26

2023

-

09

协合新能源可持续发展政策-数据安全与隐私保护政策


一、宗旨
协合新能源集团有限公司(以下简称“集团”)严格遵守业务运营所在司法管辖区信息安全和隐私保护的所有法律法规。本政策旨在明确集团在信息安全和隐私保护方面的责任和义务,确保集团在追求业务发展的同时,充分重视和保障信息安全和客户隐私。
二、适用范围
本政策适用于集团所有员工(包括集团及其附属公司的正式员工、兼职员工、临时工、高级人员及董事)。集团鼓励供应商共同遵守本政策中明确的各项要求。
本政策应与本文所列明主题相关的所有其他集团政策一并阅读,包括《职业道德行为准则》等。
三、政策声明
(一)管理方法
•    集团高度重视信息安全和隐私保护事宜,已建立完善的信息管理流程,包括但不限于信息存储、传输、使用、销毁等环节,严守信息安全红线,守护客户权益。
•    集团密切关注政策变化,持续评估业务环节中的可能的信息安全和隐私保护风险,并将信息安全与隐私保护风险管理纳入集团风险管理体系,每年根据其影响程度进行优先排序,制定针对性的风险缓解措施。
•    集团明确信息安全和隐私保护的责任人,集团各级信息技术专业部门负责信息系统的整体安全,并保证信息安全及隐私保护相关管理制度的落实,ESG委员会主席承担信息安全和隐私保护事宜的最高管理责任。
•    集团对信息泄漏和侵犯客户隐私的事件保持零容忍态度,对故意泄漏公司重要、敏感或其他受到集团信息安全保护要求的信息,以及盗取、恶意侵犯客户隐私等造成公司实际影响的个人,将根据事件严重程度进行处罚,包括但不限于约谈、绩效扣除、解除劳动合同、移交司法机关等。
(二)    信息安全管理要求
•    采取技术手段,加强网络和信息系统的安全防护,防范黑客攻击、病毒入侵等安全风险。
•    统一管理公有云和私有云中的计算资源,明确IT运维过程中的人员权限,运维工作完成后及时收回相关权限。
•    定期对信息安全管理系统开展外部审计,对于发现的任何信息安全漏洞和风险,立即采取措施进行修复和补救。
•    每年对信息安全应急机制和事件响应程序进行测试,确定其安全有效。
(三)隐私保护管理要求
•    针对可以接触到客户个人数据的业务,我们将在收集其个人数据前明确告知客户将被收集和使用的信息类型、集团如何使用该等信息、信息被集团保留的时间,以及集团如何保护该等数据。
•    在客户使用集团提供的产品/服务时,集团也为客户提供便利的数据管理选项,以便客户做出适当选择及有效管理其个人数据。我们向客户提供的数据管理选项,包括:
      1. 在使用我们的产品和服务前,集团将询问客户是否允许我们收集其个人数据,并获取客户的授权同意;
      2. 客户可以自主选择改变其授权同意的范围或撤回授权,以及注销其账号及相关信息;
      3. 客户可以向集团提交申请,要求转移其个人数据至其他服务提供商、更正其个人数据、删除其个人数据。
•    在与第三方合作过程中,按照最小必要原则,安全审慎地处理相关数据,对数据处理涉及的第三方进行严格的限制。
•    当政府和监管机构要求披露数据时,确保做出的回应符合产品或服务运营所在司法管辖区的法律法规。
•    每年开展内部隐私保护审查,以确认集团隐私保护政策和管理体系的有效性。在必要时,集团将聘请外部第三方开展隐私保护管理体系独立审核。
(四)员工参与
•    持续推进信息安全相关培训与宣贯工作,提高员工信息安全意识。
•    员工一旦发现可疑的地方,可以遵循《网络与应急安全管理预案》信息报告程序进行上报。
•    针对特定岗位(包括但不限于信息化岗位),集团将信息安全与隐私保护作为员工绩效评估的一部分。
四、遵守本政策
•    本政策自发布之日起生效,集团相关部门应严格遵守。
•    集团应设立信息安全监督部门,对信息安全及隐私保护政策的执行情况进行监督和检查。
五、政策审查
集团将定期审查本政策之有效性。

