全、犯罪侦查、起诉、审判、判决执行等所必需;
(三) 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(四) 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(五) 个人信息所有者自行公开的个人信息;
(六) 为学术研究之目的提供的个人信息,且在研究结果公布时已对相关个人信息进行去标识化处理;
(七) 法律、行政法规规定的其他情形。
第十条 公司基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。在个人信息处理目的、处理方式和处理的个人信息种类发生变更的情况下,公司应当重新取得个人同意。
第十一条 公司基于个人同意处理个人信息的,若个人撤回其同意,公司应提供便捷的撤回同意的方式,撤回前基于个人同意已经进行的个人信息处理活动的效力不受影响。
第十二条 公司不因个人不同意处理其个人信息或者撤回其同意为由,拒绝提供产品或者服务,除非处理个人信息是该产品或者服务所必需的。
第十三条 公司处理个人信息前,应以显著方式和清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)公司的名称和联系方式;
(二) 公司获得个人信息的处理目的、方式,处理的个人信息种类、保存期限;
(三) 个人可行使的权利,如撤回个人信息处理的同意等。
第十四条 有法律法规规定应当保密或者不需要告知的情形的,公司可以不向个人告知个人信息处理者的名称和联系方式。紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,公司应当在紧急情况消除后及时告知。
第十五条 公司对个人信息的保存期限应当为尽可能实现其处理目的所必要的最短时间。
第十六条 公司与其他个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权力和义务。
第十七条 公司委托处理个人信息的,应当在与受托人签订的委托协议中明确委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。
第十八条 公司因自身变动(如合并、分立、解散、被宣告破产等)需要转移个人信息的,应当向个人告知接收方的相关信息,如果接收方对原先的处理目的、处理方式进行变更,则应当要求其重新取得个人同意。
第十九条 公司向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。
第二十条 公司通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
第二十一条 未取得个人单独同意,公司不得公开其处理的个人信息。
第二十二条 公司可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息,但个人明确拒绝的除外。
第二十三条 公司仅在具有特定的目的和充分的必要性,并采取严格保护措施的情况下,对公司员工及客户敏感个人信息进行处理。
第二十四条 公司处理员工及客户敏感个人信息应当取得个人的单独同意,并告知其必要性以及对个人权益的影响。
第三章 个人信息跨境管理
第二十五条 公司因业务等需要,确需向中华人民共和国境外提供个人信息的,应当完成如下前置程序:
(一) 公司自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息,公司应当向上海市网信部门申报个人信息出境安全评估。向不同的接收者提供个人信息应当分别申报安全评估。通过和获得的安全评估结果有效期为两年,有效期届满或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。
(二) 完成公司关于个人信息出境安全风险及安全保障措施分析报告,报告内容应当至少包括:
1. 公司和接收者的背景、规模、业务、财务、信誉、网络安全能力等。
2. 个人信息出境计划,包括持续时间、涉及的个人信息主体数量、向境外提供的个人信息规模、个人信息出境后是否会再向第三方传输等。
3. 个人信息出境风险分析合法权益的措施。
第二十六条 公司与个人信息接收者签订的合同或者其他有法律效力的文件(统称合同),应当按照相应的法律法规确定合同条款。
第四章 公司合规注意事项
第二十七条 公司采取制定内部管理制度和操作规程、对个人信息实行分类管理、采取相应的安全技术措施、合理确定个人信息处理的操作权限、定期对员工进行安全教育和培训、制定并组织实施个人信息安全事件应急预案等措施,确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。
第二十八条 公司应按照具体内容对个人信息实行分类管理,分为一般个人信息和敏感个人信息。
(一)一般个人信息:
1. 姓名、性别、籍贯、国籍、住址、联系地址、电话号码、电子邮箱、出生日期、照片、紧急联系人相关信息等。
2. 工作单位、职位、工作经历、资质证书、语言能力、教育经历、学位、学历等。
3. 考勤记录、休假记录、绩效评估记录、奖惩记录、劳动关系终止相关的信息等。
(二)敏感个人信息:
1. 生物识别:人脸、步态、指纹、虹膜、声纹等识别信息,公司办公区域和厂房安保监控系统收集的影像和/或声音信息等。
2. 宗教信仰:所属政党、民族、信仰宗教等。
3. 特定身份:身份证、护照、驾驶证、工作证、出入证、有效身份证件的复印件或照片等。
4. 医疗健康:身高、体重、血型等个人身体健康状况信息,及就诊记录、病历、用药记录、以往病史、生育信息、体检信息等个人医疗信息。
5. 金融账户:薪酬、福利、股权、基金、社保、纳税额、公积金、银行账户信息等。
