我们一直都极为重视保护用户的个人信息安全,为此我们采用了符合行业标准的安全技术措施及配套的组织架构和管理体系等多层面保护措施以最大程度降低您的信息被泄露、毁损、误用、非授权访问、非授权披露和更改的风险。包括:
(1) 数据安全收集方面,通过个人信息安全影响评估确认数据收集的合法性、正当性和必要性,识别并以清晰、准确的方式告知用户以征得同意,同时对用户的授权同意采集行为进行日志记录;采用敏感识别工具对收集的用户数据进行分类分级,针对不同级别的数据设置不同等级的安全策略;采用技术措施对收集或产生数据的来源方进行身份识别,确保数据来源的准确性和抗抵赖性;
(2) 数据安全传输方面,使用安全通道传输个人信息,并通过合适的加密算法进行安全加密、脱敏处理,确保数据传输过程中个人信息的秘密性和完整性;
(3) 数据安全存储方面,采用数据分类分级管理制度,针对数据分类分级结果采取不同的信息存储策略;个人敏感信息需加密存储,确保数据安全使用规范能够落实到位;针对存储有个人信息的数据库加强权限控制与安全审计;定期对个人信息进行备份与恢复,确保个人信息在存储使用过程中的完整性;
(4) 数据安全处理方面,依照使用场景和安全需求对个人信息进行脱敏处理,例如在前端显示个人敏感信息之前需在服务端完成脱敏处理;开发、测试环境严禁使用真实用户信息;实施严格的数据权限控制机制,采取多重身份认证、网络/数据隔离等技术措施,确保能够对处理个人信息的行为进行有效监控,避免数据被违规访问和未授权使用;
(5) 数据安全销毁方面,根据法律法规要求和业务实际需求设定个人信息存储的最小可用期限,对到期的数据通过安全删除技术进行处理,确保已销毁数据不可恢复,技术手段包括但不限于数据彻底清除方案、磁盘销毁、物理销毁等;
(6) 建立完整的审计机制,对数据生命周期的全流程进行监控与审计,防止您的个人信息遭遇未经授权的访问、公开披露、使用、修改、人为或意外的损坏或丢失;
(7) 其他实现数据安全保护的措施。
(1) 成立专门的个人信息保护责任部门,建立相关的内控管理流程,对可能接触到您的信息的工作人员采取最小化权限原则;
(2) 建立数据分类分级制度、业务数据安全使用规范、数据合作规范等管理体系,保障您的信息在收集、传输、使用、存储、转移、销毁等环节的处置满足法律法规相关规范和安全要求;
(3) 定期组织员工参加安全与隐私保护相关培训并要求完成规定的考核,加强员工对于保护个人信息重要性的认知;
(4) 其他可行的安全组织和管理措施。
(1) 如不幸发生个人信息安全事件的,我们将按照法律法规的要求,及时向您告知安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您可自主防范和降低风险的建议、对您的补救措施等。我们将及时将事件相关情况以邮件、电话、短信、推送通知、信件等一种或多种方式告知您,难以逐一告知个人信息主体时,我们会采取合理、有效的方式发布公告。同时,我们还将按照监管部门要求,主动上报个人信息安全事件的处置情况;
(2) 请您知悉并理解,互联网并非绝对安全的环境,我们强烈建议您通过安全方式、使用复杂密码,协助我们保证您的账号安全。如您发现自己的个人信息泄密,尤其是您的账户或密码发生泄露,请您立即根据隐私政策文末中提供的联系方式联络我们,以便我们采取相应措施来保护您的信息安全。