用友數(shù)據(jù)安全與隱私保護主要政策制度及覆蓋范圍：

• 

  主要政策制度

  《用友集團數(shù)據(jù)管理制度》《用友集團個人信息保護管理規(guī)范》《用友集團運維安全管理規(guī)范》《用友集團互聯(lián)網(wǎng)出口安全管理辦法》
• 

  覆蓋范圍

  集團本部所有境內(nèi)組織
• 

  數(shù)據(jù)安全

  制定《產(chǎn)品安全與應(yīng)急響應(yīng)規(guī)范》，建立產(chǎn)品安全與與應(yīng)急響應(yīng)團隊，明確漏洞收集、評估、修復(fù)、披露等數(shù)據(jù)保護措施的規(guī)范要求，并納入產(chǎn)品全生命周期的管理。
  2022年4月正式發(fā)布
  
  制定《YonBIP 網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案》，建立應(yīng)急組織架構(gòu)，按照安全事件分類，擬定網(wǎng)絡(luò)中斷、黑客攻擊、大規(guī)模病毒（含惡意軟件）攻擊、數(shù)據(jù)庫系統(tǒng)故障、設(shè)備硬件故障的處理流程。每年至少舉辦一次應(yīng)急計劃培訓(xùn)，至少開展一次應(yīng)急行動演練。
  
  制定《互聯(lián)網(wǎng)出口安全管理辦法》，明確網(wǎng)絡(luò)區(qū)域和互聯(lián)網(wǎng)出口管理部門的職責劃分，明確開通互聯(lián)網(wǎng)出口的流程與要求，遵循非必要不開放原則，嚴控網(wǎng)絡(luò)安全出口管理中違規(guī)相關(guān)違規(guī)行為。
  2022年4月正式發(fā)布
  
  制定《集團內(nèi)容安全管理規(guī)范》，在集團內(nèi)部大力開展內(nèi)容安全治理，所有涉及用戶注冊、內(nèi)容發(fā)布的系統(tǒng)都強制接入內(nèi)容安全審核平臺，同時各業(yè)務(wù)部門配套審核人員進行人工核驗，確保集團業(yè)務(wù)合規(guī)運營。
  2022年9月正式發(fā)布
  
  制定《賬號、密碼安全管理辦法》，對賬號進行分類管理，規(guī)范各類賬號的密碼設(shè)置要求。
  2022年7月正式發(fā)布
  
  制定《數(shù)據(jù)安全管理制度（試行）》，落實《數(shù)據(jù)安全法》，明確數(shù)據(jù)歸屬權(quán)、數(shù)據(jù)分級分類以及數(shù)據(jù)生命周期管理的各項要求。
  2022年8月修訂發(fā)布
  
  制定《移動應(yīng)用安全管理規(guī)范》，規(guī)范移動 APP 上線的安全管控要求及流程。
  2022年10月正式發(fā)布
• 

  隱私保護

  制定《用友集團個人信息保護管理規(guī)范》，對個人信息的收集、傳輸和存儲、使用等作出明確規(guī)定與承諾，進一步明確個人信息主體對其信息的刪除權(quán)、查詢和變更權(quán)、復(fù)制和轉(zhuǎn)移權(quán)、個人信息授權(quán)撤回權(quán)，確保集團在個人信息與數(shù)據(jù)處理上的合規(guī)合法，防止個人信息泄露或非法使用，切實保障客戶利益。
  2022年8月正式發(fā)布

數(shù)據(jù)控制權(quán)限：

• 

  相關(guān)政策

  《用友集團數(shù)據(jù)管理制度》
• 

  內(nèi)容節(jié)選

  “第601條 數(shù)據(jù)運營管理者要嚴格規(guī)范數(shù)據(jù)使用，建立數(shù)據(jù)使用申請與審批流程。數(shù)據(jù)使用者在申請使用數(shù)據(jù)時，需要在申請單中對使用原因和使用期限進行詳細說明。數(shù)據(jù)運營管理者應(yīng)根據(jù)其必要性和合理性進行審批。”
  公司為客戶提供了個人信息刪除渠道，同時如果個人信息主體發(fā)現(xiàn)公司違反法律法規(guī)規(guī)定、違反與個人信息主體的約定及認為公司不再有必要持有個人信息主體的的個人數(shù)據(jù)時，公司會根據(jù)要求刪除個人數(shù)據(jù)。
  在滿足國家法律法規(guī)、行政法規(guī)及行業(yè)主管部門有關(guān)規(guī)定的、前提下，公司設(shè)置的個人信息存儲期限為實現(xiàn)處理目的所必要的最短時間。

