2026年建筑工程公司客户信息保密管理制度

2026年建筑工程公司客户信息保密管理制度第一章总则第一条制度目的为保护客户信息安全，防范信息泄露风险，维护客户合法权益与公司商业信誉，依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，结合建筑工程行业客户信息特点及公司实际运营需求，制定本制度。第二条适用范围本制度适用于公司全体在职员工，包括但不限于营销部门、项目管理部门、财务部门、行政部门等涉及客户信息收集、存储、使用、传输的所有岗位人员，同时涵盖外部合作单位（如委托的市场调研机构、合作的设计单位等）在与公司合作期间的客户信息保密行为。第三条核心定义客户信息：指公司在业务开展过程中获取的与客户相关的各类信息，包括客户基本信息（单位名称、统一社会信用代码、联系人姓名及联系方式、地址等）、业务信息（项目需求、预算金额、招标方案、合作意向、合同条款等）、敏感信息（客户内部决策流程、未公开的项目规划、财务状况等）。保密责任：指所有接触客户信息的人员，需承担的信息保管、使用规范、风险防范等义务，未经授权不得向任何第三方泄露客户信息。第四条保密原则最小必要原则：收集、使用客户信息时，仅获取与业务开展直接相关的信息，不得过度收集；仅限经授权人员在必要工作范围内接触客户信息。全程管控原则：对客户信息的收集、存储、使用、传输、销毁等全流程进行管控，明确各环节责任，确保可追溯。合规合法原则：所有涉及客户信息的操作，均需符合国家相关法律法规及客户书面授权要求，严禁违规处理客户信息。第二章客户信息收集与存储管理第五条信息收集规范收集渠道：客户信息需通过合法渠道获取，包括客户主动提供、公开招标平台获取、经客户授权的第三方机构提供等，禁止通过非法手段（如窃取、骗取）获取客户信息。收集告知：收集客户信息时，需明确告知客户信息用途、使用范围及保密措施，涉及个人信息的，需取得客户书面或电子形式的同意，留存同意记录。信息核验：收集的客户信息需进行真实性核验，确保信息准确完整，对核验过程中发现的错误信息，及时与客户沟通更正，避免因信息误差导致的后续风险。第六条信息存储要求存储载体：客户信息需存储在公司指定的加密服务器或专用存储设备中，禁止存储在员工个人电脑、移动硬盘、U盘等非授权设备，禁止通过微信、QQ、邮箱等非加密方式传输或备份。加密措施：存储的客户信息需采用公司统一的加密软件进行加密处理，敏感信息需设置双重密码（设备密码+文件密码），密码需每季度更换一次，严禁共用或泄露密码。存储期限：客户信息存储期限需与业务合作周期一致，合作结束后如需继续存储，需经公司信息安全管理部门审批，超过存储期限的信息，需按规定流程销毁，留存销毁记录。第三章客户信息使用与传输管理第七条信息使用规范使用授权：员工使用客户信息前，需向所在部门负责人提出申请，明确使用用途、使用范围及使用期限，经审批通过后方可使用，审批记录需留存备查。使用限制：使用客户信息时，需严格按照审批范围使用，不得超出业务需求范围，不得用于与公司业务无关的活动（如为外部单位提供客户信息、用于个人商业活动等）。信息脱敏：如需将客户信息用于内部汇报、数据分析等非直接业务场景，需对敏感信息进行脱敏处理（如隐藏联系人手机号中间四位、隐去项目预算具体金额等），确保脱敏后信息不具备可识别性。第八条信息传输要求传输渠道：客户信息传输需通过公司内部加密办公系统（如OA系统、专用文件传输平台）进行，禁止使用公共网络或非加密传输工具，确需向外部单位传输的，需经公司信息安全管理部门审批，并与接收方签订保密协议。传输核验：传输客户信息前，需核验接收方身份及授权情况，传输后需及时与接收方确认信息是否完整接收，避免因传输失误导致信息泄露。应急处理：传输过程中如发现信息丢失、被拦截等异常情况，需立即停止传输，向公司信息安全管理部门报告，并采取补救措施（如远程销毁信息、更改加密密码等），留存异常情况处理记录。第四章保密责任与培训第九条保密责任划分部门责任：各部门负责人为所在部门客户信息保密第一责任人，负责制定本部门保密管理细则，监督员工保密行为，定期开展保密检查，发现问题及时整改。员工责任：员工需严格遵守本制度规定，履行保密义务，发现客户信息泄露风险或异常情况时，需立即报告，不得隐瞒或拖延，因个人违规导致信息泄露的，需承担相应责任。外部合作单位责任：公司与外部合作单位合作前，需与其签订《客户信息保密协议》，明确保密责任、保密期限及违规赔偿条款，合作期间需定期对其保密措施进行检查，确保合作单位履行保密义务。第十条保密培训培训频率：公司每季度需组织一次客户信息保密培训，新员工入职时需进行专项保密培训，培训内容包括法律法规、制度条款、操作规范、案例分析等。培训考核：培训结束后需组织考核，考核合格后方可上岗，考核不合格的需重新培训，直至考核合格，培训及考核记录需纳入员工个人档案。培训更新：当国家相关法律法规修订、公司保密制度调整或出现新的信息安全风险时，需及时更新培训内容，组织补充培训，确保员工掌握最新保密要求。第五章监督检查与违规处理第十一条监督检查日常检查：公司信息安全管理部门每月需对客户信息存储设备、传输渠道、使用记录等进行日常检查，重点检查是否存在非授权存储、违规传输、超范围使用等情况，留存检查记录。专项检查：每半年组织一次客户信息保密专项检查，邀请外部专业机构参与，检查内容包括制度执行情况、保密措施有效性、风险隐患排查等，形成专项检查报告，提出整改建议。投诉处理：设立客户信息保密投诉渠道（如投诉电话、投诉邮箱），接到客户或员工投诉后，需在3个工作日内开展调查，5个工作日内反馈调查结果，留存投诉处理记录。第十二条违规处理轻度违规：未按规定存储或使用客户信息，但未造成信息泄露的，给予口头警告，责令限期整改，扣除当月绩效奖金的10%-20%。中度违规：因违规操作导致客户信息部分泄露，造成客户投诉或轻微损失的，给予书面警告，停职培训1-3天，扣除当月绩效奖金的50%，取消年度评优资格。重度违规：因故意或重大过失导致客户信息严重泄露，造成客户重大损失或公司信誉受损的，解除劳动合同，要求赔偿经济损失，涉嫌违法犯罪的，移交司法机关处理。外部合作单位违规：外部合作单位违反保密协议导致信息泄露的，终止合作关系，要求支付违约金，造成经济损失的，通过法律途径追偿。第六章附则第十三条特殊情况处理因国家机关依法调取客户信息的，需要求其出具合法文书，经公司总经