华谊兄弟修订外部信息制度

华谊兄弟修订外部信息制度第一章总则第一条本制度依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关国家法律法规，参照《企业内部控制基本规范》及行业最佳实践，结合华谊兄弟公司（以下简称“公司”）发展实际与内部管理需求，为规范外部信息管理行为，有效防范信息泄露、违规披露等专项风险，维护公司合法权益与市场声誉，特制定本制度。第二条本制度适用于公司总部各部门、各下属单位及全体员工，涵盖公司对外发布信息、业务合作中涉及第三方信息处理、媒体沟通、危机应对等所有场景，以及涉及公司内部数据的对外流转与共享行为。第三条本制度中下列术语定义：（一）“外部信息管理”是指公司对涉及外部环境、合作伙伴、客户及内部业务数据等信息的收集、存储、使用、传输、披露等全流程管控活动，旨在确保信息处理的合法性、合规性与安全性。（二）“专项风险”是指因外部信息管理不当可能导致的法律诉讼、监管处罚、商业秘密泄露、品牌形象受损等重大风险事件。（三）“合规审查”是指基于法律法规、行业准则及公司制度要求，对涉及外部信息的业务决策、合同条款、流程操作等进行的合法性、适当性评估。第四条外部信息管理应遵循“全面覆盖、责任到人、风险导向、持续改进”的核心原则，确保管理措施与风险等级相匹配，实现动态优化。第二章管理组织机构与职责第五条公司主要负责人对公司外部信息管理负总责，统筹决策重大管理事项；分管领导为直接责任人，负责组织实施、监督考核与应急指挥。第六条公司设立外部信息管理领导小组（以下简称“领导小组”），由公司主要负责人担任组长，分管领导担任副组长，相关部门负责人为成员。领导小组负责统筹协调外部信息管理重大事项，审议管理制度与风险预案，监督评价管理成效，对重大风险事件行使决策审批权。第七条公司指定战略管理部为外部信息管理的牵头部门，主要职责包括：（一）组织制定、修订外部信息管理制度，并监督执行；（二）牵头开展专项风险识别与评估，编制风险清单；（三）统筹开展管理培训与宣贯，提升全员合规意识；（四）定期汇总分析管理情况，提出优化建议。第八条公司指定法务合规部为外部信息管理的专责部门，主要职责包括：（一）审核对外信息发布的内容与形式，确保符合法律法规及行业要求；（二）参与重大业务合作中的信息条款谈判，提供合规意见；（三）建立风险处置机制，对违规行为进行处置与补救；（四）跟踪法规动态，推动制度迭代更新。第九条各业务部门及下属单位负责本领域外部信息管理，主要职责包括：（一）落实领导小组及牵头部门的部署要求，细化管理措施；（二）开展日常风险排查，及时发现并上报异常情况；（三）规范业务操作，确保信息处理符合制度标准；（四）配合开展合规审查与责任追究。第十条公司全体员工为外部信息管理的基层执行主体，应履行以下责任：（一）严格遵守本制度及岗位操作规范，不得擅自对外提供敏感信息；（二）对接触的外部信息进行分类分级管理，防止非必要泄露；（三）发现违规行为或潜在风险时，及时向直属部门或牵头部门报告；（四）签署岗位合规承诺书，明确个人责任。第三章专项管理重点内容与要求第十一条对外发布信息管理：业务操作合规标准：公司重大信息发布须经过领导小组审批，确保内容真实、准确、完整，避免误导性陈述；涉及行业数据或第三方评价时，需核实来源并注明出处。禁止性行为：严禁虚构或夸大对外宣传内容，禁止泄露未公开的经营数据或战略规划。重点防控点：加强对社交媒体、合作渠道的信息发布监控，防止未经授权传播。第十二条业务合作中的外部信息管理：业务操作合规标准：与合作伙伴签订信息保密协议，明确数据使用范围与权限，建立交叉验证机制；对外提供客户数据时，需取得客户明确授权。禁止性行为：严禁未经授权收集、交易用户信息，禁止利用合作机会谋取不正当利益。重点防控点：审查第三方数据来源的合法性，防止数据链路中出现信息泄露风险。第十三条媒体沟通与信息披露管理：业务操作合规标准：统一媒体对接口径，重要信息由指定部门或人员对外发布；对媒体问询进行合规评估，涉及敏感内容需经审批。禁止性行为：禁止擅自以公司名义对外发声，禁止泄露内部决策过程或未公开财务数据。重点防控点：建立媒体危机预案，及时响应负面舆情。第十四条内外部数据交叉使用管理：业务操作合规标准：在内部系统与外部平台对接时，需进行数据脱敏处理，设置访问权限；对涉及个人信息的交叉使用，需符合《个人信息保护法》规定。