第1章 总则

1.1 目的

本规则是为了适当的处理上海艾杰飞人才管理咨询有限公司(以下简称 "RGF")持有的所有个人信息而规定所必需的事项。RGF认识到涉及个人信息的价值和风险,以维护和发展为目的,建立RGF持有的所有个人信息得到适当的处理状态。本规则适用于RGF全体员工。RGF的所有董事和员工都应遵守本规则,适当地处理个人信息,并尽最大努力防止RGF持有的所有个人信息的泄露。 这些规定也应比照适用于临时员工(也包括小时工、实习生)、派遣人员和分包商(包括与RGF签订分包协议的公司的员工),他们参与的工作涉及处理RGF持有的个人信息。(本规则中,RGF的董事和员工、参与RGF业务的临时员工、派遣人员以及承包商统称为 "员工等")。 

基于,原上海艾杰飞人力资源有限公司(以下简称“RGF HRA”)与艾杰飞睿识人才服务(上海)有限公司(以下简称“RGF PR”)合并为一个法人主体,即RGF。2023年6月30日起,RGF HRA与RGF PR统一适用此规则。

 

1.2 用语和定义

1.2.1 个人信息

以下个人信息以及RGF获得的所有个人信息均受这些规则约束。个人信息包括以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,但是不包括被匿名化(是指通过对个人信息进行处理从而无法识别特定的自然人,且不能复原的处理过程)处理的信息。

(1) 求职者的个人信息

本规则适用的求职者个人信息(以下简称 "求职者信息")的范围是RGF在其业务过程中处理的所有求职者信息。

(2) 商业伙伴的员工的个人信息

本规则所适用的商业伙伴员工的个人信息(以下简称 "商业伙伴员工信息")的范围仅限于招聘公司和商业伙伴的员工信息。是指与RGF有业务往来或考虑有业务往来的公司和组织的员工的个人信息。

(3) 员工等的个人信息。

本规则适用的RGF员工等的个人信息(以下简称 "员工信息")的范围是所有董事和员工的个人信息,临时员工及承包商的个人信息,以及RGF在用工管理过程中处理的派遣人员的个人信息。 但是,派遣人员本来就以《劳动合同法》等为基础,由派遣方来统筹派遣人员的个人信息,所以RGF将以适当的方式处理派遣员工的个人信息。

 

1.2.2 个人

个人被定义为由个人信息所标识或者关联的自然人。

 

1.2.3 个人的同意

个人的同意是指个人在得到有关处理个人信息的信息后,表示同意处理与自己有关的个人信息的意向。如果当事人缺乏行为能力,还必须获得法定代理人或其他人的同意。

 

1.2.4 求职者

求职者是指在职业转换方面接受RGF建议和具体支持的个人。

 

1.2.5 个人信息的处理

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

1.2.6 个人信息保护管理系统

个人信息保护管理系统是以保护RGF在自身业务中使用的个人信息的个人权益,同时考虑到其有用性为目的,是一个包括政策、制度、计划、实施、检查和审查的管理系统。

1.2.7 不适用

不适用是指不符合中华人民共和国的《民法典》,《个人信息保护法》及《网络安全法》等有关个人信息保护的法律法规的要求。

 

1.3 个人信息保护管理系统的运用

1.3.1 操作程序的明确化

RGF明确以保其信息保护管理系统的实施为目的的操作程序。

1.3.2 适用法律等

(1) 在处理个人信息时,RGF将遵守包括《民法典》、《个人信息保护法》及《网络安全法》等相关法律、法规、规章、政策。

(2)信息安全管理室经个人信息处理负责人批准,将保存最新版本的RGF的个人信息保护相关法律法规,以便董事、员工和外部人员在必要时参考。

1.3.3 个人信息保护方针

(1)个人信息安全责任人(RGF总经理)应根据明确的个人信息保护理念,制定、实施和维护与以下项目有关的个人信息保护政策

(a) 考虑到业务的内容和规模的适当的对个人信息的处理,

(b) 防止对个人信息的非法访问、个人信息的泄漏、丢失或损坏,

(c) 对投诉、商谈和咨询做出回应,

(d) 遵守有关处理个人信息的法律和法规、国家准则和其他标准。不断完善个人信息保护管理制度。

 

(2)RGF将本规则以书面形式向员工进行公示,并向客户进行公示。

 

