2026年光建一体化科技公司客户信息管理与保护制度

2026年光建一体化科技公司客户信息管理与保护制度第一章总则第一条制定目的为规范公司客户信息的收集、存储、使用、共享及销毁全流程管理，建立标准化、合规化的客户信息保护体系，聚焦光建一体化（光伏+建筑一体化）行业客户信息特性（企业客户为主、项目信息敏感、隐私要求高），防范客户信息泄露、滥用、篡改等风险，保障客户合法权益，维护公司品牌声誉，结合《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《民法典》等法律法规及公司客户管理工作实际，特制定本制度。第二条适用范围本制度适用于公司全体涉及客户信息处理的部门及人员，涵盖市场部、销售部、售后服务部、技术支持部、财务部、行政部等所有接触客户信息的部门；适用的客户信息范畴包括：企业客户的工商注册信息、项目需求信息、对接人身份信息、联系方式、合作合同信息、付款记录等，个人客户的姓名、身份证号、联系方式、地址、用电需求等；适用场景包括：客户信息收集、录入、存储、查询、使用、传输、共享、归档、销毁等全环节；本制度同时适用于公司本部及各区域分支机构的客户信息管理与保护工作。第三条基本原则（一）合法合规原则：客户信息的收集、使用等所有行为均需符合相关法律法规要求，未经客户授权不得擅自收集、使用、共享客户信息；（二）最小必要原则：仅收集、使用与光建一体化业务开展直接相关的客户信息，避免过度收集无关信息，限定信息使用范围与权限；（三）全程保护原则：对客户信息从收集到销毁的全生命周期进行安全保护，落实技术防护、人员管理、流程管控等多重保护措施；（四）权责明确原则：明确各部门、各岗位在客户信息管理与保护中的职责，做到责任到人，确保出现问题可追溯、可追责；（五）知情同意原则：收集、使用、共享客户敏感信息前，需明确告知客户信息用途、使用范围、保护措施等，取得客户明示同意；（六）应急处置原则：建立客户信息泄露等安全事件应急机制，及时处置信息安全风险，降低客户及公司损失。第二章客户信息分类与管理规范第四条客户信息分类（一）基础信息：指客户的核心识别信息，企业客户包括公司名称、统一社会信用代码、法定代表人姓名、注册地址、联系方式等，个人客户包括姓名、联系方式、常用地址等；该类信息是业务开展的基础，需严格管控查询与使用权限；（二）业务信息：指与光建一体化合作相关的信息，包括项目需求（光伏建筑安装面积、发电功率要求等）、合作意向、合同条款、报价信息、施工进度、验收记录等；该类信息直接关联公司业务核心利益，需重点保护；（三）敏感信息：指涉及客户隐私或商业秘密的信息，企业客户包括项目投标底价、核心技术需求、财务付款信息等，个人客户包括身份证号、银行卡信息、家庭详细住址等；该类信息需设置最高级别的保护权限，仅限必要人员接触；（四）辅助信息：指与客户服务相关的非核心信息，包括客户咨询记录、售后反馈、沟通日志等；该类信息需按常规保护要求管理，确保不泄露。第五条客户信息收集规范（一）收集渠道：仅通过合法合规渠道收集客户信息，包括客户主动提供、业务洽谈过程中获取、公开合法的企业信息平台查询等，禁止通过窃取、购买、诱导等非法方式获取客户信息；（二）收集告知：收集客户信息前，需以书面、电子等可追溯方式告知客户收集目的（如光建一体化项目对接、售后服务等）、信息使用范围、保存期限、保护措施及客户的撤回同意权等；（三）授权确认：收集客户敏感信息时，需取得客户的书面授权或电子授权记录，授权文件需明确授权范围与有效期，无授权不得收集；（四）信息核验：收集的客户信息需及时核验真实性、完整性，对错误、缺失的信息需向客户核实修正，确保信息准确；（五）记录留存：建立客户信息收集台账，记录收集时间、收集人、收集渠道、授权情况等，确保收集过程可追溯。第六条客户信息存储规范（一）存储载体：客户信息优先存储于公司加密服务器或合规的云存储平台，禁止存储于私人电脑、手机、U盘等非加密设备；存储介质需设置密码保护、数据加密等防护措施；（二）存储期限：客户信息存储期限不得超过业务开展所需的必要时限，基础信息在合作终止后保存不超过3年，敏感信息在合作终止后按客户要求及时销毁，法律法规另有规定的从其规定；（三）备份管理：定期对客户信息进行加密备份，备份数据与原数据分开存储，明确备份责任人与备份周期，确保数据丢失后可快速恢复；（四）介质管理：存储客户信息的设备需专人管理，设备维修、更换前需彻底清除客户信息，禁止将存储有客户信息的介质随意丢弃、转借；（五）访问控制：对存储系统设置分级访问权限，仅授权人员可访问对应级别客户信息，系统自动记录访问日志（访问人、时间、操作内容）。第七条客户信息使用规范（一）使用范围：客户信息仅可用于光建一体化业务开展，包括项目对接、产品报价、售后服务、合同履约等，不得用于与业务无关的用途，不得向无关第三方展示；（二）使用权限：按“最小权限”原则分配信息使用权限，销售人员仅可使用负责客户的信息，管理人员仅可查询分管区域的客户信息，禁止越权使用；（三）使用记录：使用客户敏感信息时需填写使用申请单，注明使用目的、使用范围、使用期限，使用完成后及时反馈使用情况，系统自动留存使用记录；（四）信息脱敏：对外提供客户信息（如向合作供应商提供对接信息）时，需对敏感信息进行脱敏处理，如隐藏身份证号、银行卡号部分字段，仅保留必要信息；（五）禁止行为：禁止私自复制、传播、出售客户信息，禁止将客户信息用于个人牟利，禁止向竞争对手泄露客户信息。