网络数据安全和用户信息保护自证报告

网络数据安全和用户信息保护自证报告

深圳市合易网络技术有限公司（以下简称本公司）根据《网络安全法》、《电信和互联网用户个人信息保护规定》、《电信和互联网用户个人电子信息保护通用技术要求和管理要求（YD/T 2692-2014）》等相关法律法规和标准要求，采取了适当措施，确保了网络数据和用户个人信息安全。现将有关详细情况汇报如下：

一、数据分级分类管理措施情况

本公司建立数据分级分类管理制度，强化落实，并且对制度不断补充和完善，重要数据和用户个人信息的分级分类方法严谨科学，执行良好。

（一）权限分级管理

本公司实行了信息系统操作权限分级管理，切实保障网络信息安全，对网络运行进行监控、防病毒、防入侵。我们有专门的权限设置模块，可以为操作人员按照功能点配置是否有进入功能点的权限。主要是根据相关人员的角色来划分权限的，不同的操作人员有不同的角色，各司其职，保障了网络信息安全。

本公司安装了远程监控软件，可远程维护和远程监控工作站，及时解决发现的问题。每台机器上安装了硬盘保护系统，同时安装了瑞星杀毒软件，安装了U盘锁软件，封住了外来移动盘，防止病毒的入

侵，保证了网络的安全。每天实行两次备份数据库，同时备份到别的机器上一份，做到双保险。做到数据尽量少的丢失，保证数据的完整。

（二）做好数据保护工作

本公司深刻认识到互联网和产业持续健康发展的前提，是必须保护好相关权利人的合法权利，这样才能确保数据的稳定和质量。同时，数据信息往往涉及到广大自然人、法人及其他组织的个人隐私和商业秘密，如果只顾商业价值而不保护数据信息权利人的权益及数据的安全，无异于竭泽而渔、饮鸩止渴。

本公司很好地解决了数据的利用和保护二者之间的矛盾：在数据的使用和交换过程中，本公司遵循先保护，再合理利用及共享发展的原则，尽可能平衡和兼顾促进发展与保障权益。在权利人的权利和数据使用人的利益相冲突时，先保护“在先”权利人的合法权益不受侵害，通过对数据信息的获取、使用和共享给予一定的限制，并对用户进行积极引导，为数据保护及使用提供法律和制度保障。本公司始终以按“保护—合理利用—交换—共享”顺序的发展思维，保证网络数据和用户信息的安全

（三）认真落实数据信息的分类分级保护制度

“人类正从IT时代走向DT时代”，对数据信息的使用、交换和共享能够更有效的配置资源、降低成本、提高效率。现阶段数据信息已经成为了重要的生产要素，能够为企业带来巨大的经济利益，这已经成为普遍认可的共识，其重要性和经济价值日益凸显，本公司切实认识到这一问题的重要性，切实加强和落实了对数据信息的保护制

度。

本公司未采取对所有的商业数据信息和个人信息都要实行“一刀切”式的允许或者禁止使用，而是区分可使用、可交易的商业数据信息和不可使用、不可交易的（商业秘密等）数据信息，划分个人一般信息和个人隐私（或敏感）信息的边界，根据相关数据信息的属性（包括商业属性和人身属性等）、所属领域和类别、对数据信息权利人造成的影响等多方面对其分类，在此基础上根据具体的类别给予相应（级别）的保护。

1. 对于商业秘密、个人隐私信息的泄露、盗取和非法使用采取“零容忍”

本公司充分考虑到相关的数据、信息的类型和性质，对商业秘密和个人隐私要严格保护，除非经过数据信息权利人的许可外，本公司禁止任何员工使用、交易或者披露他人的商业秘密和个人隐私。对于商业秘密、个人隐私信息的泄露、盗取和非法使用采取了“零容忍”的态度，对违法违纪行为本公司给予严厉处分。

2.加大对商业秘密的保护级别和力度

根据相关法律的规定，商业秘密是指不为公众所知悉的、且能为权利人带来经济利益，并经权利人采取相应的保密措施的技术信息和经营信息。而商业数据信息中包含的商业秘密，其价值往往要大于普通商业信息，对权利人的影响重大，因此本公司加大了对商业秘密的保护级别和力度。

3. 对个人隐私信息也实行分级保护

本公司对个人隐私信息也实行分级保护。通常所说的个人隐私信息，是指不为公众所知悉的、公民个人生活中不愿为（往往是一定范围以外的）他人所知悉的私密信息。例如，最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条就以列举的方式规定了个人隐私信息包含的部分具体内容，包括自然人的基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等。个人信息中包含个人隐私信息，本公司也实行了分级保护。

本公司对个人信息保护采取了以下有效措施：

（1）确定各部门、岗位和分支机构的用户个人信息安全管理责任；

（2）建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度；

（3）对工作人员及代理人实行权限管理，对批量导出、复制、销毁信息实行审查，并采取防泄密措施；

（4）妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体，并采取相应的安全储存措施；

（5）对储存用户个人信息的信息系统实行接入审查，并采取防入侵、防病毒等措施；

（6）记录对用户个人信息进行操作的人员、时间、地点、事项等信息；

（7）按照本公司的规定开展通信网络安全防护工作。

二、数据采集面临的安全与隐私挑战

本公司收集用户个人信息符合相关国家法律法规和相关标准规定；采集用户数据前认真履行告知义务的情况，在获得用户同意的情况下进行采集。

对于数据采集来说，不管是第三方分析工具，还是企业的第一方分析系统，在分析用户行为时，通常都会选择在客户端（一般是安卓、iOS 和Web 端）采集用户的行为，然后经过打包、压缩等一系列处理步骤，发送给服务端，再进行存储和分析。由于客户端是在用户自己的网络环境下运行的，客户端与服务端之间的数据传输，是需要通过公网的，因此，也会带来一系列数据采集上的安全与隐私的问题。

本公司经过认识梳理，将数据采集面临的安全与隐私挑战这些问题概括为以下几方面：

（一）数据采集的完整性问题

因为在客户端采集数据，为了保证尽量不影响用户体验，所以在采集数据时，一般不会同步发送数据，而是在本地先做缓存，然后再整体压缩、打包并在网络好时一起通过公网进行传输。如果客户端一直网络不好，传输失败时，则会累计在本地，而本地缓存会有限额，或者缓存数据全部发送完毕前，App 就被卸载则都会丢掉部分数据。在Web 端使用JS 传输数据时，虽然是同步发送，不过由于公网传输的网络问题，一般也会有3% 到7% 的数据丢失，并且基本难以避免。

（二）数据采集的隐私性问题

第三方可能会在传输过程中截获传输的数据，从而拿到传输的这