1.3.4 内部管理制度及操作规程

(1) RGF制定和实施包括以下事项的内部管理制度及操作规定。

(a) 关于RGF处理个人信息的权责规定

(b) 关于收集、告知及取得同意的相关规定

(c) 关于存储、使用、加工、传输个人信息的相关规定

(d) 关于提供、公开个人信息的相关规定

(e) 关于删除个人信息等的相关规定

(f) 关于个人信息的风险评估的规定

(g) 关于处理投诉、咨询和查询的规定

(h) 关于个人信息保护教育的规定

(i) 关于对违反内部规则的处罚的规定

(j) 关于应急准备和反应的规定

 

1.3.5 责任和权限

1.3.5.1 个人信息安全责任人(RGF总经理)

(1) 个人信息安全责任人(RGF总经理)应将妥善处理个人信息定位为业务运营中的重要问题,为有效实施个人信息保护管理制度,应对RGF HRA和RGF PR分别建立、记录并向员工和其他人公布角色、责任和权力。

(2) 个人信息安全责任人(RGF总经理)可将其有关个人信息保护管理系统的权力分别下放给个人信息处理负责人。

(3) 个人信息安全责任人(RGF总经理)应按事业部分别指定一名了解个人信息保护管理制度的内容、《个人信息保护法》等要求等的人员,并能够从公正、客观的角度对RGF的个人信息是否在此基础上得到妥善处理进行审核。 

(4) 个人信息安全责任人(RGF总经理)应按事业部分别从员工中任命一人负责信息系统的安全。

 

1.3.5.2 个人信息处理负责人

(1) 个人信息处理负责人为:RGF HRA 事业部执行总裁和RGF PR事业部执行总裁。分别对各事业部的个人信息保护管理系统的实施和运行负有责任和权力,应实施个人信息保护管理系统并向个人信息安全责任人(RGF总经理)报告其运行状况。

(2) 个人信息处理负责人应以必要和适当的方式监督员工等,确保个人信息的安全管理。

(3) 个人信息处理负责人有权考虑以下事项,并做出决定或向审批人提出建议

(a) 制定、修改和废除与处理个人信息有关的规则和条例

(b) 对个人信息的处理进行审计的时间和方法

(c) 关于处理个人信息的教育和培训的实施时间和方法。

(d) 个人信息处理规则的例外情况的应用

(e) 获得新类型的个人信息。

(4) 个人信息处理负责人应接受有关下列事项的报告,并做出改进的指示。

(a)关于个人信息处理的实际操作和自查结果

(b)对个人信息处理的任何审计结果

(c)个人信息处理负责人认为必要的其他事项。

 

1.3.5.3 信息系统安全负责人

信息系统安全负责人对个人信息保护管理体系中信息系统安全的实施和运行负有责任和权力。

 

1.3.6  个人信息的特定

RGF特定其持有的所有个人信息,了解特定的个人信息的风险并采取必要的对策。

 

1.3.6.1 个人信息的管理

各事业部内各自建立信息安全管理室,信息安全管理室应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取对个人信息实行分类管理、通过加密、去标识化(是指通过对个人信息进行处理从而如果不依据进一步的信息无法识别特定自然人的处理程序)等相应的安全技术措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。

 

1.3.7 风险的识别、分析和控制

(1) 信息安全管理室应建立一个业务流程图,总结出个人信息的业务流程图。

(2) 信息安全管理室应对个人信息的获取、使用、提供、存储、处置等各个处理阶段的风险进行调查,并在 "风险分析表 "中对各个处理场景的承担风险、安全措施、相关规定和剩余风险进行描述,同时附上业务流程图,由个人信息处理负责人审批。

(3) 与处理个人信息有关的风险应根据风险的内容、发生时的损害程度以及实施措施的情况,从组织、人力、技术和物理方面进行评估。

(4) 信息安全管理室应采取合理措施,应对已查明的与个人信息有关的风险。

(5) 信息安全管理室会在每年对个人信息相关风险进行审查。

 

1.3.8 应对与处理个人信息有关的事件

(1) RGF制定并组织实施发生或可能发生个人信息泄露、篡改、丢失时等个人信息安全事件(以下简称 "事件")的应急预案。 RGF将制定识别和应对事件的程序,并采取适当的行动,防止损害的扩散,避免类似事件的发生。

(2) RGF应当按照1.3.8.1~1.3.8.3的事件特定及应对程序,立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:

(a)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;

(b)RGF采取的补救措施和个人可以采取的减轻危害的措施;

(c)RGF的联系方式。

(3) RGF采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人。

 

1.3.8.1 了解事件并决定如何处理

(1) 知悉事件发生的员工等(知悉的手段包括公司内外的报告、咨询或投诉等)应当迅速向信息安全管理室报告事实,信息安全管理室向个人信息处理负责人及个人信息安全责任人(RGF总经理)报告。

(2) 个人信息处理负责人通过构建可以迅速准确应对的机制实现信息一元化,并做出防止扩大被害的指示等。

(3) 个人信息处理负责人的指示应优先于日常业务执行。

 

1.3.8.2 通知・公示

(1) 收到个人信息处理负责人指示之人应迅速将事件发生的事实及发生泄露、灭失或损毁的个人信息的内容通知本人,或置于本人易于知悉的状态下。

(2) 个人信息处理负责人从防止二次被害、避免发生类似事件的观点出发认为有必要时,应尽可能迅速地公布事实关系、发生原因及应对方案。

(3) 个人信息处理负责人收到个人信息保护职责部门关于事件的要求时,应根据该要求采取措施,予以纠正,清除潜在的危险性。

 

1.3.8.3 实施事件应对

(1) 员工等通过公司外部投诉或查询知悉事件发生时,或者员工对公司的有关个人信息管理的合规问题有任何投诉或建议等,该员工应报备其上司后,立即向信息安全管理室报告,信息安全管理室将依照《关于处理投诉、咨询和查询的规定》、《关于应急准备和反应的规定》应对后,向该公司外部人员进行反馈。或者解决并完善公司内部的管理机制。

 

1.3.8.4 事后处理

(1) 个人信息处理负责人应在制定防止再次发生方案的同时指示实施。

(2) 个人信息处理负责人应确认已实施防止再次发生方案,并确保防止再次发生方案的效果。

(3) 信息安全管理室应记录自事件发生起至事后处理的一系列应对,并根据需要以相关人员可以参照的状态予以管理。

 

 

第2章 有关收集、使用和提供个人信息的措施

 

2.1 使用目的的说明

(1) 获取个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,不得过度收集个人信息。

(2) 获取个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。

(3) 求职者信息的获取应以RGF向求职者提供职业介绍和相关服务为目的。

(4) 收集商业伙伴的员工信息是为了RGF提供职业介绍和相关服务,以及为了在商业伙伴和RGF之间建立良好的业务关系。

(5) 员工信息的收集是为了RGF对其员工进行适当的就业管理。

 

2.2 合法取得

个人信息应通过合法和公平的手段获得。

 

2.3 对收集、使用和提供敏感个人信息的限制

敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息。

(1) 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

(2) 处理敏感个人信息的,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:

(一)RGF的名称和联系方式;

(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;

(三)个人行使权利的方式和程序;

(四)法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的,应当将变更部分告知个人。

(3) 处理敏感个人信息的,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照法律规定可以不向个人告知的除外。

(4) 处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。

 

2.4 处理个人信息的措施

(1)处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。

(2)处理个人信息不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。

(3)符合下列情形之一的,RGF方可处理个人信息:

(a)取得个人的同意;

(b)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

(c)为履行法定职责或者法定义务所必需;

(d)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

(e)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

(f)依照法律规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;

(g)法律、行政法规规定的其他情形。

依照法律有关规定,处理个人信息应当取得个人同意,但是有前款b)至g)规定情形的,不需取得个人同意。

2.5 公开个人信息的措施

RGF不得公开其处理的个人信息。但是,取得个人单独同意的除外。

 

2.6 提供个人信息等的措施

(1) RGF向第三方提供个人信息时,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。

(2) RGF从第三方接收个人信息时,应当在其处理目的、处理方式和个人信息的种类等范围内处理个人信息。变更原先的处理目的、处理方式的,应当依照《个人信息保护法》的规重新取得个人同意。

2.7 向境外提供个人信息的措施

(1) RGF因业务等需要,确需向中国境外提供个人信息的,应当具备下列条件之一:

(a) 依照《个人信息保护法》第40条的规定通过国家网信部门组织的安全评估;

(b) 按照国家网信部门的规定经专业机构进行个人信息保护认证;

(c) 按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;

(d)法律、行政法规或者国家网信部门规定的其他条件。

(2) RGF应当采取必要措施,保障境外接收方处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准。

(3) RGF向中国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使《个人信息保护法》规定权利的方式和程序等事项,并取得个人的单独同意。

第3章   个人信息的妥善管理

3.1 确保准确性

RGF在处理个人信息时,应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。

 

3.2 确保安全

RGF应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。

 

3.3员工等的职责

(1) 在让员工处理个人信息时,RGF 有权在必要和适当的情况下对员工等进行监督,以便安全管理个人信息。

(2) 当员工入职或离职时,RGF将要求员工提交一份文件,声明他/她在职期间遵守这些规则,即使在退休或合同终止后也不会将个人信息泄露给他人。

(3) 从事个人信息的获取、使用或提供的员工等,应根据法律法规、本条例的规定或个人信息安全责任人(RGF总经理)以及个人信息处理负责人指示的事项,在充分注意个人信息的安全管理的同时进行该业务。

(4) 员工等在发现违反本规定的情况或发现存在违反风险的情况时,应分别及时向个人信息安全责任人(RGF总经理)以及个人信息处理负责人报告。

 

3.4个人信息的保存及废弃

3.4.1保存及安全管理

(1) 个人信息应根据用途规定保存期限。除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。

(2) 不要将包含个人信息的文件留在办公桌等上。

(3) 在服务器上保存包含个人信息的电子文件时,设置访问权限,以便只有业务需要的人才能访问。

(4) 未经信息安全管理室许可,禁止在互联网环境、多功能便携终端、个人所有的电脑或电子媒体等中保存个人信息。

 

3.5信息系统安全

3.5.1计算机设备等的管理

 

(1) 在可能带出办公室的个人电脑上安装硬盘加密软件。

(2) 为了防止离开时信息被偷看或进行不正当的操作,设定“受密码保护的屏幕保护程序功能”在5分钟内启动。

(3) 不得安装与业务无关的软件。

(4) 未经信息安全管理室许可的计算机设备(个人计算机、路由器、调制解调器等)禁止接入本公司计算机设备网络。

(5) 标准个人计算机必须按照信息安全管理室许可的方式接入网络。

 

3.5.2信息系统的逻辑保护

3.5.2.1认证

 

为了执行对信息系统的访问控制,对利用者提供唯一的固有账号和密码进行管理。

根据信息系统的利用形式和利用者的权限等,对可利用的信息进行适当的限制和分离,抑制因不正当利用造成的损失的扩大等。

 

3.5.2.2密码的利用

为了保护重要信息的机密性,根据需要对数据和通信手段进行加密。

 

3.5.2.3安全监控与维护

(1) 获取发行的所有ID的使用日志(登录成功/失败、退出、无法退出时为会话超时),并从记录日起保存6个月。

(2) 执行适当的监控以防止未经授权的使用和安全漏洞。 此外,我们将获取维持安全所需的技术,并根据需要及时采取适当的措施。

 

3.5.2.4备份

对于重要的信息和系统,在必要的范围内进行文件数据的备份,进行适当的保存和管理。

 

3.5.2.5病毒检查

(1) 在个人电脑上导入病毒检测软件,进行实时的病毒检查。在获取文件或数据的情况下,如接收电子邮件、浏览外部Web网站、通过FTP或HTTP获取文件等,自动对这些文件等进行病毒检查。

(2) 标准个人计算机根据系统基础设施管理部门制定的日程更新模式文件,根据信息安全管理室的指示实施全面扫描。

 

3.5.3网络管理

(1) 在链接目标网络和自己管理的网络之间设置、设置、记录管理防火墙(包括具有防火墙功能的路由器)。

(2) 在RGF网络安装连接端口时,采取限制网络使用/锁定连接端口等措施施加使用限制,使不必要的设备无法连接。

(3) 通过互联网从外部连接时,使用VPN等进行认证,并采取防止窃听和篡改的措施。

 

3.5.4信息系统的废弃

废弃不再使用的信息系统时,为防止信息从废弃物中泄露,应通过销毁、焚烧等物理手段或采取无法恢复信息的措施等逻辑手段进行适当的清除。

 

3.6委托处理个人信息相关措施

委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。

3.7合规审计

RGF应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

 

 

第4章  关于个人信息的本人权利

 

4.1个人信息处理行为中的个人权利

4.1.1知情权与决定权

 

个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。

 

4.1.2查阅、复制、转移

(1)个人有权向RGF查阅、复制其个人信息;有《个人信息保护法》第十八条第一款、第三十五条规定情形的除外。

(2)个人请求查阅、复制其个人信息的,RGF应当及时提供。

(3)个人请求将个人信息转移至其指定的RGF,符合国家网信部门规定条件的,RGF应当提供转移的途径。

 

4.1.3更正与补充

(1)个人发现其个人信息不准确或者不完整的,有权请求RGF更正、补充。

(2)个人请求更正、补充其个人信息的,RGF应当对其个人信息予以核实,并及时更正、补充。

 

4.1.4删除

有下列情形之一的,RGF应当主动删除个人信息;RGF未删除的,个人有权请求删除:

(a)处理目的已实现、无法实现或者为实现处理目的不再必要;

(b)RGF停止提供产品或者服务,或者保存期限已届满;

(c)个人撤回同意;

(d)RGF违反法律、行政法规或者违反约定处理个人信息;

(e)法律、行政法规规定的其他情形。

法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,RGF应当停止除存储和采取必要的安全保护措施之外的处理。

 

4.2个人行使权利

RGF应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。

 

第5章 有关个人信息处理的教育及研修

 

5.1 教育及研修的实施

(1)RGF应以员工等为对象,定期实施有关个人信息处理的安全教育和研修。

(2)RGF制定相关教育、研修、测评计划并实施。

(3)信息安全管理室将有关安全教育、研修、测评的实施结果报告给RGF相关负责人,并进行业务改善和调整。

 

 

第6章 个人信息保护影响评估的实施、记录制作、保存

 

6.1个人信息保护影响评估的实施、记录制作

有下列情形之一的,RGF应当事前进行个人信息保护影响评估,并对处理情况进行记录:

(1) 处理敏感个人信息;

(2) 利用个人信息进行自动化决策;

(3) 委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;

(4) 向境外提供个人信息;

(5) 其他对个人权益有重大影响的个人信息处理活动。

 

6.2个人信息保护影响评估的内容

个人信息保护影响评估应当包括下列内容:

(1) 个人信息的处理目的、处理方式等是否合法、正当、必要;

(2) 对个人权益的影响及安全风险;

(3) 所采取的保护措施是否合法、有效并与风险程度相适应。

 

6.3个人信息保护影响评估报告及处理情况的保存

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

 

第7章 投诉、商谈和咨询的处理

 

7.1 设置投诉、商谈和咨询受理的窗口

(1)RGF将设立受理有关个人信息处理及个人信息保护管理系统的投诉、商谈及咨询的窗口,并在主页上向顾客公布联系方式。

(2)受理窗口设置在信息安全管理室,会及时对投诉、商谈和咨询作出答复。

(3)投诉、商谈及咨询的受理,将通过网站的咨询表单进行。

(4)在信息安全管理室以外的单位受理的投诉、商谈和咨询,应及时向信息安全管理室报告相关内容,在协商确定答复内容和答复负责人后予以答复。

 

7.2 投诉、商谈和咨询内容的记录和报告

(1)信息安全管理室记录并保存投诉、商谈及咨询的内容和对应结果。

(2)信息安全管理室定期向个人信息处理负责人和个人信息安全责任人(RGF总经理)报告有关投诉、商谈和咨询的记录。

 

7.3 重大案件的应对

信息安全管理室门在判断投诉、商谈及咨询内容重大时,应立即向个人信息处理负责人报告。召集个人信息处理负责人与相关人员及个人信息安全责任人(RGF总经理)进行协商,决定应对措施。

 

 

第8章 其他

 

8.1 违规处分

省略(依公司规定处理)

 

8.2 规程的改废

本规程的修订和废除由个人信息处理负责人起草或提议,由RGF总经理批准。

 

8.3 疑义处理

对本规程规定的事项有疑义或对其处理没有规定时,应根据个人信息处理负责人的意见,由个人信息安全责任人(RGF总经理)随时加以规定。

 

 

第9章 附则

 

 

本规则自2021年11月1日起施行。

本规则于2023年5月18日第一次修订。

本规则于2023年6月30日第二次修订