華測檢測認證集團股份有限公司（以下簡稱“華測檢測”“公司”“我們”）深知用戶數(shù)據(jù)保護的重要性，將其視為企業(yè)責任的核心組成部分，并承諾堅決維護每一位用戶的個人信息安全與隱私權(quán)益。公司致力于實施嚴格的數(shù)據(jù)保護措施，以減少因業(yè)務運營可能帶來的隱私風險及負面影響，并最大化提升用戶數(shù)據(jù)保護的透明度與有效性。公司與全體員工攜手，共同為構(gòu)建一個安全、可信的數(shù)字環(huán)境而努力。

本政策全面覆蓋并適用華測檢測提供的所有服務及運營活動（包括供應商等合作伙伴），旨在明確我們?nèi)绾问占⑹褂?、存儲、共享及保護用戶的個人信息。

治理

信息安全領(lǐng)導小組為最高級別的監(jiān)管者。該小組設(shè)立在集團董事會的戰(zhàn)略與并購委員會下，由集團行政總裁擔任組長。其他成員包括大區(qū)行政總裁和信息資源管理部負責人，共同負責全面統(tǒng)籌集團的信息安全工作。集團信息安全工作小組組長由信息安全領(lǐng)導小組任命，成員由系統(tǒng)工程師、信息安全工程師、網(wǎng)絡工程師以及各職能部門、事業(yè)部、分支機構(gòu)的信息安全員組成，負責信息安全的落地執(zhí)行。

信息資源管理部是隱私問題的責任部門，員工在遇到任何隱私問題或疑慮時可與該部門聯(lián)系。信息資源管理部通過加密技術(shù)保護數(shù)據(jù)傳輸與存儲，實施訪問控制以限制數(shù)據(jù)訪問權(quán)限，并定期對系統(tǒng)安全進行內(nèi)外部審計。同時，協(xié)助數(shù)據(jù)主體行使權(quán)利，如訪問、更正或刪除其信息，并提供技術(shù)支持以響應數(shù)據(jù)泄露等緊急事件，確保用戶隱私得到充分保護。本政策由信息資源管理部負責解釋。

公司將數(shù)據(jù)保護系統(tǒng)全面納入集團范圍的風險與合規(guī)管理體系之中。對內(nèi)，公司確保所有可能處理個人信息或就個人信息做出決定的成員，均須嚴格遵守隱私政策規(guī)定，在數(shù)據(jù)的收集、使用、存儲和銷毀等各個環(huán)節(jié)中，采取必要的風險防控措施，以保障數(shù)據(jù)主體的隱私權(quán)益。信息安全工作小組通過定期的風險評估、合規(guī)審查、第三方漏洞分析與模擬黑客攻擊等措施，將數(shù)據(jù)保護融入到集團范圍的風險與合規(guī)管理體系中。對外，公司要求供應商等合作伙伴簽署《供應商行為準則》，其中包括數(shù)據(jù)保護議題，并通過定期開展ESG審核，落實供應商數(shù)據(jù)保護行為。公司致力于構(gòu)建一個全面、系統(tǒng)、有效的數(shù)據(jù)保護機制，確保集團業(yè)務活動的合法性與合規(guī)性。

承諾

1）合規(guī)：

公司將嚴格遵守《中華人民共和國個人信息保護法》等國內(nèi)外關(guān)于個人信息保護的法律法規(guī)，確保個人信息處理活動的合法性、正當性和必要性，尊重并保護數(shù)據(jù)主體的合法權(quán)益。

2）透明：

公司將以清晰、易懂的方式向數(shù)據(jù)主體披露個人信息處理的目的、方式、范圍及其享有的權(quán)利，確保數(shù)據(jù)主體的知情權(quán)得到充分保障。

3）安全性

公司將采取一切合理且必要的技術(shù)和管理措施，確保個人信息在收集、使用、存儲及銷毀過程中的安全性，防止數(shù)據(jù)泄露、篡改或濫用。

4）培訓與教育：

公司將定期對處理個人信息的員工進行數(shù)據(jù)保護培訓，提升其法律意識和專業(yè)能力，確保個人信息處理活動的合規(guī)性和安全性。

5）權(quán)利保障：

公司尊重并保障數(shù)據(jù)主體對其個人信息的控制權(quán)，包括但不限于訪問權(quán)、更正權(quán)、刪除權(quán)及限制處理權(quán)等，確保數(shù)據(jù)主體能夠便捷地行使這些權(quán)利。

6）持續(xù)改進：

公司將不斷審視并優(yōu)化數(shù)據(jù)保護政策和實踐，以滿足新的數(shù)據(jù)保護挑戰(zhàn)和法規(guī)要求，持續(xù)提升用戶數(shù)據(jù)保護水平。

零容忍政策

公司堅決執(zhí)行數(shù)據(jù)保護零容忍政策，對內(nèi)部員工及合作供應商一視同仁。嚴禁任何違反個人信息保護規(guī)定的行為，包括但不限于非法收集、濫用、泄露或未經(jīng)授權(quán)處理個人信息。一旦發(fā)現(xiàn)違規(guī)行為，立即啟動調(diào)查程序，采取糾正措施恢復數(shù)據(jù)原狀，并對違規(guī)者實施嚴厲懲戒，包括但不限于紀律處分、終止合作、法律追責。

審計

公司每兩年開展一次外部風險評估，每年開展一次內(nèi)部風險評估。公司數(shù)據(jù)中心建立了數(shù)據(jù)庫審計系統(tǒng)，對所有的數(shù)據(jù)庫操作進行記錄和審計，保證非法修改可以溯源。此外，集團還上線了安全感知平臺，將所有的安全日志統(tǒng)一收集，進行自動化關(guān)聯(lián)分析，從而最大化防范化解數(shù)據(jù)及隱私安全風險。

華測檢測認證集團股份有限公司
2024年8月