華測(cè)檢測(cè)認(rèn)證集團(tuán)股份有限公司（以下簡(jiǎn)稱“華測(cè)檢測(cè)”“公司”“我們”）深知用戶數(shù)據(jù)保護(hù)的重要性，將其視為企業(yè)責(zé)任的核心組成部分，并承諾堅(jiān)決維護(hù)每一位用戶的個(gè)人信息安全與隱私權(quán)益。公司致力于實(shí)施嚴(yán)格的數(shù)據(jù)保護(hù)措施，以減少因業(yè)務(wù)運(yùn)營(yíng)可能帶來(lái)的隱私風(fēng)險(xiǎn)及負(fù)面影響，并最大化提升用戶數(shù)據(jù)保護(hù)的透明度與有效性。公司與全體員工攜手，共同為構(gòu)建一個(gè)安全、可信的數(shù)字環(huán)境而努力。

本政策全面覆蓋并適用華測(cè)檢測(cè)提供的所有服務(wù)及運(yùn)營(yíng)活動(dòng)（包括供應(yīng)商等合作伙伴），旨在明確我們?nèi)绾问占?、使用、存?chǔ)、共享及保護(hù)用戶的個(gè)人信息。

治理

信息安全領(lǐng)導(dǎo)小組為最高級(jí)別的監(jiān)管者。該小組設(shè)立在集團(tuán)董事會(huì)的戰(zhàn)略與并購(gòu)委員會(huì)下，由集團(tuán)行政總裁擔(dān)任組長(zhǎng)。其他成員包括大區(qū)行政總裁和信息資源管理部負(fù)責(zé)人，共同負(fù)責(zé)全面統(tǒng)籌集團(tuán)的信息安全工作。集團(tuán)信息安全工作小組組長(zhǎng)由信息安全領(lǐng)導(dǎo)小組任命，成員由系統(tǒng)工程師、信息安全工程師、網(wǎng)絡(luò)工程師以及各職能部門、事業(yè)部、分支機(jī)構(gòu)的信息安全員組成，負(fù)責(zé)信息安全的落地執(zhí)行。

信息資源管理部是隱私問(wèn)題的責(zé)任部門，員工在遇到任何隱私問(wèn)題或疑慮時(shí)可與該部門聯(lián)系。信息資源管理部通過(guò)加密技術(shù)保護(hù)數(shù)據(jù)傳輸與存儲(chǔ)，實(shí)施訪問(wèn)控制以限制數(shù)據(jù)訪問(wèn)權(quán)限，并定期對(duì)系統(tǒng)安全進(jìn)行內(nèi)外部審計(jì)。同時(shí)，協(xié)助數(shù)據(jù)主體行使權(quán)利，如訪問(wèn)、更正或刪除其信息，并提供技術(shù)支持以響應(yīng)數(shù)據(jù)泄露等緊急事件，確保用戶隱私得到充分保護(hù)。本政策由信息資源管理部負(fù)責(zé)解釋。

公司將數(shù)據(jù)保護(hù)系統(tǒng)全面納入集團(tuán)范圍的風(fēng)險(xiǎn)與合規(guī)管理體系之中。對(duì)內(nèi)，公司確保所有可能處理個(gè)人信息或就個(gè)人信息做出決定的成員，均須嚴(yán)格遵守隱私政策規(guī)定，在數(shù)據(jù)的收集、使用、存儲(chǔ)和銷毀等各個(gè)環(huán)節(jié)中，采取必要的風(fēng)險(xiǎn)防控措施，以保障數(shù)據(jù)主體的隱私權(quán)益。信息安全工作小組通過(guò)定期的風(fēng)險(xiǎn)評(píng)估、合規(guī)審查、第三方漏洞分析與模擬黑客攻擊等措施，將數(shù)據(jù)保護(hù)融入到集團(tuán)范圍的風(fēng)險(xiǎn)與合規(guī)管理體系中。對(duì)外，公司要求供應(yīng)商等合作伙伴簽署《供應(yīng)商行為準(zhǔn)則》，其中包括數(shù)據(jù)保護(hù)議題，并通過(guò)定期開(kāi)展ESG審核，落實(shí)供應(yīng)商數(shù)據(jù)保護(hù)行為。公司致力于構(gòu)建一個(gè)全面、系統(tǒng)、有效的數(shù)據(jù)保護(hù)機(jī)制，確保集團(tuán)業(yè)務(wù)活動(dòng)的合法性與合規(guī)性。

