2026年光建一体化科技公司客户信息管理与安全管理制度

2026年光建一体化科技公司客户信息管理与安全管理制度第一章总则第一条制定目的为规范公司客户信息的收集、存储、使用、共享及销毁全流程管理，保障客户信息安全，维护客户合法权益，防范信息泄露、滥用等风险，提升客户信息管理的规范化、精细化水平，同时满足国家数据安全、个人信息保护等相关法律法规要求，特制定本制度。第二条适用范围本制度适用于公司所有光建一体化相关业务（包括分布式光伏+建筑一体化、集中式光储建一体化、光建配套运维等）涉及的客户信息管理工作；公司市场拓展部、客户服务部、工程实施部、技术研发部、行政人事部、信息技术部及各项目组所有接触、处理、存储客户信息的人员均需严格遵守本制度。第三条基本原则（一）合法合规原则：客户信息的收集、使用等所有环节均需符合《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》等法律法规要求，严禁违规收集、使用客户信息；（二）最小必要原则：仅收集、使用为完成业务所需的最小范围客户信息，不得过度收集与业务无关的信息，确需扩大收集范围的，需取得客户明确授权；（三）权责一致原则：明确各部门、各岗位在客户信息管理中的职责与权限，做到“谁收集、谁负责，谁使用、谁负责，谁保管、谁负责”；（四）安全保障原则：建立多层级的客户信息安全防护体系，采取技术和管理双重措施，确保客户信息不被泄露、篡改、丢失；（五）全程可追溯原则：对客户信息的收集、存储、使用、传输、销毁等环节进行全流程记录，确保每一项操作均可追溯到具体责任人。第二章管理职责划分第四条客户服务部职责作为客户信息管理的归口部门，客户服务部负责统筹客户信息全流程管理工作，具体职责包括：制定客户信息分类及管理标准；统一归集公司各类业务产生的客户信息；监督各部门客户信息使用规范；受理客户关于信息管理的咨询、异议及投诉；定期组织客户信息管理合规性检查。第五条信息技术部职责负责客户信息的技术安全保障工作，具体职责包括：搭建并维护客户信息存储系统，设置安全防护措施；配置信息访问权限，定期更新系统安全策略；监测信息系统运行状态，及时发现并处置信息泄露、篡改等安全风险；协助相关部门完成客户信息的安全备份与销毁；组织信息安全技术培训。第六条市场拓展部职责负责在业务拓展环节规范收集客户信息，具体职责包括：向客户明确告知信息收集的目的、范围及使用方式，取得客户授权；确保收集的客户信息真实、准确、完整；及时将收集的客户信息按标准提交至客户服务部归集；严禁私自留存、传播客户信息，严禁向第三方泄露客户信息。第七条工程实施部职责负责项目实施环节客户信息的使用与管理，具体职责包括：仅在项目实施所需范围内使用客户信息；妥善保管项目现场获取的客户纸质版信息资料；项目完成后及时将相关客户信息资料移交客户服务部归档；发现信息安全隐患及时向信息技术部及客户服务部报告。第八条行政人事部职责负责员工客户信息安全意识培训及责任考核，具体职责包括：将客户信息安全管理要求纳入员工入职、在岗培训内容；对接触客户信息的员工进行背景审查；将客户信息安全管理执行情况纳入员工绩效考核；处理涉及信息泄露的员工违规行为。第九条各项目组职责项目组负责人为本项目客户信息管理的第一责任人，需组织项目组人员遵守客户信息管理规定；指定专人保管项目相关客户信息资料；定期检查项目组信息使用及保管情况，及时纠正不规范行为；发生信息安全事件时第一时间上报并配合处置。第三章客户信息的分类与收集第十条客户信息分类公司客户信息分为以下三类，实行分级管理：（一）基础信息：指客户的名称、联系方式（电话、邮箱）、地址、对接人姓名等用于业务沟通的基本信息，此类信息为常规管理信息；（二）敏感信息：指客户的身份证号、银行账户信息、营业执照核心信息、项目核心技术参数、合作合同关键条款等涉及客户隐私或商业秘密的信息，此类信息实行严格管控；（三）业务关联信息：指与光建项目相关的客户需求、项目进度、服务反馈、费用结算等业务过程中产生的信息，此类信息需与具体业务绑定管理。第十一条信息收集要求（一）收集前提：收集客户信息前，需向客户明确告知信息收集的目的、用途、存储期限及使用范围，以书面或电子形式取得客户同意；涉及敏感信息的，需单独取得客户的专项授权，严禁以默认勾选、强制捆绑等方式变相获取授权。（二）收集方式：通过当面沟通、电话确认、官方授权平台等合法合规方式收集客户信息，严禁通过窃取、购买、胁迫等非法方式获取；收集纸质版信息需由客户本人或授权经办人确认并签字，收集电子版信息需留存客户授权记录。（三）信息核验：收集的客户信息需及时核验真实性、准确性，发现信息错误或缺失的，需向客户核实更正，确保信息质量；对收集的敏感信息需进行加密处理后再录入系统。第十二条禁止性收集行为严禁实施以下客户信息收集行为：超出业务必要范围收集客户信息；收集与公司光建业务无关的客户信息；未经客户同意收集敏感信息；伪造、篡改客户授权文件收集信息；向第三方购买客户信息。