6. 行踪轨迹:差旅交通住宿信息、支付记录、车辆信息、使用计算机(公司配发或者公司补贴员工个人购买的计算机)、邮箱、手机、微信、QQ等网络或设备创建、存储或传输的公司工作相关的信息、操作记录、通讯记录、浏览使用记录、IP地址、公司服务器自动收集的信息等。
7. 其他敏感信息:性别认知、性取向、未公开的违法犯罪记录等。
第二十九条 公司应明确其处理相关个人信息的目的和方式。公司依法通过收集、存储、使用和传输的方式自行或委托第三方处理相关个人信息,以达到下列目的:
(一)开发新客户,针对客户公司管理人员背景、信用度等的尽职调查。
(二) 改进公司提供的服务质量,使其更符合客户要求,提升客户体验。
(三)与客户联络,发送公司产品及服务相关推介信息。
(四)为达成或者履行合同。
(五) 保护公司合法权益,包括但不限于公司的日常运营、出于合规审查或者审计目的进行披露、管理公司数据和信息安全、保护公司资产、商业和/或技术秘密。
(六) 公司结构发生变化,如合并、分立、重组、并购、投资撤销、部分或全部业务转让。
(七) 员工入职、签订劳动合同、招聘、人力资源管理、背景调查。
(八) 员工薪酬与福利制度、绩效管理、社会保险和公积金办理、考勤管理、紧急联络、日常工作联络、差旅和其他费用管理。
(九) 员工培训、学习、晋升和职位调整。
(十) IT支持和服务、网络和信息数据安全管理。
(十一) 为保护公司、员工及访客,防止其人身或财产安全遭受损害,对公司场所、设施、网络、通信等的管理。
(十二) 配合相关部门的行政监督检查、仲裁、诉讼。
第三十条 原则上,公司在中华人民共和国境内处理的个人信息,将存储在中华人民共和国境内。
第三十一条 公司应对其可能从第三方获得的经授权公开、传输、使用的个人信息的合法性进行确认,并根据与第三方的约定严格依照相关法律法规处理这些个人信息。第三方包括但不限于政府部门、行政机关、招聘网站或平台、猎头公司、劳务派遣公司等。
第三十二条 公司应采取相应的安全技术措施,如加密、去标识化、匿名化等,保护公司相关个人信息。
第三十三条 公司应合理确定个人信息处理的操作权限。
(一) 公司对外业务往来涉及的个人信息的操作权限应仅限与该业务直接相关的获得该等个人授权的公司部门人员。
(二) 公司内部相关个人信息,特别是人力资源部存储的个人信息的操作权限应仅限获得该等个人授权的人事部门人员。
上述个人信息的操作权限未经部门上级批准,不得与其他部门或人员共享或传递,相关密码或保护系统应定期进行变更或升级更新,并确保其他特殊的安全装置或程序保护的持续有效。
第三十四条 按照公司员工的具体负责事务定期开展有针对性的个人信息安全教育和培训。
第三十五条 公司应制定并组织实施个人信息安全事件应急预案。
第三十六条 如果公司处理的个人信息数量达到第二十四条第(一)款所述的数量,则应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
公司应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
第三十七条 如果公司在中华人民共和国境外的母公司以向境内自然人提供产品或者服务为目的,或者涉及分析、评估境内自然人的行为,则应当在境内设立专门机构或者指定公司员工作为其代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
第三十八条 公司应定期对处理的个人信息的合规情况开展评估,必要时可委托律师事务所或数据安全保护专业机构进行相关合规审计。
第三十九条 有下列情形之一的,公司应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二) 处理个人信息进行自动化决策;
(三) 委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四) 向境外提供个人信息;
(五) 其他对个人权益有重大影响的个人信息处理活动。
第四十条 个人信息保护影响评估应当包括下列内容:
(一) 对个人信息的处理目的、处理方式等是否严格遵循合法、正当、必要原则;
(二) 对个人权益可能造成的影响及安全风险;
(三) 公司所采取的保护措施是否合法、有效并与风险程度相适应。
第四十一条 公司对上述个人信息保护影响评估报告和处理情况记录应当至少保存三年。
第四十二条 对已经发生或者可能发生个人信息泄露、篡改、丢失的,公司应当立即采取补救措施,并通知国家网信部门或者上海市网信部门等履行个人信息保护职责的部门和个人。该通知应重点包含下列事项:
(一) 发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
(二) 公司采取的补救措施和个人可以采取的减轻危害的措施;
(三) 公司的联系方式。
第四十三条 如果公司采取措施能够有效避免信息泄露、篡改、丢失造成危害的,公司可以不通知个人;但被履行个人信息保护职责的部门认为有可能造成危害的,应配合有关部门的要求通知个人。
第四十四条 公司应明确个人信息所有者(“个人”)的权利,并在其权限内提供支持。这些个人权利包括:
(一) 查阅、复制、转移
1. 个人请求查阅、复制其个人信息的,公司应当及时提供。
2. 在符合相关法律法规的前提下,个人请求将个人信息转移至其指定的个人信息处理者,公司应当提供转移途径。
(二) 更正、补充
1. 个人发现其个人信息不准确或不完整的,有权请求公司进行更正、补充。
2. 公司应根据核实后的个人信息,对相关信息进行及时更正、补充。
(三) 删除
有下列情形之一且公司未主动删除个人信息的,个人有权请求删除,但因存储信息的介质客观导致无法删除的除外:
