隱私與數據安全

政策方針

網龍作為全球領先的互聯網社區的創建者，對隱私與數據安全相關工作高度重視。中國是全球最重視互聯網使用者個人信息保護的國家之一，2020年3月，全國信息安全標準化技術委員會發佈了國家標準GB/T 35273-2020《信息安全技術 個人信息安全規範》，2021年3月，國家網信辦、工信部、公安部和國家市場監督管理總局聯合發佈了《常見類型移動互聯網應用程式必要個人信息範圍規定》，2021年5月，《民法典》經全國人大表決通過；6月，《數據安全法》表決通過；8月，《個人信息保護法》表決通過。這些法律法規和國家標準，從整體上完善了信息安全的法律保護體系。網龍以GB/T 35273-2020《信息安全技術 個人信息安全規範》的內容為框架，形成覆蓋全業務範圍的信息安全管理體系，主要有：

數據收集、傳輸、存儲、使用等全週期防控措施

明確數據主體權利

投訴管理機制

數據洩露報告機制

數據保護影響評估

強化組織信息安全管理要求

持續與監管機構的合作等主要的信息處理場景

以下為網龍用戶隱私與數據保護工作的相關原則。

信息收集階段：

合法性原則：不欺騙、不誤導、不隱瞞、不從非法渠道獲取；

最小必要原則：僅採集與實現產品或服務有直接關聯的信息；

自主選擇原則：明確獨立業務場景，不捆綁服務，由使用者自主選擇；

授權同意原則：獲得使用者授權同意前告知使用者收集個人信息的目的、方式和範圍，不授權不採集。

信息存儲、傳輸階段：

時間最短原則：個人信息存儲期限為實現處理目的所必要的最短時間；

去標識化管理：採集個人信息後，將個人信息去標識化處理，分開存儲並加強訪問和使用權限管理；

加密措施：傳輸和存儲個人敏感信息時，採用符合密碼管理相關國家標準密碼技術進行加密處理。

個人信息使用階段：

存取控制原則：建立最小授權存取控制策略，修改、下載等重要操作設置內部審批流程；

目的限制原則：個人信息使用與採集時聲明的目的統一，超出使用範圍需再次獲得授權；

公開與展示限制：為了降低個人信息的洩漏風險，網龍在個人信息展示環節都會採用脫敏相關技術以保障個人信息安全。

網龍承諾，在集團全體業務運營主體中保障以下個人信息主體權利：用戶有明確權利和便捷的渠道對所提供的個人信息進行查詢、更正、刪除、撤回授權、註銷帳號等操作。

個人信息跨境問題：

為保證使用者隱私和個人資料安全，網龍嚴格遵守全部個人資料跨境問題的相關法律法規。我們通過有效的業務架構和科技基礎設施實現了在岸和離岸個人資料的分隔管理。未來，我們將持續努力，採納全球最高標準，進一步提升隱私和資料安全。

員工培訓與外部審計

與商業道德政策一樣，員工培訓覆蓋集團全體相關員工，並要求相關供應商、合作方採取同等標準落實隱私和數據保護要求。外部審計方面，集團已通過通過權威協力廠商檢測和認證機構的ISO/IEC27001信息安全管理體系的認證評估，每年均會聘請協力廠商機構對公司目前運營系統進行等級保護三級測評（請參考國家標準GB/T 28448-2019《信息安全技術網絡安全等級保護測評要求》）。集團的海外子公司如Promethean等，也已經獲得了美國的iKeepSafe FERPA和COPPA等相關認證。