2026年光建一体化科技公司客户隐私保护管理制度

2026年光建一体化科技公司客户隐私保护管理制度第一章总则第一条为规范公司客户隐私信息的收集、使用、存储、传输及销毁等全流程管理，保护客户合法权益，防范隐私泄露风险，依据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国民法典》等相关法律法规，结合公司光建一体化业务（含光伏建筑一体化、光储直柔建筑配套、新能源建筑融合等）经营实际，制定本制度。第二条本制度适用于公司各部门及全体员工在开展业务活动过程中涉及的所有客户隐私信息管理行为，包括但不限于市场拓展、项目勘测、方案设计、施工运维、售后服务等环节的客户隐私保护工作，公司合作的第三方机构（如施工单位、运维服务商、技术合作方等）也须遵守本制度相关要求。第三条客户隐私保护遵循“合法合规、最小必要、公开透明、安全保障、权责统一”的基本原则，公司收集、使用客户隐私信息均以获得客户明确授权为前提，不得超出业务必要范围收集、使用，且需采取足够安全措施保障信息不被泄露、篡改、滥用。第四条本制度所称客户隐私信息包括但不限于：个人客户的姓名、身份证号、联系方式、家庭住址、银行账户信息、房产权属信息等；企业客户的营业执照信息、法定代表人信息、项目权属信息、财务数据、商业合作方案、未公开的项目数据等未公开且具有保密性的信息。第五条公司成立客户隐私保护工作小组，由公司管理层牵头，综合部、法务部、技术部、市场部等部门负责人为成员，统筹推进客户隐私保护制度的落地、监督及优化，定期评估隐私保护工作成效，解决隐私保护过程中的重大问题。第二章隐私信息收集管理第六条隐私信息收集范围界定开展光建一体化项目相关业务时，仅收集完成业务所需的最小范围隐私信息，不得收集与业务无关的客户信息；个人客户信息收集范围仅限：姓名、有效联系方式、项目地址（仅限项目相关区域）、项目权属证明相关信息（按需），不得收集身份证号、银行卡号等敏感信息，确因业务必需收集的，须单独获得客户书面授权；企业客户信息收集范围仅限：企业名称、项目对接人联系方式、项目备案相关信息、建筑权属证明相关信息，不得收集企业未公开的财务数据、核心商业机密等，确需收集的，须经企业客户法定代表人或授权代表书面确认。第七条隐私信息收集方式收集客户隐私信息须通过合法、正当方式，包括客户主动提交、业务对接过程中客户授权提供、公开合法渠道获取等，严禁通过窃取、诱骗、胁迫等非法方式收集；收集前须向客户明确告知收集信息的目的、范围、使用方式、存储期限及保护措施，由客户签署《隐私信息收集授权书》，授权书需明确授权期限及撤销授权的方式；通过线上渠道收集客户信息的，需在收集页面显著位置展示隐私政策，明确信息收集相关事项，由客户主动勾选确认授权后方可收集；收集过程中需对敏感信息进行脱敏处理，如身份证号仅保留首尾字符、联系方式隐藏中间四位等，避免原始敏感信息直接留存。第八条收集信息审核与记录各部门收集的客户隐私信息须在24小时内提交至综合部备案，综合部对收集信息的必要性、合规性进行审核，对超出范围的收集行为有权要求整改；建立《客户隐私信息收集台账》，记录收集时间、收集人、信息类型、收集目的、客户授权情况等，台账需专人管理，定期核对，确保信息收集可追溯；审核发现收集信息不符合本制度要求的，须立即停止使用，并在3个工作日内删除相关信息，同时向客户说明情况。第三章隐私信息使用管理第九条隐私信息使用范围客户隐私信息仅可用于授权范围内的业务活动，包括项目勘测、方案设计、合同签订、施工协调、售后服务等，不得超出授权范围使用；不得将客户隐私信息用于商业推广、对外出售、与第三方交换等非授权用途，严禁员工利用客户隐私信息谋取个人利益；因业务合作需向第三方提供客户隐私信息的，须事先获得客户书面同意，明确第三方的使用范围及保密义务，并与第三方签订《隐私保护协议》，事后需向客户反馈信息使用情况。