第四章客户信息的存储与使用第十三条信息存储规范（一）存储载体：客户基础信息及业务关联信息可存储于公司指定的信息化管理系统，敏感信息需采用加密存储方式，且纸质版敏感信息需存放于保密文件柜中，由专人保管钥匙及密码。（二）存储期限：客户信息存储期限不得超过业务需要的合理期限，基础信息在业务合作终止后保存1年，敏感信息及业务关联信息在合作终止后保存3年，到期后按规定销毁；客户要求提前删除或销毁信息的，需在核实身份后及时处理。（三）备份要求：信息技术部需定期对客户信息进行安全备份，备份数据与原数据分开存储，备份介质需加密并专人保管，备份记录需留存备查。第十四条信息使用规范（一）使用权限：员工仅可获取其岗位职责所需的客户信息权限，基础信息可由业务对接人常规访问，敏感信息需经部门负责人及客户服务部双重审批后方可访问，且访问过程需全程记录。（二）使用范围：客户信息仅可用于公司光建业务的开展、客户服务的提供，严禁超出授权范围使用；严禁将客户信息用于营销推广、对外共享、出售牟利等非授权用途。（三）使用记录：所有系统端的客户信息访问、使用操作均需自动留存记录，包括操作人、操作时间、操作内容；纸质版信息的借阅、使用需填写《客户信息使用登记表》，明确使用事由、使用期限及归还时间。第五章客户信息的共享与销毁第十五条信息内部共享（一）共享前提：因业务需要在公司内部部门间共享客户信息的，需由需求部门提出申请，经客户服务部审核同意后，按最小必要原则提供信息；共享敏感信息的，需额外经公司分管领导审批。（二）共享方式：内部共享客户信息需通过公司指定的加密传输渠道进行，严禁通过私人微信、邮箱、U盘等非正规渠道传输；共享后接收部门需按本制度要求管理信息，不得再次转发或扩散。第十六条信息外部提供（一）提供限制：严禁未经客户书面授权向任何外部单位或个人提供客户信息；因法律法规要求（如司法机关调查）需提供的，需核验相关机关的合法文书，并留存提供记录及客户告知记录。（二）合作方管理：确因业务合作需向第三方合作方提供客户信息的，需与合作方签订信息保密协议，明确信息使用范围及安全责任，且需提前告知客户并取得同意，同时对合作方的信息使用情况进行监督。第十七条信息销毁规范（一）销毁前提：客户信息达到存储期限、业务合作终止且无留存必要、客户要求销毁的，需按流程进行销毁处理；销毁前需由客户服务部核对信息清单，确认无留存必要后启动销毁流程。（二）销毁方式：电子版信息需采用专业工具彻底删除，确保无法恢复；纸质版信息需进行碎纸处理，严禁随意丢弃、变卖；销毁过程需有两名及以上工作人员在场监督，销毁完成后填写《客户信息销毁记录表》，签字确认并存档。第六章信息安全保障与事件处置第十八条安全保障措施（一）技术保障：信息技术部需为客户信息存储系统配置防火墙、入侵检测系统、数据加密技术等安全防护措施；定期更新系统补丁，开展安全漏洞扫描；对信息访问日志进行实时监控，发现异常访问及时预警。（二）管理保障：接触客户信息的员工需签订《客户信息安全保密协议》；严禁员工将办公电脑、存储介质交由外部人员使用，严禁私自拷贝、导出客户信息；办公区域设置门禁，纸质版信息资料存放区域仅限授权人员进入。（三）应急保障：信息技术部制定客户信息安全应急预案，明确信息泄露、丢失、篡改等事件的处置流程；每年至少组织一次信息安全应急演练，提升员工应急处置能力。第十九条安全事件处置（一）事件上报：发生客户信息泄露、丢失、篡改等安全事件后，相关人员需在1小时内上报客户服务部及信息技术部，重大事件需在2小时内上报公司管理层，严禁迟报、瞒报、漏报。（二）处置措施：信息技术部接到上报后立即启动应急预案，采取封锁信息系统、排查泄露源头、回收泄露信息等措施；客户服务部及时与受影响客户沟通，说明情况并采取补救措施，降低客户损失。（三）事后处理：事件处置完毕后，由客户服务部牵头组织调查，查明事件原因及责任人员；形成《信息安全事件处置报告》，提出整改措施；对责任人员按公司规定进行处理，涉嫌违法的移交司法机关。第七章监督与考核第二十条监督机制（一）日常监督：客户服务部联合信息技术部每月对客户信息收集、存储、使用情况进行抽查，重点核查敏感信息的管理情况，抽查结果形成书面记录。（二）专项检查：每季度由公司质量管理委员会组织客户信息安全专项检查，覆盖所有接触客户信息的部门及岗位，检查内容包括制度执行、权限管理、安全防护等。（三）社会监督：公开客户信息管理投诉渠道，接受客户及社会对公司信息管理行为的监督，对投诉事项及时核查并反馈。第二十一条考核机制（一）考核指标：将客户信息管理合规性、信息安全事件发生率、客户信息投诉处理满意度等纳入各部门及个人的年度绩效考核，考核权重不低于10%。（二）奖惩措施：对于严格遵守信息管理规定、及时发现并避免信息安全事件的部门/个人，给予绩效考核加分、评优优先等奖励；对于违反信息管理规定、造成信息泄露或客户投诉的部门/个人，给予绩效考核扣分、通报批评、经济处罚等处理，情节严重的解除劳动合同，涉嫌违法的追究法律责任。第八章附则第二十二条制度解释权本制度