1.0 目的
为明确XXX控股有限公司(以下简称“公司”)数据资产及用户个人信息,进一步提高员工的数据安全意识,明确数据生命周期中采集、存储、使用、传输、共享、销毁等各环节的管理原则,加强数据安全环节控制,规避不当行为给公司带来的风险或损失,切实维护公司利益,特制定本管理制度。
2.0 范围
2.1组织范围
能力建设体系、数据IT体系、战略管理体系、财经风控体系、人力资源体系、集成物流体系、法务股权体系、创新业务体系、广东战区、华中战区、西南战区、华东战区、华北战区、京津冀战区。
2.2业务范围
涉及数据处理的业务场景,包括但不限于数据采集、传输、存储、共享和销毁。
2.3系统范围
业务场景所使用的系统,根据业务场景也可以为具体的系统模块、功能、界面等。业务系统及其owner、权限管理业务接口人和ITBP请见附则2。
3.0 职责
角色 | 团队 | 职责 |
决策方 | 战委会 | 负责本制度的审批;对本制度的执行提供资源支持。 |
监督方 | 各体系及战区 | 推动本制度要求的落实,并监督执行情况,负责对数据安全的维护和管理进行统一规划部署;当发生数据泄漏事件时,负责牵头各自部门消除事件影响。 |
数据IT体系 | 负责本制度的发布;对本制度进行解释和维护;在敏感数据使用过程中进行异常行为监测、接口监控、安全审计。 | |
人力资源体系 | 负责对员工违规行为进行处理;当发生数据泄漏事件时,负责对泄漏事件责任进行统筹调查。 | |
战略管理体系 | 拉通各体系资源、成立稽核小组每年进行开展一次专项数据安全稽查工作。 | |
执行方 | XXX全体员工 | 全体员工须遵循并落实本制度中的数据管控要求;当发生数据泄漏事件时,全体员工负有及时上报的责任,并配合业务部门进行泄漏事件的处理和报告;配合人力资源部门进行事件责任调查。 |
数据IT体系 | 制定数据备份策略,实施数据备份操作及定期的恢复测试;配合业务部门进行数据加密与脱敏等技术性处理工作;当发生数据泄漏事件时,数据IT对泄漏事件进行技术上的协助处理。 | |
法务股权体系 | 当发生数据泄漏事件时,法务进行法律法规上的协助处理,包括依据法律法规及监管要求及时向有关负责人部门报告等。 |
4.0 术语定义
4.1数据
指任何以电子或其他方式对信息的记录,包括结构化数据(如传统数据库、Excel表格中的数据等)与非结化数据(如图片、文档、音频、视频等)。
4.2 敏感数据
包括具有重要价值的、一旦泄漏给非授权人员会对XXX及其业务伙伴、客户的利益、竞争优势造成严重损害的业务数据;以及通过一个或多个因素组合可以识别到用户个人的用户数据。包括但不限于数字、文字、文件、图片、视频等形式。示例如下:
类别 | 二级类别 | 说明/示例 |
业务 | 公司机密数据 | 组织架构(图)、公司战略规划及年度经营计划文件、公司KPI等业务目标明细规划文件、公司内部公告及通讯文章、关键决策、财报及财务规划、税务信息、物流出库、金融授信、招聘裁员计划、员工薪酬福利单、公司专利、公司制度文档、内部培训材料、会议纪要等。 |
商品数据 | 商品基础资料(含商品代码、品类分类信息、供应商信息等)、商品价格(供货价、折实价、批发价、零售价)、促销信息(促销类型、促销方式、促销费用明细)、商品出货及销售等进销存数据、采购合同与价格谈判信息等。 | |
门店数据 | 门店地址及经纬度、门店店主及员工信息、门店布局、设备明细、加盟合同、铺位合同、门店报货出货信息、门店进销存数据、门店盈利信息、门店订单明细、门店补差明细数据等。 | |
销售数据 | 面向消费者销售、消费者运营过程中产生的线上线下各场景销售流水及明细、营销活动记录、订单明细、交易账户信息、合同等;客服服务客户过程中产生的通信等内容数据等。 | |
设备数据 | 面向门店及物流侧的自动化设备的配置数据、自动化设备使用和运营数据等。 | |
运维数据 | 数据中心的建设和分布数据、数据中心物理设施的配置数据、数据中心物理设备的使用和运营数据等;生产网络及服务配置数据、系统日志、运维操作日志、网络流量数据等;安全日志、渗透测试报告、审计报告、安全事件等。 | |
