2026年医药制造公司客户信息保密管理制度

2026年医药制造公司客户信息保密管理制度第一章总则第一条为规范公司客户信息保密管理工作，保护客户合法权益，防范信息泄露、滥用等风险，维护公司商业信誉和市场竞争力，依据《中华人民共和国民法典》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》及医药行业相关监管规定，结合公司药品生产、销售、客户服务等经营实际，制定本制度。第二条本制度适用于公司全体员工及参与公司业务的劳务派遣人员、合作方人员，覆盖客户信息收集、存储、使用、传输、销毁等全生命周期管理；公司所有涉及客户信息的部门、岗位及业务环节，均需严格遵照本制度执行。第三条客户信息保密遵循以下基本原则：（一）合法合规原则，信息处理全程符合国家数据安全、个人信息保护等法律法规及医药行业监管要求；（二）最小必要原则，仅收集、使用为完成业务所需的最少客户信息，不超范围获取、留存信息；（三）全程管控原则，从信息收集到销毁全流程落实保密措施，明确各环节责任；（四）权责对等原则，信息使用权限与岗位职责匹配，泄露信息需承担对应责任；（五）应急处置原则，建立信息泄露应急机制，及时处置信息安全事件，降低损失。第四条本制度由公司法务部门牵头实施，负责保密制度制定、更新、培训，信息泄露事件调查处置；销售部门负责客户信息收集、使用的日常保密管理；IT部门负责客户信息存储系统的安全防护、权限管控；人力资源部门负责员工保密培训、保密协议签订；各部门负责人为本部门客户信息保密第一责任人，督促本部门员工落实保密要求。第二章保密范围与部门职责第五条纳入保密管理的客户信息范围：（一）基本身份信息，包含客户名称、法定代表人/负责人姓名、联系方式、地址、统一社会信用代码等基础信息；（二）业务合作信息，包含采购药品品类、采购数量、合作期限、结算方式、价格体系等业务往来信息；（三）敏感医疗相关信息，包含客户涉及的药品使用场景、终端患者相关脱敏信息、医疗资质证明等敏感信息；（四）其他保密信息，包含客户未公开的经营数据、合作意向、投诉反馈等未对外披露的信息。第六条法务部门核心职责：（一）梳理客户信息保密合规要求，制定并更新保密管理制度；（二）组织全员保密培训，每年培训不少于2次，确保员工掌握保密要求；（三）受理信息泄露举报，牵头调查核实泄露事件，制定处置方案；（四）审核对外提供客户信息的合规性，出具保密审核意见；（五）定期评估保密制度执行效果，提出优化建议。第七条各配合部门核心职责：（一）销售部门：规范客户信息收集流程，仅收集业务必需信息，建立客户信息台账并定期核对，禁止员工私自留存、拷贝客户信息；（二）IT部门：搭建安全的客户信息存储系统，设置访问权限分级管控，对存储的客户信息进行加密处理，定期备份数据并检测系统安全漏洞；（三）人力资源部门：在员工入职时签订保密协议，离职时完成保密交接，收回信息访问权限，告知离职后保密义务；（四）客服部门：在客户咨询、投诉处理中妥善保管客户信息，通话记录、聊天记录等留存需符合保密要求，禁止随意转发客户信息。第三章保密管理要求第八条信息收集要求：（一）收集客户信息前，明确告知客户信息收集目的、使用范围、保存期限，取得客户明示同意；（二）通过合法渠道收集信息，禁止以欺诈、胁迫等方式获取客户信息；（三）收集的信息需即时录入公司指定系统，禁止员工以个人名义存储、记录客户信息。第九条信息存储要求：（一）客户信息统一存储于公司加密服务器，禁止存储在个人电脑、移动硬盘、网盘等非公司指定设备；（二）存储系统设置密码登录、操作日志记录功能，留存至少1年的操作记录，便于追溯信息使用情况；（三）客户信息保存期限不超过业务合作结束后3年，到期后按规定完成销毁，销毁记录留存备查。第十条信息使用要求：（一）员工仅可在授权范围内使用客户信息，不得超出业务场景使用，禁止向无关人员透露客户信息；（二）因工作需要查阅、导出客户信息的，需经部门负责人审批，记录使用事由、使用时间、使用内容；（三）禁止员工利用客户信息谋取个人利益，禁止向外部单位或个人出售、交换客户信息。第十一条信息传输要求：（一）内部传输客户信息需使用公司加密通讯工具，禁止通过个人微信、QQ、邮件等渠道传输；（二）对外传输客户信息需经法务部门审核、公司管理层审批，签订保密协议后，通过安全传输通道发送；（三）传输过程中对敏感信息进行脱敏处理，隐藏关键字段，降低泄露风险。第十二条信息销毁要求：（一）电子形式客户信息通过专业软件彻底删除，确保无法恢复；纸质形式客户信息采用碎纸、焚烧等方式销毁，禁止随意丢弃；（二）信息销毁需由两人以上在场监督，填写销毁记录，注明销毁时间、方式、数量、监督人等信息；（三）合作终止的外部机构，需收回其持有的客户信息，或要求其按规定完成销毁并提供销毁证明。第四章人员保密管理第十三条入职管理：（一）新员工入职时，人力资源部门组织保密制度培训，考核合格后方可上岗；（二）与涉及客户信息的岗位员工签订《客户信息保密协议》，明确保密义务、违约责任等内容。第十四条在职管理：（一）各部门定期开展保密自查，每月不少于1次，核查员工信息使用、存储是否符合要求；（二）员工岗位调整时，及时调整其信息访问权限，收回原岗位相关的信息操作权限；（三）禁止员工私自将客户信息带离办公区域，办公电脑设置锁屏密码，离开工位时及时锁屏。第十五条离职管理：（一）员工离职前，人力资源部门收回其办公设备、门禁权限、系统账号，注销信息访问权限；（二）与离职员工签订《离职保密承诺书》，重申离职后保密义务，明确泄露信息的法律责任；（三）离职后2年内，公司可对离职员工履行保密义务情况进行核查，发现违规行为追究责任。第五章监督与责任追究第十六条内部监督：（一）法务部门每季度开展一次客户信息保密专项检查，重点核查信息存储、使用、销毁等环节的合规性；（二）设立保密监督举报渠道，接受员工、客户的举报投诉，对举报信息严格保密，经查实的给予举报人适当奖励；（三）IT部门定期检测信息系统安全，及时修复漏洞，防范黑客攻击、病毒入侵导致的信息泄露。第十七条应急处置：（一）发现客户信息泄露后，相关部门需立即向法务部门报告，启动应急处置预案；（二）法务部门牵头排查泄露范围、原因，采取封堵漏洞、收回信息、告知客户等措施，降低泄露影响；（三）涉及重大信息泄露的，按规定向行业监管部门报告，配合监管部门调查。第十八条责任追究：（一）员工违反本制度规定，未造成信息泄露的，给予警告、通报批评等处分；（二）造成客户信息泄露的，视情节轻重扣减绩效、降职、解除劳动合同，要求赔偿公司经济损失；（三）泄露信息情节严重，违反法律法规的，移交司法机关处理；（四）部门负责人未履行管理职责，导致本部门发生信息泄露的，追究管理责任，扣减绩效考核分数。第七章附则第十九条本制度未尽事宜，参照国家数据安全、个人信息保护相关法