2026年光建一体化科技公司数据合规管理制度

2026年光建一体化科技公司数据合规管理制度第一章总则第一条制定目的为规范公司数据收集、存储、使用、加工、传输、共享、销毁等全生命周期管理行为，建立标准化、系统化的数据合规管控体系，聚焦光建一体化（光伏+建筑一体化）行业数据管理特性（涉及项目数据、客户数据、供应链数据、工程监测数据等多类型数据），防范数据泄露、滥用、违规流转等合规风险，保障公司及相关方的数据安全与合法权益，结合《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络安全法》等法律法规及公司经营管理实际，特制定本制度。第二条适用范围本制度适用于公司全体涉及数据处理活动的部门及人员，涵盖技术部、市场部、销售部、工程部、法务部、合规部、行政部、财务部等所有产生、处理、管理数据的部门及岗位；适用的数据范畴包括：个人信息（客户、员工、合作方个人信息）、业务数据（项目招投标数据、工程施工数据、产品销售数据、供应链数据）、核心数据（光建一体化技术参数、企业经营决策数据）、公共数据（行业法规、市场调研数据）等所有与公司经营相关的数据；适用场景包括：数据采集、存储备份、分析加工、内外部共享、跨境传输、销毁等全环节；本制度同时适用于公司本部及各区域分支机构、子公司的所有数据处理行为。第三条基本原则（一）合法正当原则：数据处理活动严格遵循数据相关法律法规要求，收集使用数据需获得合法授权，不得超出授权范围处理数据，确保数据处理行为合法合规；（二）最小必要原则：仅收集、使用满足业务需求所必需的数据，限定数据收集范围、使用场景，不得过度收集、冗余存储非必要数据；（三）全程安全原则：建立数据安全防护机制，对数据全生命周期采取加密、权限管控、审计跟踪等安全措施，防范数据泄露、篡改、丢失风险；（四）权责明确原则：明确各部门、各岗位的数据合规管理职责，指定数据合规负责人及专员，做到责任到人、管理到位；（五）风险预防原则：定期开展数据合规风险评估，识别光建一体化业务各环节的数据合规风险点，提前制定防控措施；（六）可追溯原则：建立数据处理全流程记录台账，留存数据收集、使用、传输、销毁等操作记录，确保数据处理行为可追溯、可核查。第二章数据分类与合规管控要求第四条个人信息合规管控个人信息指与已识别或可识别的自然人相关的各种信息，管控要求包括：收集客户、员工、合作方个人信息前，需以清晰易懂的方式告知信息主体收集目的、范围、使用方式、存储期限等，并取得明确同意；处理敏感个人信息（身份证号、银行卡号、生物识别信息、健康信息等）需取得单独同意，且仅限光建一体化业务必要场景使用；严格管控个人信息存储期限，到期后及时删除或匿名化处理；不得向第三方非法出售、提供个人信息，确需共享的需经信息主体同意并签订数据共享保密协议；在光建一体化项目招投标、施工对接等环节收集的个人信息，需采取加密存储、权限访问控制等措施，防止信息泄露。第五条业务数据合规管控业务数据指公司光建一体化业务开展过程中产生的经营性数据，管控要求包括：项目招投标数据需严格保密，禁止向投标竞争对手泄露，招投标文件中的数据需设置访问权限，仅限相关人员查阅；工程施工数据（包括现场监测数据、施工进度数据、质量检测数据）需真实完整留存，作为项目合规验收的依据，不得篡改、伪造；产品销售数据、供应链数据需按业务需求分类存储，销售部、采购部需对数据使用范围进行管控，禁止擅自对外披露；业务数据需定期备份，备份介质与原数据分开存放，确保数据丢失后可快速恢复，备份数据同样需采取安全防护措施。