用户 | 用户个人数据 | 用户的姓名、联系方式、地址、身份证、支付卡信息等。 |
用户账户数据 | 用户ID、注册账号,以及和账号相关的配置信息,如:个人的名称、联系方式、账号的安全配置、管理员登录账号/密码等。 | |
用户交互数据 | 用户访问站点时鼠标的轨迹和点击的信息等,另外还包括用户的浏览器cookie数据。 |
5.0 数据安全管理要求
5.1 数据活动安全
全体员工须树立与具备对数据与敏感数据的管理与保护意识,共同守护XXX数据安全。
5.1.1 数据采集
- 全体员工须在法律、行政法规规定的目的和范围内,合法、正当的收集数据(可参考《数据安全法》、《个人信息保护法》相关要求),如业务在收集个人数据时须获得数据主体的同意。
- 从系统外部采集数据(如业务部门根据需求,获取供应商、消费者等个人数据)前,通过协议、勾选同意框等方式,明确获取数据的目的和用途,获得有效授权并保留授权记录。
- 业务部门在采集数据时,数据的采集范围均须严格遵从最小必要原则(仅收集完成工作所必须的最少行、最少列数据,非必须的数据不收集)。
- 引入第三方数据(如业务部门从第三方采购数据、数据接口等)时由引入部门组织数据IT、法务进行评审,评审通过后才可引入。评审内容包括但不限于数据质量、数据完整性、XXX应尽的数据保护义务、第三方采集合规性(如是否从合法正当渠道获取、获取与传输个人数据是否获得了消费者的同意等,可参考《数据安全法》、《个人信息保护法》相关要求进行评估)等。
- 如业务部门在引入第三方数据时,涉及从外部采购数据,必须经过采购流程引入;涉及个人数据则须在评审前充分告知数据IT、法务部门涉及的个人信息字段与引入目的,否则由此导致的后果将追究对应管理部门或单位负责人的责任。
5.1.2 数据存储
- 各业务/流程领域须根据法律法规、合同(如根据隐私协议标注的存储期限)等外部要求和数据授权有效期,设置数据的存储位置和存储期限。
- 业务敏感数据存储须由业务部门向数据IT提出要求采用适当的安全保护措施,如加密、脱敏、备份、访问控制、安全审计等,只在境内存储。
- IT部门在进行敏感数据的备份、归档时,须实现和原始数据同等的机密性(如加密传输、加密存储等)、合规性(如按法规要求进行脱敏、活动记录等)和完整性(如哈希校验等)保护机制,避免数据的泄露和被篡改。
5.1.3 数据使用
- 员工在申请数据使用时,须遵循工作相关、最小必要原则,不得申请超出开展业务所需范围的数据;各系统权限管理员须遵循最小授权原则(仅提供职务、业务开展所需的最小数据访问权限)进行数据访问控制,保留授权及数据使用记录,授权记录至少保留一年。
- 业务系统账号管理员必须根据以上最小授权原则进行定期审视,包括但不限于对超出职务、开展业务所必须的权限进行收回(如职务调动后收回原岗位的权限、项目完成后收回相关权限,对离职员工账号等僵尸账号进行清理等)。
- 业务系统账号管理员必须对敏感数据制定访问控制策略,明确有权访问的用户或用户组,在用户访问敏感数据前进行身份认证及访问授权。
- IT人员在进行涉及敏感数据的增、删、改操作时,须在实施前获得业务部门的审批,并在实施后与业务部门进行确认所有审批、实施、确认等操作均要有日志记录。
- 消费者个人数据(包括但不限于消费者姓名、性别、电话、地址等)不允许明文显示和批量导出。可采取字符替换、遮蔽等方式脱敏后在系统显示。
- 生产环境数据原则上不允许传输至开发、测试环境,若有需求须遵循最小必要原则(仅传输实现业务所必须的最少行、最少列数据),经过使用方部门负责人及数据所属领域负责人的审批或书面授权后才可传输,并同时遵从下面要求:
- 涉及敏感数据须进行脱敏处理(如字符替换、遮蔽等)后才允许使用。
- 涉及个人数据须进行匿名化处理(处理后的数据无法联系到个人,且处理不可逆转)。如果在满足法律法规要求(如已在隐私协议充分告知消费者处理活动)且在授权范围内(如已获得消费者的同意),无法进行匿名化处理的场景,须在数据申请时明确无法匿名化的原因及涉及到的信息,获得数据所属领域负责人的书面授权。
