ISMS-3002个人信息保护制度

个人信息保护制度制定单位：信息安全部制定日期：2021年11月18日序号修订日期修订条款修订内容12021年11月18日V1.0制订修订为/2年月日章条款修订为3年月日章条款修订为4年月日章条款修订为5年月日章条款修订为6年月日章条款修订为修订记录注：制度的修订直接于正文完成，“修订记录”仅记录修订痕迹。个人信息保护制度文件编号：ISMS-3002第一条目的本制度的制定是为了进一步促进公司落实执行《中华人民共和国个人信息保护法》。公司在落实执行信息安全的制度管制、技术控制、行为审计等过程中所做或所要做的工作，均严格执行该制度，保护个人信息，满足监管合规要求。第二条范围适合于个人信息的整个生命周期。第三条职责信息安全委员会：统筹并领导公司根据个人信息保护法，从公司的安全体制、应用系统、个人信息处理者义务等各方面进行整改；信息安全部：根据个人信息保护法对本制度进行制定和更新，推进和监督本制度的执行；技术创新群：解读个人信息保护法，对公司应用系统的不符合项进行整改；总裁办：负责本制度的审核及发布，并做好相关的制度执行记录；法律合规部：负责对个人信息泄露事件涉及的法律责任进行追溯，负责个人信息保护法律法规的解读及培训等。第四条个人信息检查公司因业务发展需要，业务功能需要不断迭代升级，因此应定期对业务功能是否征得数据主体同意、是否必要、是否合规共享、是否安全保护、是否行使权力、是否合规保存、是否跨境等情况进行评估。技术创新群定期填写《个人信息梳理评估表》，并提交信息安全委员会审核，并对不符合事项予以整改。注：1.是否征得数据主体同意。针对需要用户“同意”的场景,必须明确“同意”收集、存储更新的方式。如果数据主体不满14周岁,则必须由其监护人同意或授权。2.是否必要。针对提供的业务服务和功能,评估是否必须收集相关个人信息。如果应用为电子邮件软件,则可判断收集用户健康数据为非必要数据。3.是否合规共享。如果数据主体的个人信息因为业务需求需要共享给第三方,那么必须明确告知数据主体共享的目的和方式,并且获得其同意。4.是否安全保护。对个人信息全生命周期进行安全防护,从收集、存储、使用、加工、传输、提供、公开、删除等过程对个人信息进行安全管理。对高密级的个人信息,在传输、存储等环节也需要进行安全防护,比如对身份证、手机号、银行卡账号、地理位置等信息的传输和存储必须加密。5.是否行使权力。用户有权查看、修改、删除自己的个人信息,并有权反馈与个人信息相关的问题,所以需要建立投诉渠道,比如邮件、电话等。6.是否合规保存。个人信息数据的保存期限不得超过实现及处理业务目的所需要的时间。7.是否合规跨境。满足对数据跨境提供的规则。8.是否合规响应。根据《信息安全应急响应预案》对个人信息安全事件进行响应。第五条个人信息处理原则目前公司收集的个人信息有司机个人信息、乘客个人信息、录音、订单、行程轨迹等。技术创新群在处理个人信息过程中，应遵循以下原则：1.目的限制。遵循合法、正当、必要和诚信原则。2.最小范围。不得过度收集个人信息。3.公开、透明原则。公开个人信息处理规则，明示处理目的、方式和范围。4.个人信息的质量。避免因个人信息不准确、不完整对个人造成不利影响。5.存储限制。应根据法律法规，数据保留是最短的时限。第六条个人信息保护原则将个人信息纳入企业治理框架和业务流程中，要积极做好预防工作。公司根据《办公计算机管理程序》、《信息权限规则制度》、《网络安全管理程序》、《信息安全风险评估管理程序》、《不符合与纠正预防措施控制程序》、《信息安全应急预案》、《信息安全培训管理程序》等安全制度并严格执行，防止未经授权的访问以及个人信息泄露、篡改、丢失。第七条个人信息的补救措施（一）法律合规部应该通过法律手段维护公司的权益。（二）短信或人工服务电话通知客户告知此次安全事件的情况。如：切勿将平台发送的验证码泄露给他人；提醒除了在本平台打车产生的费用外，其他索取行为均可能涉嫌诈骗，需提高警惕。（三）通过发送律师函要求展示泄露公司数据的平台删除数据，并提供数据提供者的个人信息。（四）要求泄露数据者承担相关的法律责任或经济补偿，并删除备份的数据。（五）根据《信息安全应急预案》进行应急响应处理。（六）根据《不符合与纠正措施控制程序》对该安全事件进行整改。第八条个人信息保护体系建立过程个人信息梳理评估表