Key words:

一、宗旨
协合新能源集团有限公司(以下简称“集团”)严格遵守业务运营所在司法管辖区信息安全和隐私保护的所有法律法规。本政策旨在明确集团在信息安全和隐私保护方面的责任和义务,确保集团在追求业务发展的同时,充分重视和保障信息安全和客户隐私。
二、适用范围
本政策适用于集团所有员工(包括集团及其附属公司的正式员工、兼职员工、临时工、高级人员及董事)。集团鼓励供应商共同遵守本政策中明确的各项要求。
本政策应与本文所列明主题相关的所有其他集团政策一并阅读,包括《职业道德行为准则》等。
三、政策声明
(一)管理方法
•    集团高度重视信息安全和隐私保护事宜,已建立完善的信息管理流程,包括但不限于信息存储、传输、使用、销毁等环节,严守信息安全红线,守护客户权益。
•    集团密切关注政策变化,持续评估业务环节中的可能的信息安全和隐私保护风险,并将信息安全与隐私保护风险管理纳入集团风险管理体系,每年根据其影响程度进行优先排序,制定针对性的风险缓解措施。
•    集团明确信息安全和隐私保护的责任人,集团各级信息技术专业部门负责信息系统的整体安全,并保证信息安全及隐私保护相关管理制度的落实,ESG委员会主席承担信息安全和隐私保护事宜的最高管理责任。
•    集团对信息泄漏和侵犯客户隐私的事件保持零容忍态度,对故意泄漏公司重要、敏感或其他受到集团信息安全保护要求的信息,以及盗取、恶意侵犯客户隐私等造成公司实际影响的个人,将根据事件严重程度进行处罚,包括但不限于约谈、绩效扣除、解除劳动合同、移交司法机关等。
(二)    信息安全管理要求
•    采取技术手段,加强网络和信息系统的安全防护,防范黑客攻击、病毒入侵等安全风险。
•    统一管理公有云和私有云中的计算资源,明确IT运维过程中的人员权限,运维工作完成后及时收回相关权限。
•    定期对信息安全管理系统开展外部审计,对于发现的任何信息安全漏洞和风险,立即采取措施进行修复和补救。
•    每年对信息安全应急机制和事件响应程序进行测试,确定其安全有效。
(三)隐私保护管理要求
•    针对可以接触到客户个人数据的业务,我们将在收集其个人数据前明确告知客户将被收集和使用的信息类型、集团如何使用该等信息、信息被集团保留的时间,以及集团如何保护该等数据。
•    在客户使用集团提供的产品/服务时,集团也为客户提供便利的数据管理选项,以便客户做出适当选择及有效管理其个人数据。我们向客户提供的数据管理选项,包括:
      1. 在使用我们的产品和服务前,集团将询问客户是否允许我们收集其个人数据,并获取客户的授权同意;
      2. 客户可以自主选择改变其授权同意的范围或撤回授权,以及注销其账号及相关信息;
      3. 客户可以向集团提交申请,要求转移其个人数据至其他服务提供商、更正其个人数据、删除其个人数据。
•    在与第三方合作过程中,按照最小必要原则,安全审慎地处理相关数据,对数据处理涉及的第三方进行严格的限制。
•    当政府和监管机构要求披露数据时,确保做出的回应符合产品或服务运营所在司法管辖区的法律法规。
•    每年开展内部隐私保护审查,以确认集团隐私保护政策和管理体系的有效性。在必要时,集团将聘请外部第三方开展隐私保护管理体系独立审核。
(四)员工参与
•    持续推进信息安全相关培训与宣贯工作,提高员工信息安全意识。
•    员工一旦发现可疑的地方,可以遵循《网络与应急安全管理预案》信息报告程序进行上报。
•    针对特定岗位(包括但不限于信息化岗位),集团将信息安全与隐私保护作为员工绩效评估的一部分。
四、遵守本政策
•    本政策自发布之日起生效,集团相关部门应严格遵守。
•    集团应设立信息安全监督部门,对信息安全及隐私保护政策的执行情况进行监督和检查。
五、政策审查
集团将定期审查本政策之有效性。