- 数据所属领域部门在传输数据给使用方部门前须对数据的申请、审批、脱敏、匿名化处理、传输等行为进行记录。
- 数据使用方部门在申请数据时须设置使用期限(个人数据的使用期限不得超过隐私政策中告知用户的保存期限),并在有效期限内进行删除。若使用周期超出设置期限的,必须在有效期限内重新申请(和首次使用申请流程一致),超期未重新申请仍在使用或未按要求及时删除的进行问责。
5.1.4 数据传输
- 员工在进行涉及敏感数据的传输的过程中须确保数据的机密性和完整性,须采用公司认可的安全协议(如HTTPS)、安全加密通道(如VPN),或对数据加密(如对称加密、非对称加密等手段)。
- 员工在通过物理介质(包括但不限于U盘、移动硬盘等)传输敏感数据时,必须采取公司提供的加密物理介质[l1] ,并须采取一次一审批的机制,须获得数据所属领域负责人或其授权人员审批后才可传输。传输完成后须对物理介质进行数据不可恢复处理(如删除数据、格式化介质、销毁介质等),并设立检查确认机制,确保由物理介质管理人员确认介质中数据已删除。
5.1.5 数据共享
- 数据共享包括公司内部共享和公司外部共享,共享手段包括数据集成、API服务、数据离线文件发送等,所有数据共享行为须遵循审批流程。
- 所有涉及个人数据的共享不得超出数据主体(被收集数据的个人)同意的使用目的与使用、共享范围。除了须审批人审批外,还须遵从以上数据传输要求规定,对个人数据进行加密处理。
- 公司内部共享,须经过数据需求方及数据提供方双方负责人审批及审核,数据提供方确认包括但不限于需求方的数据处理目的与方式未超出数据主体同意范围、确认需求方采取了与提供方同等水平的数据保护措施;数据需求方确认接收到的数据的完整性等。
- 共享至公司外部第三方时,XXX必须与数据接收方签订协议或合同,约定双方责任、权利与义务等,协议或合同须经过法务审核。法务依据《个人信息保护法》、《数据安全法》等相关法律法规要求进行审核(如是否已在隐私协议中告知用户会将数据外发给第三方并获得同意等)。数据接收方须根据协议或合同要求实施数据安全保护职责。
- 各经营单位(如各战区、大区)在共享数据到外部第三方前,应首先获得控股公司授权,并留存相关审批记录,记录至少保留两年。审批申请表见附则-1《数据共享第三方申请表》。未获得授权提供给第三方的进行问责。
- 敏感数据的共享须经过严格审批并留存记录,记录至少保留两年,不得向非XXX关联第三方进行共享。
- 员工在进行涉及敏感数据/个人数据的外发时,须进行脱敏(字符遮蔽、替换等)/匿名化(处理后无法恢复原数据)处理,且须经过法务审核,法务依据《个人信息保护法》、《数据安全法》等相关法律法规要求进行审核。
- 当业务部门需要把数据长期对接传输给外部公司时,须先联系数据所属体系对应的总部部门负责人、安全运维及数据安全专员形成可行的技术方案后再按数据共享范围及法务等审批人审批意见进行数据传输。方案须考虑数据的收集、存储和传输方式安全,包括但不限于是否已告知数据主体将会把数据传输给第三方并获得同意、外部公司的处理目的和方式是否超出了数据主体同意的范围、外部公司是否采取了与XXX同等水平的数据保护措施、是否规定了外部公司不能再传输给其他公司、外部公司是否到期销毁数据等。
- 监管部门要求提供数据的,如监管对XXX数据保护情况进行审查、XXX提供数据协助监管维护公共秩序与利益等情况,法务须牵头配合处理。
- 司法取证时,数据IT体系联系法务以确认配合方式;具体取证时,数据IT体系指定现场工程师创建用于数据取证存储的专用虚拟机(取证数据须存储6个月),数据下载至本地运维人员的办公电脑,申请USB端口策略开放后,拷贝至监管部门提供的取证存储介质。
5.1.6 数据销毁
- 业务部门收集的所有数据须明晰数据主体同意期限或数据提供方要求的期限,将期限告知数据IT或系统所有者,数据IT或系统所有者到期进行销毁,法律法规另有规定的除外。
- 业务部门须定期审视获得的数据,对于过期或不再使用的数据,由各业务领域负责人或其授权人员批准后进行删除,并保留数据删除记录。
- 业务数据由各业务领域负责人联系安全运维及数据安全专员形成可行的技术方案后,再进行数据销毁。并保留销毁的登记、审批、实施记录。