數(shù)據(jù)泄露/事故的應(yīng)對：

• 

  相關(guān)政策

  《用友集團數(shù)據(jù)管理制度》《用友集團個人信息安全管理規(guī)范》
• 

  內(nèi)容節(jié)選

  《用友集團數(shù)據(jù)管理制度》“第704條 數(shù)據(jù)運營管理者應(yīng)建立數(shù)據(jù)安全事件的應(yīng)急響應(yīng)機制，制定數(shù)據(jù)安全應(yīng)急預(yù)案，并每年進行一次應(yīng)急演練工作?！薄队糜鸭瘓F個人信息安全管理規(guī)范》”第602條 3、如個人信息安全事件已造成危害，應(yīng)及時將事件相關(guān)情況以郵件、電話、推送通知等方式告知受影響的個人信息主體，難以逐一告知個人信息主體時，應(yīng)采取合理、有效的方式發(fā)布有關(guān)的警示信息；如發(fā)生超過10萬人個人信息或者關(guān)系民生、公共利益的敏感個人信息泄露、損壞、丟失的安全事件，應(yīng)及時通過集團網(wǎng)絡(luò)安全部門將有關(guān)情況上報監(jiān)管機構(gòu)。”

對信息安全系統(tǒng)的審計：

• 

  相關(guān)政策

  《用友集團數(shù)據(jù)管理制度》《用友集團運維安全管理規(guī)范》《用友集團互聯(lián)網(wǎng)出口安全管理辦法》
• 

  內(nèi)容節(jié)選

  《用友集團數(shù)據(jù)管理制度》：數(shù)據(jù)安全監(jiān)管者需要對本級組織定期開展數(shù)據(jù)安全監(jiān)督檢查，形成檢查報告提交公司的相關(guān)監(jiān)管部門以供審計。
  《用友集團運維安全管理規(guī)范》：各運維部門在日常運維過程中，需要保留各類審批和執(zhí)行記錄，公司的相關(guān)監(jiān)管部門會定期審計各項辦法和細則的執(zhí)行情況。
  《用友集團互聯(lián)網(wǎng)出口安全管理辦法》：公司的相關(guān)監(jiān)管部門會定期審計開通互聯(lián)網(wǎng)出口的系統(tǒng)，并形成審計報告。

第三方處理個人數(shù)據(jù)：

• 

  相關(guān)政策

  《用友集團個人信息保護管理規(guī)范》
• 

  內(nèi)容節(jié)選

  “第501條：1、如涉及個人信息委托處理，應(yīng)通過合作協(xié)議、合同條款等書面方式明確規(guī)定被委托方的責任與義務(wù)?！薄暗?04條：1. 如與其他第三方共同處理個人信息，應(yīng)當通過合同等形式與第三方共同確定應(yīng)滿足的個人信息安全要求，以及在個人信息安全方面自身和第三方的權(quán)利及應(yīng)分別承擔的義務(wù)，并向個人信息主體明確告知?！?

最小化個人信息收集：

• 

  相關(guān)政策

  《用友個人信息保護管理規(guī)范》
• 

  內(nèi)容節(jié)選

  “第202條：1、收集個人信息的類型應(yīng)當與實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)。直接關(guān)聯(lián)是指沒有該等信息的參與，產(chǎn)品或服務(wù)的功能無法實現(xiàn)。不得超范圍收集個人信息。2、收集個人信息的方式應(yīng)采取對個人權(quán)益影響最小的方式?！?br> 拓展閱讀鏈接：《友空間最小用戶權(quán)限實例》（跳轉(zhuǎn)PDF）

合作伙伴的合規(guī)管理：

• 

  相關(guān)政策

  《用友個人信息保護管理規(guī)范》
• 

  內(nèi)容節(jié)選

  “第501條：2、如需委托第三方機構(gòu)處理公司收集的個人信息時，委托行為不應(yīng)超出已征得個人信息主體授權(quán)同意的范圍，相關(guān)業(yè)務(wù)部門應(yīng)與集團網(wǎng)絡(luò)安全部共同對被委托方進行評估，確保其具備足夠個人信息保護水平。包括不限于：安全資質(zhì)、個人信息保護規(guī)范/數(shù)據(jù)安全規(guī)范制度、能力及實踐等?！?