第六条核心数据合规管控核心数据指涉及公司核心竞争力的光建一体化技术数据、经营决策数据等，管控要求包括：核心技术参数（光伏组件适配参数、建筑一体化设计数据等）需列为公司最高级保密数据，仅对核心研发、技术岗位人员开放访问权限，访问需经管理层审批并留存记录；企业经营决策数据（定价策略、市场拓展计划、并购重组信息等）需采取加密存储、专人保管措施，禁止非授权人员接触；核心数据不得擅自对外披露，确需向合作方提供的，需签订保密协议并限定使用范围，且需经合规部、法务部审核；定期对核心数据存储系统进行安全检测，防范黑客攻击、内部窃取等风险。第七条数据跨境传输合规管控数据跨境传输指将公司数据传输至境外服务器或提供给境外主体的行为，管控要求包括：确需跨境传输数据的，需提前评估是否符合数据跨境传输监管要求，属于关键信息基础设施运营者、处理大量个人信息的企业，需按规定完成数据出境安全评估；跨境传输个人信息的，需取得信息主体明确同意，并确保境外接收方具备相应的数据保护能力；跨境传输光建一体化核心技术数据的，需经国家相关部门审批，严禁未经审批向境外传输涉密核心数据；数据跨境传输后，需持续监督境外接收方的数据使用行为，确保其遵守我方数据合规要求。第三章数据合规管理流程第八条数据收集与接入流程（一）收集申请：业务部门需收集数据时，填写《数据收集合规申请表》，注明收集目的、数据类型、收集范围、使用场景、存储期限等，报数据合规专员审核；（二）合规审查：数据合规专员对收集申请进行审查，重点核查收集行为是否符合最小必要原则、是否具备合法授权依据，审查通过后方可开展收集工作；（三）收集实施：收集数据时需留存授权凭证（如信息主体同意书、合作协议等），对收集的纸质数据及时数字化并加密存储，对电子数据做好来源记录；（四）接入管控：数据接入公司系统时，需经过安全检测，查杀病毒、恶意程序，确保接入数据安全，同时记录接入时间、接入人员、数据来源等信息。第九条数据存储与使用流程（一）存储规范：数据存储需使用公司指定的加密服务器或存储介质，禁止将公司数据存储至私人设备、非加密公共云盘；按数据密级设置存储权限，绝密级数据采取双人双锁保管，机密级数据仅限指定人员访问；（二）使用申请：使用数据需填写《数据使用合规申请表》，注明使用目的、使用范围、使用期限，经部门负责人及数据合规专员审批后，在授权范围内使用；（三）使用监控：数据合规部门对数据使用行为进行实时监控，记录数据访问、下载、修改等操作，发现超权限使用、异常访问等行为及时预警并核查；（四）定期清理：按数据存储期限要求，定期清理过期数据，清理前需进行合规评估，确认无留存必要后，采取不可逆方式删除，清理记录留存备查。第十条数据共享与传输流程（一）内部共享：公司内部部门间共享数据的，需签订《内部数据共享协议》，明确共享范围、使用限制、保密责任，共享数据需经过脱敏处理（去除敏感信息），禁止全量原始数据无限制共享；（二）外部共享：向第三方共享数据的，需经合规部、法务部审核，报管理层审批，与接收方签订《数据共享保密协议》，明确数据使用范围、保密义务、违约责任等；共享个人信息的，需提前取得信息主体书面同意；（三）传输安全：数据传输过程中需采取加密措施（如加密传输协议、数据加密打包），禁止通过非加密邮件、即时通讯工具传输敏感数据、核心数据；传输完成后，留存传输记录，包括传输时间、方式、接收方、数据内容等。