敏感数据的销毁,业务与IT部门须严格执行审批、销毁、检验等操作,保留销毁记录,并做好相关介质的管理和销毁(如格式化、消磁、物理销毁等)。 - 批量删除须采取一次一审批的原则,业务人员须获得数据所属领域的负责人或其授权人员审批后才可让数据IT或系统所有者实施删除。数据删除实施过程中应有检查确认机制,确保由和实施人员不同的XXX员工确认后才能生效。敏感数据如果没有备份则不允许删除。
5.1.7 办公数据保护
账号使用
a)员工承载公司信息资产的个人办公计算机,未经批准,不得私自对个人办公计算机进行转借、转让。
b) 未经批准,所有员工不得转借、转让、共享办公应用系统的个人账户,不得将专用账户用于其他用途或扩散给其他人员。
外发
a)业务人员在外发数据时须遵守最小化原则,仅发送业务开展所需的最小必要数据给外部人员。除此之外严禁外发敏感数据给外部人员。
b) 所有员工外发任何数据须经过部门负责人审核确认后再发送。建议通过飞书邮箱或飞书发送。
数据拷贝
a)所有员工使用未加密USB拷出公司敏感数据前,须经过部门负责人审批,禁止私自使用未加密USB拷贝公司敏感数据。
b) 所有员工使用的外部存储介质(包括但不限于U盘、移动硬盘等)在数据使用完毕后须及时清除数据(包括但不限于删除数据、格式化等)。
c) 未经批准,所有员工禁止以任何形式将公司敏感数据向外部传递。
文印
a)未经部门负责人批准,所有员工禁止私自打印、复印、扫描敏感数据。
b) 包含敏感数据的纸面文件废弃后须用碎纸机进行销毁,禁止随意放置在打印机附近或直接丢弃在废纸篓或会议室内。包含敏感数据的纸张不得重复使用打印、复印其他文档。
c) 所有员工在打印、复印、扫描完毕后,须立即取走复印件与原件,包含敏感数据的纸面文件须存放在带锁抽屉或保密柜中。
社交媒体
a)所有员工禁止将公司内部信息,如邮件、内部推送、纪要等传播到互联网,或在互联网讨论中引用、泄漏上述信息。
办公环境
a) 所有员工须确保办公计算机设置了密码且密码满足复杂度要求,禁止使用meiyijia、myj相关密码:长度大于8个字符,且包含数字、字母和特殊符号三类字符。
b) 所有员工在暂时离开计算机时须及时锁屏,建议采用带密码的定时屏保以一定程度上减低风险。
c) 所有员工禁止使用任何浏览器、客户端软件保存XXX系统账号。
e) 所有员工接入非总部园区网络须确保办公计算机安装了防病毒软件,及时更新病毒库,并定期进行全盘扫描;对办公计算机及时安装系统补丁并确保补丁生效。
f) 所有员工接入总部园区网络的办公计算机,均需要安装企业专用防病毒软件(深信服EDR),及时更新病毒库,并定期进行全盘扫描;对办公计算机及时安装系统补丁并确保补丁生效。
g) 所有员工须确保计算机处于可信的网络环境下(如带密码的家庭WiFi);禁止接入未知来源的公共WiFi网络或无密码的WiFi网络;不要随意点击任何推送广告、下载链接、优惠信息;不安装来历不明的第三方软件等。
h) 所有员工在远程办公期间须确保物理办公环境安全,办公时尽量处于一个相对独立、私密的环境,不在公共场所远程办公或大声讨论工作内容。
i) 所有办公计算机均不允许接入传介工具(如U盘,移动硬盘等),如需工作使用传介工具应向相关部门申请,并登记使用用途。
5.2 安全稽查及应急响应
1) XXX各业务领域及部门负责人应至少每半年对本模块涉及的数据使用遵从情况展开自查自纠。
2) XXX应建立安全监督组织,或聘请外部IT审计专家团队,至少每年开展一次专项数据安全稽查工作。
6.0 违规问责
1) 公司将对违规员工进行问责
问责定级根据违规行为对公司可能造成的损失和影响,及其可能导致的政治、法律风险进行。并可根据违规行为造成的实际后果(如引发法律后果、监管处罚、造成网络安全危机或数据泄漏事件、XXX公司经济损失等),加重对违规事件的定级。
2) 加重/减轻处理
a) 对于存在公司三令五申后仍违规、态度恶劣(如不配合、销毁证据、阻止举报)等行为的加重或从重处分。
b) 对于有主动申报且坦白、主动采取措施减少公司损失、积极配合调查并提供关键证据等行为的,可酌情减轻或从轻处分。
