數(shù)據(jù)安全

一、數(shù)據(jù)安全的原則

進(jìn)行任何個(gè)人信息等數(shù)據(jù)處理活動(dòng)，簡(jiǎn)博研究遵循以下原則：

1.權(quán)責(zé)一致原則：采取管理、技術(shù)和其他必要的措施保障個(gè)人信息等數(shù)據(jù)的安全，對(duì)其個(gè)人信息等數(shù)據(jù)處理活動(dòng)對(duì)個(gè)人信息主體合法權(quán)益造成的損害承擔(dān)責(zé)任。

2.最小必要原則：只處理滿足個(gè)人信息主體授權(quán)同意的目的所需的最少個(gè)人信息類型和數(shù)量。目的達(dá)成后，應(yīng)及時(shí)刪除個(gè)人信息。

3.確保安全原則：具備與所面臨的安全風(fēng)險(xiǎn)相匹配的安全能力，并采取足夠的管理措施和技術(shù)手段，保護(hù)個(gè)人信息的保密性、完整性和可用性。

二、數(shù)據(jù)安全的基本要求

簡(jiǎn)博研究按照適用數(shù)據(jù)保護(hù)法律的要求，采取必要措施為數(shù)據(jù)處理活動(dòng)提供充分的安全保障。這些措施應(yīng)當(dāng)考慮到現(xiàn)有技術(shù)水平，實(shí)施成本，處理的性質(zhì)、范圍、背景和目的，以及給個(gè)人信息主體的權(quán)利和自由造成損害的風(fēng)險(xiǎn)的可能性。包括但不限于：

1.建立符合數(shù)據(jù)保護(hù)法律要求的個(gè)人信息保護(hù)管理部門、工作流程和安全管理制度。

2.涉及網(wǎng)絡(luò)安全的設(shè)備、技術(shù)等內(nèi)容，均符合國(guó)家相關(guān)法律法規(guī)、行業(yè)標(biāo)準(zhǔn)及國(guó)家標(biāo)準(zhǔn)有關(guān)內(nèi)容及要求，并已經(jīng)取得相應(yīng)許可或資質(zhì)證明。

3.貫徹訪問(wèn)權(quán)限的人數(shù)最小化以及訪問(wèn)信息的數(shù)量最小化原則，定期審查數(shù)據(jù)的重要操作（如數(shù)據(jù)的批量導(dǎo)出、復(fù)制、銷毀等），并采取防泄密措施；對(duì)數(shù)據(jù)的重要操作設(shè)置內(nèi)部審批流程，并對(duì)安全管理人員、數(shù)據(jù)操作人員、審計(jì)人員的角色進(jìn)行分離設(shè)置。

4.采用數(shù)據(jù)分類、備份、加密等措施，確保數(shù)據(jù)在存儲(chǔ)與傳輸過(guò)程的安全性、保密性與完整性；妥善保管記錄數(shù)據(jù)的紙介質(zhì)、光介質(zhì)、電磁介質(zhì)等載體，并采取相應(yīng)的安全儲(chǔ)存措施；對(duì)個(gè)人信息進(jìn)行去標(biāo)識(shí)化處理，將可用于恢復(fù)識(shí)別個(gè)人的信息與去標(biāo)識(shí)化后的信息分開(kāi)存儲(chǔ)并加強(qiáng)訪問(wèn)和使用的權(quán)限管理。

5.采取措施以防止對(duì)存放個(gè)人信息的場(chǎng)所和設(shè)備的未經(jīng)授權(quán)的物理訪問(wèn)；采取措施確保數(shù)據(jù)得到保護(hù)而不受意外破壞或丟失。

6.建立安全事件響應(yīng)機(jī)制和應(yīng)急預(yù)案。定期（至少每年一次）組織內(nèi)部相關(guān)人員進(jìn)行應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練，使其掌握崗位職責(zé)和應(yīng)急處理策略和規(guī)程。合作任何一方對(duì)相關(guān)數(shù)據(jù)已發(fā)生或存在的潛在安全問(wèn)題，特別是個(gè)人信息安全事件，通過(guò)郵件、傳真或其他書面方式向?qū)Ψ郊皶r(shí)進(jìn)行通報(bào)，第一時(shí)間采取有效措施梳理，防止安全事件進(jìn)一步擴(kuò)大并盡最大可能消除不利影響。

7.數(shù)據(jù)合作情況的記錄與保存。按照數(shù)據(jù)保護(hù)法律的要求或自身內(nèi)部管理制度要求保存數(shù)據(jù)處理的記錄。

8.如合作方要求，允許和協(xié)助合作對(duì)方的授權(quán)代表或者委派的第三方審計(jì)機(jī)構(gòu)對(duì)數(shù)據(jù)提供方進(jìn)行審計(jì)，以確認(rèn)提供的數(shù)據(jù)和對(duì)數(shù)據(jù)處理成果的使用是否符合適用數(shù)據(jù)保護(hù)法律。若審計(jì)或檢查活動(dòng)涉及的商業(yè)秘密，遵守相應(yīng)保密義務(wù)，但為配合監(jiān)管部門調(diào)查提供必要的信息或?yàn)榻鉀Q雙方爭(zhēng)議所必須的信息披露（如產(chǎn)生糾紛后向司法/執(zhí)法/行政機(jī)構(gòu)或已簽署保密協(xié)議的專業(yè)咨詢機(jī)構(gòu)披露）不視為違反保密義務(wù)。

9.未經(jīng)合作方書面同意，不將數(shù)據(jù)或數(shù)據(jù)處理成果向中華人民共和國(guó)大陸以外的國(guó)家和區(qū)域提供。

10.除非經(jīng)合作方書面同意確認(rèn)，不將達(dá)成合作一事情進(jìn)行媒體宣傳。

11.除非經(jīng)雙方共同書面同意確認(rèn)，不得將合同的權(quán)利、義務(wù)和/或責(zé)任以任何方式轉(zhuǎn)讓給任何第三方。

12.根據(jù)有關(guān)數(shù)據(jù)保護(hù)法律的規(guī)定，對(duì)其各自以數(shù)據(jù)處理者的身份處理的個(gè)人信息分別履行數(shù)據(jù)處理者的義務(wù)，并分別享有且分別行使其作為數(shù)據(jù)處理者的合法權(quán)益。為個(gè)人信息主體提供權(quán)利響應(yīng)路徑，配合響應(yīng)個(gè)人信息主體權(quán)利要求，予以配合并提供相關(guān)信息，以幫助個(gè)人信息主體實(shí)現(xiàn)其合法權(quán)益。

13.如因保護(hù)數(shù)據(jù)安全配合監(jiān)管部門要求等需要，需合作方配合處理的，雙方互相配合，妥善解決相關(guān)事宜。若收到監(jiān)管部門的質(zhì)詢、處罰或任何人的索賠等，其應(yīng)在收到質(zhì)詢、處罰、索賠等通知后24小時(shí)內(nèi)以書面形式通知另一方，并將雙方損失控制在最小范圍內(nèi)。

14.其他為履行合作方數(shù)據(jù)安全的其他安全保護(hù)措施，特別是雙方針對(duì)合作項(xiàng)目提出的安全要求或中國(guó)法律、法規(guī)、國(guó)家標(biāo)準(zhǔn)提出的信息保護(hù)與安全要求。