第十一条数据销毁流程（一）销毁评估：数据达到存储期限或业务终止无需留存时，数据所属部门提交《数据销毁申请表》，数据合规部对数据销毁必要性、合规性进行评估，形成评估意见；（二）销毁审批：评估确认可销毁的，按数据密级分级审批（普通数据由部门负责人审批，敏感数据、核心数据报管理层审批）；（三）销毁执行：纸质数据采取粉碎、焚烧等不可逆方式销毁，电子数据使用专业软件彻底删除，确保无法恢复；销毁过程需有监销人全程监督，禁止私自销毁数据；（四）销毁记录：建立数据销毁台账，记录销毁数据类型、数量、销毁时间、销毁人、监销人等信息，台账需留存至少5年备查。第十二条数据合规应急处置流程（一）事件上报：发现数据泄露、篡改、丢失、违规使用等数据合规事件时，相关人员需在24小时内上报数据合规部及公司管理层，禁止瞒报、漏报、迟报；（二）应急响应：成立数据合规应急处置小组，由技术部、合规部、法务部、相关业务部门组成，立即采取止损措施（如关停数据访问权限、排查泄露源头、冻结相关账户）；（三）事件处置：对数据泄露事件，及时通知受影响的信息主体，按规定向监管部门报告；对违规使用数据行为，立即停止违规操作，封存相关数据；必要时聘请外部数据合规专家、律师提供专业支持；（四）事后整改：事件处置完成后，分析事件原因，完善数据安全防护措施，对相关责任人进行追责，形成应急处置报告，避免类似事件再次发生。第四章职责划分与监督追责第十三条部门职责划分（一）数据合规部（或合规部）：作为数据合规管理归口部门，负责制定修订数据合规制度、开展数据合规审查、组织合规培训、监测数据合规风险、处理应急事件、建立数据合规档案；（二）技术部：负责搭建数据安全存储系统、部署数据加密及访问控制技术、开展数据安全检测、处理数据技术安全问题、配合数据应急处置；（三）法务部：负责提供数据合规法律支持、审核数据相关协议、处理数据合规法律纠纷、对接监管部门；（四）业务部门（市场、销售、工程等）：严格执行数据合规制度，规范本部门数据收集、使用行为，指定专人作为部门数据合规专员，配合合规部开展风险排查、应急处置；（五）人力资源部：将数据合规培训纳入员工培训体系，将数据合规表现纳入员工绩效考核，配合合规部开展违规人员责任追究；（六）管理层：审批数据合规管理制度及重大数据处理行为，保障数据合规管理资源投入，统筹处理重大数据合规事件。第十四条监督检查机制（一）日常检查：数据合规部每月抽查各部门数据合规制度执行情况，重点检查数据收集授权凭证、使用记录、存储安全措施等，发现问题及时要求整改；（二）专项审计：审计部每半年开展一次数据合规专项审计，核查数据处理全流程合规性、数据安全防护措施落实情况、违规行为整改情况，形成审计报告；（三）合规举报：设立数据合规举报渠道（邮箱、电话、信箱等），鼓励员工、客户举报数据违规收集、使用、泄露等行为，举报信息严格保密，对实名举报查实的给予奖励；（四）风险评估：数据合规部每季度开展一次数据合规风险全面评估，识别光建一体化业务中的数据合规风险点，评估风险等级，制定针对性防控措施。第十五条责任追究机制（一）轻微违规：员工违反数据合规制度但未造成实际风险或损失的，给予警告、通报批评、合规约谈，责令限期整改；（二）一般违规：造成少量数据泄露、违规使用数据被客户投诉、被监管部门问询等后果的，给予罚款、扣减绩效、调岗、降职等处理，相关部门负责人承担管理责任；（三）严重违规：造成大量敏感数据/核心数据泄露、被监管部门处罚、引发法律诉讼、给公司造成重大经济损失或声誉损害的，解除劳动合同，追究相关人员经济赔偿责任；涉嫌犯罪的，移交司法机关处理；（四）管理层责任：管理层明知或应知数据违规行为而未制止，或未履行数据合规管理职责的，视情节给予降职、撤职等处理，情节严重的追究法律责任。第五章附则第十六条制度解释权本制度由公司数据合规部（或合规部）联合技术部、法务部负责解释，如数据分类标准、合规审查流程、责任追究细则等内容需调整，由数