1. 对个人信息的处理目的已经实现、无法实现或实现处理目的已不再必要,如合作协议期满且双方不再续签协议,劳动关系解除等。
2. 公司停止提供产品或服务,或者保存期限届满。
3. 公司同意个人撤回其个人信息。
4. 公司违反法律、行政法规或其他约定处理个人信息。
5. 法律、行政法规规定的其他情形。
公司因客观原因无法满足个人行使上述权利的,应停止储存这些个人信息,或与相关个人进行协商解决,并同时采取必要措施确保这些个人信息的安全。
(四) 限制、拒绝
除以下情形外,个人有权限制或拒绝公司处理其相关个人信息:
1. 出于履行合同的必要情况。
2. 为满足用人单位或用工单位的合法要求。
3. 法律规定的其他情形。
个人可以直接与公司联系要求限制或拒绝对其个人信息的处理,公司发现可能对双方权益造成损害的,应与该个人进行协商以获得合理的解决方法。
第四十五条 公司应当设立便捷的个人行使权利的申请受理和处理机制。
附件 数据与个人信息保护官信息
姓名/职务 | 地址 | 联系电话/邮箱 | 责任范围 | 任职日期 |
| Thomas Fromm | Silberburgstr. 5 D-72764 Reutlingen | datenschutzbeauftragter@wafios.de | ||
| 周会娟 | 上海市青浦区双联路398号1号楼北楼1-2层 | S.Zhou@wafios.com |
数据与个人信息安全问题应急预案
第一条 根据《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国突发事件应对法》等相关法律法规的规定,为预防和减少数据和个人信息安全突发事件,控制、减轻和消除突发事件引起的对公司及公司相关组织和人员的危害及造成的损失,规范突发事件预防和应对活动,特制定本预案。
第二条 公司发现数据安全缺陷、漏洞等风险,发生或可能发生个人信息泄露、篡改、丢失(以下简称“信息安全事件”)时,应当立即采取补救措施并履行通知和/或报告义务。
第三条 公司可能采取的补救措施包括服务器断连、更换服务器或网络运营商、更换防火墙、修改账户密码、聘请专业信息安全咨询人员或者机构对发生的信息安全事件进行调查等。
第四条 公司发生信息安全事件后,应当履行通知和报告义务,包括向履行数据或个人信息保护职责的部门(如国家网信部门或上海市网信部门等)或按照规定向其他有关主管部门报告(报告模板见附件一),并通知数据用户或个人信息所有人(通知模板见附件二)。
第五条 信息安全事件对个人或客户公司造成危害的,公司应当在三个工作日内,以电话、短信、即时通信工具、电子邮件等方式通知利害关系人,无法通知的可采取公告方式告知。通知中应当包含以下事项:
(一) 发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
(二) 公司采取的补救措施和个人可以采取的减轻危害的措施;
(三) 公司的联系方式。
第六条 如果公司采取措施能够有效避免个人信息泄露、篡改、丢失造成危害的,可以不通知个人。但是,如果履行个人信息保护职责的部门认为有可能造成危害的,公司应配合有关部门的要求通知个人
第七条 如果公司已经发生数据违法行为,或者数据监管部门已立案并启动调查程序,公司应当立即停止违法行为并与执法机构合作,积极配合调查或者主动消除、减轻违法行为危害后果,以减轻公司可能受到的处罚。
第八条 如果公司受到数据监管部门调查,应通知公司管理层和数据安全负责人等相关工作人员,先行在企业内部自我开展针对数据合规的初步调查,评估数据违法行为成立的可能性和法律后果。同时,公司应积极配合数据监管机构调查,不得拒绝提供有关材料、信息,或者提供虚假材料、信息,或者隐匿、销毁、转移证据,或者有其他拒绝、阻碍调查的行为。
第二章 公司数据安全制度
第四条 公司开展数据处理活动,应当遵循合法、正当、必要和诚信原则,遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。
第五条 公司开展数据处理活动应当依照相关法律法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。
第六条 根据数据在公司经营及发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对公司造成的危害程度,对公司所有数据进行分类,分为一般数据和重要数据。
(一) 一般数据:主要指个人或公司各部门的各种一般信息及办公文档、电子邮件(不包含客户项目相关邮件)、人事档案(不包含员工敏感信息)、考勤管理、监控数据等。
(二) 重要数据:主要指公司技术秘密、商业秘密、客户数据(特别是项目合作相关文件,如合同、报价单、订单、往来沟通函件、ERP系统信息及其他信息等)、财务数据、IT数据、服务器数据等。公司重要数据一般不包括个人信息和公司内部管理信息,但达到一定规模的个人信息(如自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息)或者基于海量个人信息加工形成的衍生数据,如其一旦遭到篡改、破坏、泄露或者非法获取、非法利用可能危害国家安全、公共利益,也应满足重要数据保护要求。
第七条 处理重要数据应当明确数据安全负责人(即公司数据与个人信息保护官,其详细信息请见附件),明确数据安全保护责任。
第八条 公司开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,告知相关用户并履行向有关主管部门的报告义务。防止危害扩大,消除安全隐患。
第九条 公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,在相关手续完备的前提下,公司应当予以配合。