禁止性行为：严禁将内部敏感数据用于外部营销或无关场景，禁止对数据进行分析时识别到具体个人。重点防控点：监控数据流转路径，防止敏感信息通过接口外泄。第十五条紧急状态下的外部信息管理：业务操作合规标准：发生信息安全事件时，需立即启动应急预案，按权限逐级上报；对外通报须经法务合规部审核。禁止性行为：禁止擅自对外发布未经证实的信息，禁止隐瞒重大风险事件。重点防控点：建立跨部门协同机制，确保应急响应及时有效。第十六条外部信息存储与销毁管理：业务操作合规标准：对外部信息进行分类分级存储，设置访问权限与审计日志；超过保存期限的信息应按规定销毁，并做好记录。禁止性行为：禁止将敏感信息存储在非授权系统，禁止未按规定销毁导致数据留存。重点防控点：定期检查存储介质的安全状态，防止物理泄露。第十七条第三方平台合作管理：业务操作合规标准：与外部平台合作时，需审查其数据安全能力，签订协议明确责任划分；定期评估合作平台的合规状况。禁止性行为：禁止将核心数据委托给安全性不足的第三方，禁止未审查平台资质就开展合作。重点防控点：监控第三方平台的数据处理活动，防止其滥用信息。第四章专项管理运行机制第十八条制度动态更新机制：牵头部门每年至少组织一次制度评估，根据法律法规变化、业务模式调整、风险事件教训等，及时修订管理条款；重大变革时启动临时修订程序。第十九条风险识别预警机制：（一）牵头部门联合专责部门每季度开展一次风险排查，结合行业案例与内部数据，更新风险清单；（二）对高风险环节（如媒体合作、数据交易）实行重点监控，发现苗头性问题及时发布预警通知；（三）建立风险评分模型，对潜在事件进行分级管理。第二十条合规审查机制：（一）将外部信息管理纳入业务决策前置审查环节，重大合作项目需经领导小组审议；（二）合同签订前须由法务合规部审核信息条款，未通过审查的不得签署；（三）对外发布内容须经专责部门抽检，确保符合制度要求。第二十一条风险应对机制：（一）一般风险由业务部门自行处置，专责部门提供指导；重大风险由领导小组启动应急程序，必要时暂停相关业务；（二）明确风险上报路径与时限，基层员工发现问题需在24小时内上报，部门负责人在48小时内完成初步评估；（三）建立跨部门协同机制，确保责任协同与资源支持。第二十二条责任追究机制：（一）违规情形分为一般违规（如操作疏漏）、重大违规（如泄露商业秘密）等，对应不同处罚标准；（二）处罚措施包括绩效扣减、岗位调整、纪律处分，涉嫌违法的移交司法机关；（三）建立责任倒查机制，对管理漏洞进行追责。第二十三条评估改进机制：（一）每年开展一次专项管理有效性评估，通过数据分析、员工访谈、第三方审计等方式，检验制度覆盖率与执行效果；（二）评估结果作为制度优化的依据，形成闭环管理；（三）对评估发现的不足，制定整改计划并明确时间表。第五章专项管理保障措施第二十四条组织保障：（一）公司主要负责人每年听取一次外部信息管理汇报，将管理成效纳入年度工作会议；（二）分管领导每月召开专题会议，解决管理中的突出问题；（三）各部门负责人对本领域管理负直接责任，与绩效考核挂钩。第二十五条考核激励机制：（一）将外部信息管理纳入部门年度考核指标，权重不低于5%；（二）对表现突出的部门或个人予以评优奖励，对责任落实不到位的进行约谈；（三）建立合规积分体系，积分结果与晋升、培训机会相关联。第二十六条培训宣传机制：（一）新员工入职时必须接受外部信息管理制度培训，每年组织至少两次全员培训；（二）针对管理层开展合规履职专题培训，强化风险意识与决策责任；（三）制作合规手册，通过内部平台、宣传栏等渠道强化宣贯。第二十七条信息化支撑：（一）开发外部信息管理平台，实现数据分类分级、访问权限控制、操作日志记录等功能；（二）引入智能预警工具，对异常行为进行实时监控与自动提醒；（三）与现有系统打通数据链路，避免信息孤岛与管理脱节。第二十八条文化建设：（一）发布《外部信息合规手册》，明确“合规创造价值”的理念；（二）组织签署《合规承诺书》，将个人承诺作为岗位履职的一部分；（三）设立合规文化月活动，通过案例分享、知识竞赛等形式营造氛围。第二十九条报告制度：（一）每月汇总外部信息管理情况，包括风险事件、整改结果、培训覆盖等，报领导小组审阅；（二）每年编制年度管理报告，向公司董事会（或最高管理层）报告，并抄送母公司（如适用）；（三）重大风