个人数据保护政策

寰宇出海

最后更新时间:2025年1月

一、概述

寰宇出海深刻认识到个人数据保护的重要性。本个人数据保护政策旨在建立一套完善的内部管理机制,确保我们在收集、处理、存储和传输个人数据时,始终遵循合法、正当、必要的原则,切实保护数据主体的合法权益。

本政策适用于寰宇出海所有涉及个人数据处理的业务活动和内部管理流程。所有员工、承包商和合作伙伴必须严格遵守本政策的规定。

二、法律依据与适用范围

(一)法律依据

本政策依据以下法律法规制定:

  • 《中华人民共和国个人信息保护法》
  • 《中华人民共和国网络安全法》
  • 《中华人民共和国数据安全法》
  • 《信息安全技术 个人信息安全规范》(GB/T 35273)
  • 其他相关法律法规和行业标准

(二)适用范围

本政策适用于:

  • 寰宇出海平台用户的个人数据
  • 员工、求职者的个人数据
  • 合作伙伴和供应商的联系人信息
  • 任何其他我们在业务过程中处理的个人数据

三、核心原则

我们在处理个人数据时,严格遵循以下原则:

  1. 合法性原则:个人数据的收集和处理必须具有合法依据,包括数据主体的同意、合同履行需要、法定义务、公共利益等。
  2. 正当性原则:数据处理必须具有明确、合理的目的,不得以欺骗、误导等方式收集个人数据。
  3. 必要性原则:仅收集实现处理目的所必需的最少个人数据,不得过度收集。
  4. 准确性原则:确保个人数据的准确性和时效性,建立数据更正和补充机制。
  5. 存储限制原则:个人数据的保存期限不超过实现处理目的所必需的期限。
  6. 安全性原则:采取适当的技术和组织措施,确保个人数据的安全性。
  7. 可问责原则:建立完善的记录和审计机制,确保数据处理活动可追溯、可审计。

四、组织架构与职责

(一)数据保护负责人

我们设立数据保护负责人,其主要职责包括:

  • 监督本政策的执行情况
  • 处理数据主体的权利请求
  • 与监管机构进行沟通协调
  • 开展数据保护影响评估
  • 组织数据保护培训

(二)各部门职责

  • 技术部门:负责实施数据安全技术措施,包括加密、访问控制、日志审计等
  • 产品部门:在产品设计中贯彻隐私保护原则(Privacy by Design)
  • 运营部门:确保用户数据处理符合本政策和隐私声明
  • 人力资源部门:负责员工数据保护和培训
  • 法务部门:提供法律合规支持,审核数据处理协议

(三)全体员工职责

  • 了解并遵守本政策和相关操作规程
  • 仅在工作需要时访问个人数据
  • 发现数据泄露或违规行为时立即报告
  • 参加数据保护培训

五、数据收集

(一)收集前要求

  • 明确数据收集的目的和法律依据
  • 评估收集的必要性,确保符合最小化原则
  • 制定清晰的隐私声明,告知数据主体
  • 需要同意时,确保同意的自愿、具体、明确和可撤回

(二)敏感个人数据

对于敏感个人数据(如生物识别信息、健康信息、金融信息等),必须:

  • 获取数据主体的单独同意
  • 进行数据保护影响评估
  • 实施更严格的安全保护措施
  • 限制访问人员范围

(三)第三方数据

从第三方获取个人数据时:

  • 核实第三方获取数据的合法性
  • 签订数据处理协议,明确双方责任
  • 确保数据质量和准确性

六、数据处理

(一)处理规范

  • 仅按照既定目的处理个人数据
  • 目的变更时重新获取授权同意
  • 建立数据处理活动记录
  • 定期审查处理活动的必要性

(二)自动化决策

涉及自动化决策(包括用户画像)时:

