SA035A 员工信息安全管理程序.DOC

□高度机密□机密文件■一般文件

浙江致优汽车科技有限公司

行政部

员工信息安全管理程序

文件编号:SA035A

版本版次:A/0

文件阶层:二阶文件

页码页数:PAGE1ofNUMPAGES6

未经许可.禁止复印

修订记录:

版本

日期

修订原因

修订项目

修订内容描述

A/0

2022-09-02

首次发行

相关单位主管会签:

总经理

□行政部

□财务部

□生产部

销售部

□采购部

□品管部

□

□

□

□

□

核准:徐乃永

日期:

审核:罗超

日期:

制作:王燕燕

日期:2022-09-02

一、目的：

使工厂对员工个人身份信息收集、使用、保留的管理过程更加规范，同时保护个人身份信息或资料，以免发生泄漏员工个人信息而对员工造成不必要的损失或其他影响。

二.范围：

本文适用于规范各类组织个人信息处理活动，也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。

定义

个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

个人信息控制者：有权决定个人信息处理目的、方式等的组织或个人

个人信息主体：个人信息所标识的自然人。

四.职责：

人事部负责收集、保留并管理员工个人身份信息及相关文件。行政经理作为个人信息控制者，负责全面管理个人信息安全事项。

工作程序：

5.1个人信息判定

判定某项信息是否属于个人信息，应考虑以下两条路径：一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人。二是关联，即从个人到信息，如已知特定自然人，则由该特定自然人在其活动中产生的信息（如个人位置信息、个人通话记录、个人浏览记录等）即为个人信息。符合上述两种情形之一的信息，均应判定为个人信息。

表A.个人信息举例

个人基本资料

个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮箱等

个人身份信息

身份证、护照、驾驶证、工作证、出入证、社保卡、居住证等

个人生物识别信息

个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等

网络身份标识信息

系统账号、IP地址、邮箱地址及与前述有关的密码、口令、口令保护答案、用户个人数字证书等

个人健康生理信息

个人因生病医治等产生的相关记录，如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以病史、诊治情况、家族病史、现病史、传染病史等，以及与个人身体健康状况产生的相关信息，及体重、身高、肺活量等

个人教育工作信息

个人职业、职位、工作单位、学历、学位、教育经历、工作经历、培训记录、成绩单等

个人财产信息

银行账号、鉴别信息(口令)、存款信息（包括资金数量、支付收款记录等）、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等，以及虚拟货币、虚拟交易等虚拟财产信息

个人通信信息

通信记录和内容、短信、彩信、电子邮件，以及描述个人通信的数据等

联系人信息

通讯录、好友列表、群列表、电子邮件地址列表等

个人上网记录

指通过日志储存的用户操作记录，包括网站浏览记录、软件使用记录、点击记录等

个人常用设备信息

指包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码（如IMEI/androidID/IDFA/OPENUDID/GUID、SIM卡IMSI信息等）等在内的描述个人常用设备基本情况的信息

个人位置信息

包括行踪轨迹、精准定位信息、住宿信息、经纬度等

其他信息

婚史、宗教信仰、性取向、未公开的违法犯罪记录等

5.2敏感信息判定

个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下，自然人的隐私信息属于个人敏感信息。可从以下角度判定是否属于个人敏感信息：

泄露：个人信息一旦泄露，将导致个人信息主体及收集、使用个人信息的组织和机丧失对个人信息的控制能力，造成个人信息扩散范围和用途的不可控。某些个人信息在泄漏后，被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析，可能对个人信息主体权益带来重大风险，应判定为个人敏感信息。例如，个人信息主体的份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。

非法提供：某些个人信息仅因在个人信息主体授权同意范围外扩散，即可对个人信息主体权益带来重大风险，应判定为个人敏感信息。例如，性取向、存款信息、传染病史