第十条隐私信息使用规范使用客户隐私信息前须确认授权是否有效，授权到期或客户撤销授权的，立即停止使用，并按要求删除相关信息；内部使用客户信息时，实行“按需获取”原则，员工仅可查阅与自身负责业务相关的信息，不得查阅无关客户的隐私信息；使用过程中严禁复制、传播、截图留存客户隐私信息，确因工作需要复制的，须经部门负责人审批，并在使用完毕后立即删除复制件；不得在公开场合（如会议、社交平台）泄露客户隐私信息，内部沟通涉及客户信息的，需使用代号或脱敏后的信息。第十一条信息使用监督法务部每月对各部门客户信息使用情况进行抽查，核查使用记录与授权范围是否一致，对违规使用行为及时制止并追责；建立客户信息使用申诉机制，客户发现信息被违规使用的，可向隐私保护工作小组申诉，小组需在5个工作日内核查并反馈处理结果；违规使用客户隐私信息的，立即停止使用，采取补救措施，并按本制度第七章规定追究相关人员责任。第四章隐私信息存储与传输管理第十二条隐私信息存储要求客户隐私信息实行分级存储，普通信息（如企业名称、项目地址）可存储在公司内部服务器，敏感信息（如身份证号、银行账户信息）需加密存储，设置单独的访问权限；存储介质仅限公司专用服务器、加密硬盘，严禁将客户隐私信息存储在个人电脑、手机、U盘等移动设备，严禁上传至公共云盘、社交软件等非安全平台；电子信息存储期限不得超过业务完成后2年，到期自动触发删除流程，纸质信息存储期限不得超过业务完成后3年，特殊情况需延长存储的，须经隐私保护工作小组审批并告知客户；存储期间需定期（每月）对存储系统进行安全检测，修复漏洞，防止信息被非法入侵、窃取。第十三条隐私信息传输管理内部传输客户隐私信息须使用公司加密通讯系统，严禁通过非加密邮箱、微信、QQ等渠道传输，传输前需对信息进行加密处理；向外部传输客户信息（如合作第三方），需采用加密传输方式，传输完成后及时销毁传输介质中的信息，记录传输时间、接收方、传输内容等；传输过程中安排专人跟进，确保信息准确、安全送达，传输完成后与接收方确认信息完整性，避免传输过程中泄露或丢失。第十四条纸质信息管理纸质客户隐私信息需存放于加密档案柜，由专人保管，存放地点设置监控及防盗设施；查阅纸质信息须填写《查阅申请表》，经部门负责人审批后，在指定地点查阅，不得带出，查阅后立即归位；纸质信息销毁前需登记造册，经审批后采用碎纸、焚烧等不可逆方式销毁，销毁过程需2人以上监督，做好销毁记录。第五章隐私信息销毁管理第十五条销毁情形与时机出现以下情形时，须及时销毁客户隐私信息：授权期限届满且未续期、业务合作终止、客户要求删除信息、信息存储期限届满、收集信息超出范围且无法整改；信息销毁须在相关情形发生后7个工作日内完成，特殊情况需延期的，须经隐私保护工作小组审批，并向客户说明原因；销毁前需确认信息已无业务使用必要，且完成相关业务资料归档（归档资料需脱敏处理）。第十六条销毁流程与方式电子信息销毁：由技术部执行，采用数据覆盖、磁盘消磁等不可逆方式，确保信息无法恢复，销毁后出具《电子信息销毁报告》；纸质信息销毁：由综合部执行，采用碎纸机碎纸或委托专业销毁机构处理，销毁过程全程记录，留存销毁现场照片、视频等凭证；销毁完成后，更新《客户隐私信息收集台账》，标注销毁时间、方式、执行人等，确保销毁可追溯；销毁后需向客户反馈销毁结果，提供销毁凭证复印件（如需），确保客户知晓信息已按要求销毁。