  • 告知数据主体自动化决策的存在及逻辑
  • 提供拒绝自动化决策的选项
  • 确保决策的公平性和透明度
  • 避免对数据主体造成不合理的差别待遇

(三)数据共享与委托处理

  • 向第三方共享数据前,进行必要性评估
  • 签订数据处理协议,明确安全要求和责任分担
  • 对数据接收方进行安全能力评估
  • 监督第三方的数据处理行为

七、数据存储

(一)存储位置

  • 个人数据原则上存储于中华人民共和国境内
  • 使用经过安全认证的云服务提供商
  • 敏感数据实施加密存储

(二)存储期限

我们根据以下因素确定数据保存期限:

  • 实现处理目的所需的期限
  • 法律法规规定的最短保存期限
  • 数据主体的合理期望
  • 业务和运营需要

(三)数据删除

  • 存储期限届满后,及时删除或匿名化处理
  • 使用安全的数据删除方法,确保不可恢复
  • 保留数据删除记录以供审计

八、跨境数据传输

如需将个人数据传输至境外,必须:

  1. 进行数据出境安全评估
  2. 取得数据主体的单独同意
  3. 与境外接收方签订标准合同条款
  4. 确保境外接收方提供与本政策同等水平的保护
  5. 按规定向监管机构备案

九、数据主体权利保障

我们建立便捷的渠道,保障数据主体行使以下权利:

  • 知情权:了解个人数据被如何收集和使用
  • 查阅权:查阅其个人数据的副本
  • 更正权:更正不准确或不完整的个人数据
  • 删除权:在特定情况下请求删除个人数据
  • 撤回同意权:撤回之前给予的同意
  • 限制处理权:限制对其个人数据的处理
  • 数据可携带权:获取结构化、通用格式的个人数据
  • 反对自动化决策权:反对仅基于自动化处理的决策

我们将在收到请求后15个工作日内予以响应。如请求复杂或数量较多,我们会延长响应时间并告知数据主体。

十、数据安全措施

(一)技术措施

  • 数据传输加密(TLS/SSL)
  • 敏感数据存储加密
  • 访问控制和身份验证
  • 日志记录和监控
  • 入侵检测和防护
  • 数据备份和恢复

(二)组织措施

  • 数据分级分类管理
  • 最小权限访问控制
  • 员工背景调查和保密协议
  • 定期安全培训
  • 第三方安全评估

十一、数据泄露应对

(一)应急响应

发生或疑似发生个人数据泄露时:

  1. 立即启动应急响应程序
  2. 评估泄露的范围和影响
  3. 采取措施控制泄露并降低损害
  4. 记录泄露事件的详细情况

(二)通知义务

  • 在72小时内向监管机构报告(如法律要求)
  • 及时通知受影响的数据主体
  • 提供降低风险的建议和措施

(三)事后改进

  • 分析泄露原因
  • 完善安全措施
  • 更新相关流程和培训

十二、数据保护影响评估

在以下情况下,必须进行数据保护影响评估:

  • 引入新的数据处理技术或系统
  • 大规模处理敏感个人数据
  • 对数据主体进行系统性监控
  • 跨境传输个人数据
  • 数据处理可能对数据主体产生重大影响

评估内容包括:处理的必要性和比例性、对数据主体的风险、降低风险的措施等。

十三、培训与意识

  • 所有新员工入职时必须接受数据保护培训
  • 每年至少开展一次全员数据保护培训
  • 针对不同岗位提供专项培训
  • 定期发布数据保护提示和案例分析
  • 将数据保护纳入绩效考核

十四、政策审查与更新

本政策至少每年审查一次,并在以下情况发生时进行更新:

  • 相关法律法规发生变化
  • 业务模式或数据处理活动发生重大变化
  • 发生数据泄露或其他安全事件
  • 审计发现重大问题

政策更新后,我们将通过适当方式通知相关人员,并提供必要的培训。

十五、联系我们

如您对本政策有任何疑问,或需要行使数据主体权利,可通过以下方式联系我们的数据保护负责人:

我们将在收到请求后15个工作日内予以回复。