3) 常见违规行为包括但不限于:
序号 | 等级 | 违规行为 |
1 | 一级 | 恶意攻击、破坏XXX网络、系统等通信设施 |
2 | 一级 | 在产品、系统中植入恶意代码、恶意软件、后门 |
3 | 一级 | 非法毁损、篡改敏感数据,或非法向他人或其他机构出售敏感数据 |
4 | 一级 | 未经批准,利用公司敏感数据在公司外从事咨询、授课活动 |
5 | 一级 | 未经批准,将公司大量敏感数据泄露到任何第三方 |
6 | 一级 | 未经批准,使用拍照、录音、摄像等手段获取公司大量敏感信息 |
7 | 二级 | 违反公司相关规定,对外传播公司系统安全问题、未公开漏洞的利用信息等 |
8 | 二级 | 违反公司管理要求,未经审批授权,越权访问并存储大量公司敏感数据 |
9 | 二级 | 发生网络安全危机、个人数据泄露事件时,隐瞒不报或未按要求及时报告 |
10 | 二级 | 办理离职期间,未经批准,通过邮件外发、拷贝或打印等方式获取公司敏感数据 |
11 | 二级 | 未经批准,发送公司敏感数据到私人外部邮箱或拷贝到未加密的U盘等的私人存储介质中,并造成数据泄漏事件 |
12 | 三级 | 违反公司规定,使用他人配置库(PDM/CC/SVN/GIT等)帐号进行增加、修改、删除代码/文档 |
13 | 三级 | 接入公司网络/终端设备的电脑、通信终端、存储介质等未定期进行杀毒,导致公司网络/终端设备感染或检测出病毒 |
14 | 三级 | 未经批准,将存储了公司敏感数据的故障硬盘带出公司进行维修 |
15 | 三级 | 违反公司管理要求,明知或应知自己不在被授权范围,仍私自向授权范围以内的人员索要并保留公司数据 |
16 | 四级 | 在公司电脑上部署/运行来自非公司正式渠道或未经公司授权的软件版本、补丁、证书 |
17 | 四级 | 未经批准,转借个人信息/业务系统帐户给其他人员使用 |
4)不同违规等级对应的问责措施如下
违规等级 | 问责措施 |
一级违规 | 1)解除劳动合同,并在审批权所对应的组织范围发布处分通报 |
二级违规 | 1)严重警告,并在审批权所对应的组织范围发布处分通报 |
三级违规 | 1)警告,并在审批权所对应的组织范围发布处分通报 |
四级违规 | 1)通报批评,并在审批权所对应的组织范围发布处分通报 |
5)相关管理负责人问责
a)对于偶发违规(1年内一级或二级违规事件1条),对直接主管进行通报批评与警告。
b)对于多发违规(1年内一级或二级违规事件超过2条及以上,或1年违规下属人数在3人及以上),对直接主管采取严重警告、降级/降等、免除管理职务措施,情节严重者可解除劳动合同;对间接主管可采取通报批评、警告或严重警告、降级/降等措施。
7.0 风险监测与处置
1)全体员工具有对数据泄漏事件、风险的上报职责。
2)当发生数据泄漏事件时,各体系及战区业务部门负责人牵头各自部门消除事件影响(包括记录事件内容、评估影响、控制事态、消除隐患、如涉及个人数据依法及时告知用户等),数据IT进行技术上的协助处理,法务进行法律法规上的协助处理(包括依据法律法规及监管要求及时向有关负责人部门报告等),全体员工配合进行处理。
3)人力资源体系负责对数据泄漏事件进行统筹调查,全体员工配合进行调查。
8.0 投诉处理
XXX数据IT体系-信息安全管理中心为数据安全问题投诉处理第一责任人,根据XXX投诉处理管理流程和操作规范进行处置,自接到投诉之日起15日内答复投诉人,并保留有效举报记录。
9.0 教育培训
XXX数据IT体系每年至少组织一次数据安全意识培训,培训内容应覆盖数据安全管理要求和实操规范等,培训对象为XXX业务、IT领域数据安全相关岗位人员,并要求其通过考核,保留相关记录并归档。
10.0 其他
1)本文件若与法律法规冲突的,以法律法规要求为准。
2)本文件管理责任部门是数据IT体系,由其负责解释和维护。
11.0 附则
1)数据共享第三方申请表
模板:XXX数据共享第三方申请表_v1.0
2)业务系统清单(含owner、账号权限管理接口人。如有更新,以最新为准)
平台业务接口人与需求评审小组人员清单
3)数据导出服务申请入口: