隐私与数据安全政策

在 Leads Technologies Limited,我们致力于保护客户数据的隐私与安全。我们的全面隐私与数据安全政策旨在保护敏感信息,确保符合法律和监管标准,并与客户和利益相关者建立信任与透明度。以下是我们有关隐私与数据安全政策及实践的详细概述。

1.数据收集与使用

  • 目的限制:
    我们仅为特定、明确和合法的目的收集个人和商业数据,包括提供和提升我们的服务、履行合同义务、遵守法律要求以及改善用户体验。我们确保所收集的数据与这些目的相关且仅限于必要的范围。
  • 透明度与同意:
    我们对所收集的数据、其用途及原因完全透明。在收集任何个人数据之前,我们会告知数据主体其权利,并在需要时获得其明确同意。这些信息通过清晰且易于理解的隐私声明和同意表单提供。
  • 数据分析与侧写:
    在使用数据分析或侧写时,我们尊重个人隐私。我们向数据主体提供有关其数据在分析和侧写中的使用方式的资讯,并允许其选择退出。

2.数据最小化与保留

  • 数据最小化:
    根据数据最小化原则,我们确保仅收集实现合法业务目标所需的数据。避免不必要或冗馀的数据收集,从而减少数据泄露的风险并增强数据安全性。
  • 数据保留政策:
    我们的数据保留政策规定,仅在实现收集目的或遵守法律要求所需的期间内保留个人数据。我们定期审查所持有的数据,并安全地删除或匿名化不再需要的数据。
  • 自动删除流程:
    为进一步加强数据最小化,我们实施了自动删除流程,确保在保留期限届满后数据被从我们的系统中移除,除非法律另有要求。

3.数据安全

  • 加密标准:
    我们採用最先进的加密协议来保护数据在传输和存储过程中的安全。所有敏感数据均使用 AES-256 等先进算法加密,以确保其免受未经授权的访问。
  • 访问管理:
    我们的访问管理政策确保对数据的访问受到严格控制,仅限于授权人员。根据工作角色和职责授予访问权限,遵循最小特权原则。所有访问请求均经审核,访问权限也会定期审计。
  • 多因素身份验证 (MFA):
    为增强安全性,我们要求所有访问敏感数据的系统使用多因素身份验证。这为传统密码之外提供了额外的安全层。

4.数据主体权利

  • 知情权:
    数据主体有权了解我们持有的有关其的个人数据、数据处理的原因以及数据共享对象。我们通过详细的隐私政策和应数据主体的要求提供这些信息。
  • 访问权与数据可携性:
    个人可以随时要求访问其个人数据,在适用情况下,还可以要求将其数据以结构化、常用且机器可读的格式转移到另一服务提供商。
  • 更正与删除权:
    我们会根据数据主体的要求及时更正我们持有的个人数据中的任何不淮确之处。此外,在特定情况下(如数据不再需要或撤回同意),数据主体有权要求删除其个人数据。
  • 反对与限制处理的权利:
    数据主体有权反对其数据的处理或要求在特定情况下限制处理。我们尊重这些权利,并确保这类请求依据相关法律进行处理。

5.第三方数据共享

  • 严格的供应商管理:
    我们仅与符合我们严格隐私和安全标准的第三方供应商合作。在进行任何数据共享之前,所有供应商均需经过严格的评估流程,以确保他们具备必要的保护措施。
  • 数据处理协议 (DPA):
    所有与我们共享数据的第三方供应商均需签署数据处理协议,明确规定数据处理活动的范围、目的和限制。这些协议还包括有关数据保护和事件响应的义务。
  • 跨境数据传输:
    当数据在国际间传输时,我们确保其受到适当的保护措施的保护,如标准合同条款、企业约束规则或其他法律认可的机制。我们还遵守我们业务所在所有司法管辖区的当地数据保护法律。

6.合规与监管遵守

  • 全球合规:
    我们遵守所有相关的数据保护法规,包括《一般数据保护条例》(GDPR)、《加利福尼亚消费者隐私法案》(CCPA)以及其他当地和国际数据保护法规。我们的合规工作会持续检讨和更新,以配合不断变化的法律要求。
  • 数据保护官 (DPO):
    我们已任命一名数据保护官,负责监督我们的数据保护策略,确保遵守监管要求,并作为数据主体和监管机构的联络人。

7.事件响应与泄露通知

  • 综合事件响应计划:
    我们制定了详细的事件响应计划,规范了数据泄露和其他安全事件的检测、响应和减少影响的程序。该计划包括预先定义的角色和职责、通信协议和升级程序。
  • 泄露通知协议:
    在发生数据泄露事件时,我们承诺按照法律要求通知受影响的个人和相关监管机构。通知会及时发出,提供有关泄露事件、受影响数据及减少影响措施的清晰而简洁的信息。
  • 事后审查:
    在任何事件发生后,我们会进行全面的事后审查,以确定根本原因、评估我们的应对效果,并实施改进措施以防止未来发生类似事件。

8.员工培训与意识提升

  • 持续培训计划:
    我们为所有员工提供定期的数据保护原则、隐私法规和内部安全政策的培训。这些培训旨在确保每位员工了解其在保护数据方面的角色,并能识别潜在威胁。
  • 钓鱼模拟和安全演练:
    为了增强意识和应对准备,我们定期进行钓鱼模拟和安全演练。这些演习帮助员工识别并应对安全威胁,加强对警惕性的重视。
  • 隐私文化:
    我们在组织内部培养隐私文化,鼓励所有员工在日常工作中优先考虑数据保护。这种文化得到了持续的沟通和领导层对隐私与数据安全的承诺的支持。

9.持续改进

  • 政策审查与更新:
    我们的隐私与数据安全政策会定期审查与更新,以确保其在面对不断变化的威胁和监管变化时依然有效。我们也会关注行业最佳实践,并将其纳入我们的政策和程序中。
  • 客户与利益相关者的反馈:
    我们积极寻求客户和利益相关者对我们隐私与数据安全实践的反馈。这些反馈用于推动改进,确保我们的政策符合受众的期望。
  • 数据安全创新:
    我们致力于探索并採用能增强数据安全的新技术和方法,这包括密切关注加密技术、访问控制和事件检测技术的发展。
× WeChat QR Code

Scan this QR code to add us on WeChat

× Line QR Code

Scan this QR code to add us on Line