信息保密管理条例

第一节 总则

第一条 为规范数据信息管理工作，降低数据被非法生成、变更、泄露、丢失及破坏的风险，特制定本条例。

第二条 本条例中的数据，包括但不限于公司信息系统数据、公司后台数据库数据、员工个人办公电脑中的各种公司数据及业务所涉及第三方数据、文档、报表。

第三条 本条例适用于公司各部门进行数据统计、收集、审查、使用、保管、共享各环节。

第二节 数据保密基本准则

第四条 因工作职责的需要，公司赋予员工其承办、处理公司秘密事项的权力，员工也就应当承担保守公司秘密和工作秘密的责任。因而， 公司有必要对员工的涉密行为加以规范、约束，以保障企业秘密、工作秘密的安全。

第五条 员工要真正履行好保密义务，还需自觉地把自己置于保密监督之中，接受保密检查。根据公司和部门对工作人员的一贯要求，对员工履行保密义务的最基本的要求是：

(一)不该说的公司秘密不说;

(二)不该问的公司秘密不问;

(三)不该看的公司秘密不看;

(四)不该记录的公司秘密不记录;

(五)不在私人交往中涉及公司秘密;

(六)不在公共场所办理、谈论属于公司秘密的事项;

(七)不在没有保密保障的地方和设备中存贮、处理公司秘密信息和载体;

(八)不通过普通电话、普通邮局、计算机公用网和普通传真递送、传输公司秘密信息和载体;

(九)不携带密件参观、游览和探亲访友。

此外，员工对已知的窃取或者泄露公司秘密的行为，应当予以制止并及时向有关方面举报。

第三节 数据的安全性级别

第六条 数据按照重要性程度以及隐私性的要求，暂时由低至高划分为四个级别：公司可对外公开数据 S1(公开);公司对内公开数据S2(内部);公司部门内隐私数据、员工个人隐私数据、业务所涉及独家合作和第三方对公司公开数据 S3(保密);业务所涉及到的第三方隐私数据S4(绝密)。

第四节 数据保存和销毁管理

第七条 数据的保存方式，分为：服务器、部门文件柜、个人办公电脑及(移动)硬盘、U 盘、光盘、书面记录、打印复印版等。

第八条 对于与财务报告相关的各种数据，须至少保存 10 年，特殊长期保存。

第九条 数据的保存时间，在符合各业务需求和相关法律法规的规定下，必须尽量保证较长期限的留存，原则上不小于 3 年。

第十条 S3 以及 S4 级别的数据，需要保证存放数据的介质必须在安全的地方，非授权人员(公司最高管理层、相关部门负责人(总监、副总监-经理-组长)、相关工作具体责任人)不得进入相关区域。S2 及以上级别的数据，不允许通过保存在电子设备上或通过书面的方式携带出公司，或在公司区域外公开讨论。如有特需，必须通过部门数据安全负责人或网络安全部或总经理级别批准，并在钉钉中上报网络安全部记录在案。

第十一条 数据备份的计划和管理，按各业务需求进行。

第十二条 原则上通过电子方式保存的数据不需要进行销毁。书面记录、打印复印版的数据，在超过数据保存时间的要求后，可以选择性销毁，S2 及以上级别的数据、销毁时必须由责任人、直线管理层或部门数据安全责任人通过粉碎机粉碎。

第五节 数据传输管理

第十三条 安全性的数据传输方式为通过公司邮箱、工作钉钉、工作QQ 进行传输。

第十四条 S3 和 S4 级别的数据传输，必须通过第十三条中的安全传输方式，以保证传输过程中不被泄露。

第十五条 S1 级别的数据内容必须正确无误地传输。S2 级别的数据传输，必须通过点对点的方式，或在特定群组内传输，减少数据外流风险。

第十六条 必要时需要在S2 以上的数据传输过程中设置加密。

第六节 数据的查看、提取的管理

第十七条 数据和报表的查看或提取，由使用人向上级在钉钉上进行申请，获得批准后方可进行查看和提取，申请在 1 个工作日内办结。

第十八条 S4 级别数据，只有相关工作具体负责人和直线上级可以进行查看，任何人不得提取或发放。

第七节 责任归属与追究

第十九条 若使用人员未按要求妥善保存数据，涉及 S2 级别的数据第一次发现给与警告处理;对公司产生重大经济损失的，对直接责任人及其部门负责人可参照公司绩效管理规定、员工合规手册、网络安全制度等，进行相应经济处罚、降级处理，并保留法律追诉的权利。涉及S3、S4 级别的数据一经发现，对直接责任人进行相应的经济处罚、降级或解除劳动关系处理，追究法律责任外，部门相关负责人负连带责任。

第二十条 若使用人员未按要求妥善删除、销毁数据，涉及 S2 级别的数据第一次发现给与警告处理;对公司产生重大经济损失的，对直接责任人及其部门负责人可参照公司绩效管理规定、员工合规手册、网络安全制度等，进行相应经济处罚、降级处理，并保留法律追诉的权利。涉及S3、S4 级别的数据一经发现，对直接责任人进行相应的经济处罚、降级或解除劳动关系处理，追究法律责任外，部门相关负责人负连带责任。

第二十一条 若使用人员未按照要求传输数据，涉及 S1、S2 级别的数据第一次发现给与警告处理;情节轻微的，予以使用人、责任人经济处罚 500 元/次;情节严重的，除赔偿经济损失及解除劳动关系外， 公司依法追究刑事责任。涉及 S3、S4 级别的数据一经发现予以直接责任人和部门负责人降级处理或解除劳动关系并追究其经济损失赔偿责任;情节严重的，除上述责任外，公司依法追究其刑事责任。

第八节 附则

第二十二条 本条例由网络安全部负责解释和修订，并不定期核查实行效果。

第二十三条 每半年各部门汇总部门数据安全负责人名单(如有离职或转岗、可特殊报备)，并依需求召开网络安全部、总经理和部门数据安全负责人会议。协商讨论信息保密管理制度，如有个别临时性问题由部门负责人反馈至网络安全部。

第二十四条 各事业部、各部门可根据本条例，结合本事业部、本部门实际，确定部门内部各种信息保密级别并制定实施细则，但不得与本条例相抵触，并须报网络安全部备案。

第二十五条 本条例自公布之日起施行。