第八条客户信息共享与传输规范（一）内部共享：公司内部部门间共享客户信息时，需提交共享申请，说明共享目的、信息范围、接收人，经部门负责人审批后，通过加密渠道传输，共享后明确接收方的保护责任；（二）外部共享：确需向外部合作方（如施工单位、设备供应商）共享客户信息时，需与合作方签订信息保护协议，明确保护责任与违约追责条款，取得客户书面同意，且仅共享业务必需的最小范围信息；（三）传输安全：传输客户信息需使用加密邮件、加密传输系统等安全渠道，禁止通过非加密微信、QQ、邮件等方式传输敏感客户信息；（四）共享追溯：建立客户信息共享台账，记录共享时间、共享方、接收方、信息内容、审批情况等，确保共享过程可追溯。第九条客户信息销毁规范（一）销毁触发：客户信息达到存储期限、合作终止且无留存必要、客户要求删除信息、信息载体报废等情况时，需及时销毁客户信息；（二）销毁方式：电子信息需通过专业软件彻底删除，确保无法恢复；纸质信息需碎纸销毁，禁止随意丢弃、变卖；（三）销毁审批：销毁客户信息前需提交销毁申请，注明销毁信息类别、数量、原因、方式，经部门负责人及信息保护专员审批后执行；（四）销毁记录：建立客户信息销毁台账，记录销毁时间、销毁人、监销人、销毁方式、销毁信息清单等，监销人需签字确认；（五）客户确认：销毁客户敏感信息后，可按客户要求提供销毁完成的确认凭证。第三章职责划分与监督管理第十条部门职责划分（一）信息管理部门（市场部）：作为客户信息管理归口部门，负责制定客户信息管理细则、组织信息保护培训、审核信息收集/使用/共享申请、定期检查信息管理情况；（二）技术部门：负责客户信息存储系统的技术防护，包括系统加密、权限设置、日志记录、漏洞修复、数据备份等，处置信息系统安全故障；（三）各业务部门：严格执行本制度要求，规范收集、使用本部门业务范围内的客户信息，指定专人负责本部门信息保护工作，及时上报信息安全风险；（四）法务部：监督客户信息管理的合规性，审核外部信息共享协议，处理信息泄露引发的法律纠纷，提供相关法规咨询；（五）审计部：每季度开展客户信息管理专项审计，核查信息收集、存储、使用、销毁等环节的合规性，排查安全隐患。第十一条人员管理要求（一）岗前培训：新入职员工需完成客户信息保护专项培训，学习相关法规及本制度要求，考核合格后方可接触客户信息；（二）保密协议：所有接触客户信息的员工需签订《客户信息保密协议》，明确保密义务、违规责任，离职时需办理信息交接并签订离职保密承诺书；（三）行为规范：禁止员工私自留存客户信息、向外部泄露客户信息、利用客户信息谋取私利，禁止未经授权向他人提供客户信息查询权限；（四）离职管理：员工离职时，需收回所有存储客户信息的设备，注销信息系统访问权限，核查其是否留存客户信息副本，离职后仍需履行保密义务。第十二条监督检查机制（一）日常检查：信息管理部门每月抽查各部门客户信息管理情况，重点检查信息存储载体、使用记录、权限设置等，发现问题限期整改；（二）专项审计：审计部每半年开展一次客户信息保护专项审计，形成审计报告，上报公司管理层，对违规行为提出处理建议；（三）合规核查：法务部定期核查客户信息收集授权、外部共享协议等文件的合规性，确保符合最新法规要求；（四）投诉处理：设立客户信息保护投诉渠道，接收客户及员工的投诉举报，及时核查处理，反馈处理结果。第十三条应急处置规范（一）应急预案：制定客户信息泄露、系统被攻击、数据丢失等突发事件的应急预案，明确应急响应流程、责任人员、处置措施；（二）事件上报：发现客户信息安全事件后，相关人员需在1小时内上报信息管理部门及公司管理层，禁止瞒报、漏报、迟报；（三）处置措施：立即采取止损措施，如关闭泄露渠道、冻结违规访问权限、恢复备份数据等；对泄露信息进行评估，及时通知受影响客户，采取补救措施；（四）调查追责：应急处置完成后，开展事件调查，查明原因、责任人员，按规定追究责任；总结事件教训，优化信息保护措施；（五）合规报告：若信息泄露事件达到法规要求的上报标准，需按规定向监管部门报告。第十四条违规责任追究（一）轻微违规：员工违反本制度但未造成信息泄露、未产生损失的，给予警告、通报批评，责令限期整改；（二）一般违规：造成客户信息少量泄露、引发客户投诉的，给予罚款、扣减绩效、调岗等处理，承担相应赔偿责任；（三）严重违规：造成大量客户信息泄露、引发法律纠纷、损害公司声誉或造成重大经济损失的，解除劳动合同，追究全部经济赔偿责任；情节严重触犯法律的，移交司法机关处理；（四）管理责任：部门负责人未履行管理职责，导致本部门出现客户信息管理违规行为的，视情节给予警告、罚款、降职等处理。第四章附则第十五条制度解释权本制度由公司市场部（客户信息管理归口部门）联合法务部负责解释，如客户信息分类、管理流程、责任追究