承諾

1）合規(guī)：

公司將嚴(yán)格遵守《中華人民共和國(guó)個(gè)人信息保護(hù)法》等國(guó)內(nèi)外關(guān)于個(gè)人信息保護(hù)的法律法規(guī)，確保個(gè)人信息處理活動(dòng)的合法性、正當(dāng)性和必要性，尊重并保護(hù)數(shù)據(jù)主體的合法權(quán)益。

2）透明：

公司將以清晰、易懂的方式向數(shù)據(jù)主體披露個(gè)人信息處理的目的、方式、范圍及其享有的權(quán)利，確保數(shù)據(jù)主體的知情權(quán)得到充分保障。

3）安全性

公司將采取一切合理且必要的技術(shù)和管理措施，確保個(gè)人信息在收集、使用、存儲(chǔ)及銷毀過(guò)程中的安全性，防止數(shù)據(jù)泄露、篡改或?yàn)E用。

4）培訓(xùn)與教育：

公司將定期對(duì)處理個(gè)人信息的員工進(jìn)行數(shù)據(jù)保護(hù)培訓(xùn)，提升其法律意識(shí)和專業(yè)能力，確保個(gè)人信息處理活動(dòng)的合規(guī)性和安全性。

5）權(quán)利保障：

公司尊重并保障數(shù)據(jù)主體對(duì)其個(gè)人信息的控制權(quán)，包括但不限于訪問(wèn)權(quán)、更正權(quán)、刪除權(quán)及限制處理權(quán)等，確保數(shù)據(jù)主體能夠便捷地行使這些權(quán)利。

6）持續(xù)改進(jìn)：

公司將不斷審視并優(yōu)化數(shù)據(jù)保護(hù)政策和實(shí)踐，以滿足新的數(shù)據(jù)保護(hù)挑戰(zhàn)和法規(guī)要求，持續(xù)提升用戶數(shù)據(jù)保護(hù)水平。

零容忍政策

公司堅(jiān)決執(zhí)行數(shù)據(jù)保護(hù)零容忍政策，對(duì)內(nèi)部員工及合作供應(yīng)商一視同仁。嚴(yán)禁任何違反個(gè)人信息保護(hù)規(guī)定的行為，包括但不限于非法收集、濫用、泄露或未經(jīng)授權(quán)處理個(gè)人信息。一旦發(fā)現(xiàn)違規(guī)行為，立即啟動(dòng)調(diào)查程序，采取糾正措施恢復(fù)數(shù)據(jù)原狀，并對(duì)違規(guī)者實(shí)施嚴(yán)厲懲戒，包括但不限于紀(jì)律處分、終止合作、法律追責(zé)。

審計(jì)

公司每?jī)赡觊_(kāi)展一次外部風(fēng)險(xiǎn)評(píng)估，每年開(kāi)展一次內(nèi)部風(fēng)險(xiǎn)評(píng)估。公司數(shù)據(jù)中心建立了數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，對(duì)所有的數(shù)據(jù)庫(kù)操作進(jìn)行記錄和審計(jì)，保證非法修改可以溯源。此外，集團(tuán)還上線了安全感知平臺(tái)，將所有的安全日志統(tǒng)一收集，進(jìn)行自動(dòng)化關(guān)聯(lián)分析，從而最大化防范化解數(shù)據(jù)及隱私安全風(fēng)險(xiǎn)。

華測(cè)檢測(cè)認(rèn)證集團(tuán)股份有限公司
2024年8月