隐私与数据保护

网龙作为全球领先的互联网社区创建者，对隐私与的数据安全相关工作高度重视。中国是全球最重视互联网用户个人信息保护的国家之一，2020年3月，全国信息安全标准化技术委员会发布了国家标准GB/T 35273-2020《信息安全技术个人信息安全规范》，2021年3月，国家网信办、工信部、公安部和国家市场监督管理总局联合发布了《常见类型移动互联网应用程序必要个人信息范围规定》，2021年5月，《民法典》经全国人大表决通过；6月，《数据安全法》表决通过；8月，《个人信息保护法》表决通过。这些法律法规和国家标准，从整体上完善了信息安全的法律保护体系。网龙以GB/T 35273-2020《信息安全技术个人信息安全规范》的内容为框架，形成覆盖全业务范围的信息安全管理体系，主要有：

数据收集、传输、存储、使用等全周期防控措施

明确数据主体权利

投诉管理机制

数据泄露报告机制

数据保护影响评估

强化组织信息安全管理要求

持续与监管机构的合作等主要的信息处理场景

以下为网龙用户隐私与数据保护工作的相关原则。

信息收集阶段：

合法性原则：不欺骗、不误导、不隐瞒、不从非法渠道获取；

最小必要原则：仅采集与实现产品或服务有直接关联的信息；

自主选择原则：明确独立业务场景，不捆绑服务，由用户自主选择；

授权同意原则：获得用户授权同意前告知用户收集个人信息的目的、方式和范围，不授权不采集。

信息存储、传输阶段：

时间最短原则：个人信息存储期限为实现处理目的所必要的最短时间；

去标识化管理：采集个人信息后，将个人信息去标识化处理，分开存储并加强访问和使用权限管理；

加密措施：传输和存储个人敏感信息时，采用符合密码管理相关国家标准密码技术进行加密处理。

个人信息使用阶段：

访问控制原则：建立最小授权访问控制策略，修改、下载等重要操作设置内部审批流程；

目的限制原则：个人信息使用与采集时声明的目的统一，超出使用范围需再次获得授权；

公开与展示限制：为了降低个人信息的泄漏风险，网龙在个人信息展示环节都会采用脱敏相关技术以保障个人信息安全。

网龙承诺，在集团全体业务运营主体中保障以下个人信息主体权利：用户有明确权利和便捷的渠道对所提供的个人信息进行查询、更正、删除、撤回授权、注销账号等操作。

个人信息跨境问题：

为保证用户隐私和个人数据安全，网龙严格遵守全部个人数据跨境问题的相关法律法规。我们通过有效的业务架构和科技基础设施实现了在岸和离岸个人数据的分隔管理。未来，我们将持续努力，采纳全球最高标准，进一步提升隐私和数据安全。

员工培训与外部审计

与商业道德政策一样，员工培训覆盖集团全体相关员工，并要求相关供应商、合作方采取同等标准落实隐私和数据保护要求。外部审计方面，集团已通过通过权威第三方检测和认证机构的ISO/IEC27001信息安全管理体系的认证评估，每年均会聘请第三方机构对公司目前运营系统进行等级保护三级测评（请参考国家标准GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》）。集团的海外子公司如Promethean等，也已经获得了美国的iKeepSafe FERPA和COPPA等相关认证。