第六章人员管理与责任第十七条员工培训与保密协议新员工入职时，必须接受客户隐私保护专项培训，学习本制度及相关法律法规，考核通过后方可上岗，每年组织全体员工开展至少1次隐私保护复训；全体员工均需签署《客户隐私保护保密协议》，明确保密义务、违规责任，协议作为劳动合同的附件，具有同等法律效力；对接触敏感客户信息的核心岗位员工（如综合部档案管理员、市场部客户经理），额外签订《专项保密协议》，设定更严格的保密要求及违约赔偿标准。第十八条员工权限管理实行“最小权限”原则，根据员工岗位职责分配客户信息访问权限，严禁超权限分配，权限调整需经部门负责人及综合部双重审批；员工离职、调岗时，立即收回其信息访问权限，要求交还所有存储客户信息的介质，签署《离职保密承诺书》，明确离职后的保密义务；定期（每季度）核查员工权限使用情况，对长期未使用的权限及时收回，对异常权限访问行为（如非工作时间访问、高频次访问无关信息）进行预警并核查。第十九条部门责任分工综合部：负责客户隐私信息的统一备案、存储管理，组织隐私保护培训，牵头制度的修订与宣贯，管理隐私保护台账；法务部：负责审核隐私保护相关协议、授权书，提供法律支持，处理隐私保护相关纠纷，监督制度合规性；技术部：负责搭建信息加密存储、传输系统，定期开展安全检测，执行电子信息销毁操作，防范技术层面的信息泄露风险；各业务部门：负责在业务环节中合规收集、使用客户信息，及时报备收集信息，配合隐私保护检查，处理本部门的客户隐私相关申诉；质控部：负责监督各部门隐私保护制度执行情况，开展专项检查，提出整改建议，跟踪整改落实情况。第七章风险防控与应急处理第二十条日常风险防控建立客户隐私保护风险清单，识别收集、使用、存储、传输等环节的潜在风险，制定针对性防控措施；定期（每季度）开展隐私保护风险排查，重点检查信息存储系统安全、员工权限使用、协议签署情况等，排查结果纳入部门绩效考核；与第三方合作时，优先选择具备完善隐私保护体系的合作方，签订的合作协议中明确隐私保护责任，定期核查第三方信息使用情况。第二十一条信息泄露应急处理发生客户隐私信息泄露、丢失、篡改等事件时，相关人员须立即向隐私保护工作小组报告，不得隐瞒、拖延，报告内容包括泄露信息类型、范围、可能原因、影响等；工作小组接到报告后，立即启动应急预案，采取封锁泄露渠道、暂停相关系统使用、排查泄露源头等措施，防止泄露范围扩大；对泄露事件进行评估，若涉及个人敏感信息泄露，须在24小时内告知受影响客户，说明泄露情况、已采取的措施及补救方案，并协助客户做好风险防范；若泄露事件涉嫌违法犯罪，立即向公安机关报案，配合相关部门调查，同时做好舆情管控，避免造成不良社会影响；泄露事件处理完毕后，形成《隐私信息泄露事件处理报告》，分析原因，完善防控措施，追究相关责任人责任。第八章奖惩机制第二十二条奖励情形及标准严格遵守本制度，年度内无违规操作，且在隐私保护检查中表现优秀的员工，给予500-1000元现金奖励；发现隐私保护漏洞并提出有效整改建议，避免信息泄露风险的，给予1000-3000元奖励；及时发现并上报信息泄露隐患，成功阻止信息泄露事件发生的，给予2000-5000元奖励；年度内隐私保护工作成效显著的部门，给予部门年度绩效奖金上浮10%的奖励。第二十三条惩罚情形及标准未按规定收集、使用客户隐私信息，未造成泄露的，扣罚责任人200-500元/次，责令限期整改；违规泄露、传播客户隐私信息，未造成严重后果的，扣罚责任人1000-2000元，取消年度评优资格，情节严重的，解除劳动合同；将客户隐私信息出售、交换给第三方，或利用信息谋取个人利益的，立即解除劳动合同，追回非法所得，情节严重的移交司法机关处理；发生信息泄露事件后隐瞒不报、拖延处理的，加重处罚，扣罚部门负责人当月绩效奖金的50%；年度内累计3次违反本制度的员工，调整工作岗位，情节严重的解除劳动合同。第九章附则