个人信息保护规定

 

1  总则

 

(目的)

第1条    本规定是魅创化妆品商贸(上海)有限公司(下称为本公司)为个人信息处理中应遵循的准则而定,以确保个人信息的适当处理为目的。

 

(定义)

第2条    本规定中所用术语的定义如下:

(1) 个人信息  是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

(2) 个人敏感信息  是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息 等。

(3) 个人数据  构成个人信息数据库等的个人信息。

(4) 持有的个人数据  本公司有权进行披露、更正、添加或删除内容、停止使用、删除或停止向第三方提供的个人数据。

(5) 个人信息主体  个人信息所标识或者关联的自然人。

(6) 员工  本公司的雇员,特别是在本公司组织机构内从事个人信息处理的人员。

 

(适用范围)

第3条    本规定适用于本公司的员工。

2.   关于员工在在职期间由本公司所获知的个人信息,即使员工本人从本公司离职,根据本规定,也不得擅自使用或向第三方提供。

 

2  个人信息使用目的的确定·公布,个人信息的适当获取等。

 

(个人信息使用目的的确定)

第4条    在公司业务活动所必需的范围内,就个人信息的使用目的进行明确规定,并仅在达到目的所必需的限度内,并经个人信息主体同意后使用。

2.   本公司的个人信息使用目的如下。但在合理认为与其使用目的有关的范围内可能会有变更。

·         为了向客户介绍产品和服务

·         各种售后服务

·         向客户发送客户索取的资料等

·         为了用于个别已获得同意的目的,本公司会提前另行通知客户

·         为了制作用于产品开发和营销活动的已收集的客户年龄、地址等汇总信息

·         会计和会计事务

·         报告美容护肤事故

·         提高对该客户的美容护肤的服务水平

·         协助店内的美容护肤实习

·         以提高美容护肤质量为目的的研修·研究

·         与客户相关的管理和运营业务

·         关于与供应商在业务上必要的联络等业务

·         人事管理(雇佣管理、工资管理、教育培训、福利待遇、安全卫生管理等)相关业务

·         与出入办公室管理、防止犯罪等有关的业务

·         根据法律处理个人号码有关的业务

·         以提供客户方便为目的的综合性服务

·         前述各项业务所附带的其他业务

3.   前款的个人信息使用目的应事先经个人信息主体同意,并在在办公室等张贴并公布。变更其使用目的时也相同。

4.   若发生需要将个人信息用于第2款所规定的目的(若有所更改,则更改后的目的)以外的目的时,应事先征得个人信息主体同意。若有下列情形的,则不受此限。

(1) 与本公司履行法律法规规定的义务相关的;

(2) 与国家安全、国防安全直接相关的

(3) 与公共安全、公共卫生、重大公共利益直接相关的

(4) 与刑事侦查、起诉、审判和判决执行等直接相关的

(5) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的

(6) 所涉及的个人信息是个人信息主体自行向社会公众公开的

(7) 根据个人信息主体要求签订和履行合同所必需的

(8) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道

(9) 维护所提供产品或服务的安全稳定运行所必需的,如发现、处置产品或服务的故障

 

(正确获取个人信息、获取时使用目的的通知等)

第5条    个人信息以合法且公正的方式获取。

2.   有必要获取个人敏感信息时,应事先征得个人信息主体的同意。

3.   获取个人信息后应立即以书面形式通知本人其使用目的。变更其使用目的时也相同。

4.   即使有前款规定,因与本人签订合同而获取合同或其他书面所记载的本人的个人信息,或直接从本人获取书面所记载的本人的个人信息时,应事先向本人明示其使用目的。其使用目的发生变更时,应书面通知更改后的使用目的。

5.   前述3款的规定不适用于下列情形:

(1) 与本公司履行法律法规规定的义务相关的;

(2) 与国家安全、国防安全直接相关的

(3) 与公共安全、公共卫生、重大公共利益直接相关的

(4) 与刑事侦查、起诉、审判和判决执行等直接相关的

(5) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的

(6) 所涉及的个人信息是个人信息主体自行向社会公众公开的

(7) 根据个人信息主体要求签订和履行合同所必需的

(8) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道

(9) 维护所提供产品或服务的安全稳定运行所必需的,如发现、处置产品或服务的故障

 

3  个人信息的使用、个人数据的安全管理等

 

(个人信息的使用)

第6条    个人信息在为达到使用目的所必要的范围内,仅被具体授权的人员才能在开展业务所必要的范围内使用。

 

(确保个人数据的准确性等)

第7条    个人数据在为达到使用目的所必要的范围内,应保持准确和最新内容的同时,在不再需要使用时应尽力做到及时删除。

 

(安全管理措施)

第8条    为防止对个人数据的不正当访问、个人数据的泄露、丢失、损毁、篡改等,应采取下列措施:

(1) 个人数据由管理部保管,并进行添加、删除和修改等管理。

(2) 为了管理个人数据处理相关事项,由管理部从认为具有管理该事项所需的知识、经验的人员中挑选担任个人数据管理负责人。

(3) 个人数据的获取、输入、传输、发送、使用、处理、存储、备份、删除和废弃等工作应妥善管理。 对于个人数据的重要操作应由[数据管理部部长]进行审批,例如进行批量修改、拷贝、下载等。

(4) 个人数据对外泄露,或存在其危险性时,应立即调查事实,采取具体的应对措施或对策,制定防止再次发生的对策,并对员工予以贯彻落实。

 

(对员工的监督)

第9条    个人数据管理负责人及各部门的管理人员应当对个人数据进行必要且适当的监督,以确保个人数据的安全。

2.   个人数据管理负责人可命令员工提交有关个人数据保护及妥善处理的保证书,以确保个人数据的安全。

3.   个人数据管理负责人应明确员工处理个人数据的任务和责任,并指导员工确保个人数据的安全。

 

(对员工进行教育和培训)

第10条   根据个人数据管理负责人确定的教育方针,对员工进行个人信息保护及妥善处理相关的教育和培训。

2.   员工必须接受前款规定的教育和培训。

(销毁持有的个人数据等)

第11条   需要有具体权限的管理人员(或替代员工)通过焚烧、裁切、溶解、消磁等方法,采取防止外部泄漏等危险的措施对持有的个人数据进行销毁或删除。

 

(外包方的监督)

第12条   因开展本公司业务而将个人数据的处理外包给外包方时,应选择有充分处理个人数据能力的,并为此具有完好体制的外包方,签订合同以确保个人数据得到保护,并对该外包方进行适当的监督和管理。

 

4  向第三方提供个人数据

 

(向第三方提供个人数据)

第13条   未经个人信息主体事先同意,不得向第三方提供本公司持有的个人数据。若有下列情形的,则不受此限。

(1) 与本公司履行法律法规规定的义务相关的

(2) 与国家安全、国防安全直接相关的

(3) 与公共安全、公共卫生、重大公共利益直接相关的

(4) 与刑事侦查、起诉、审判和判决执行等直接相关的

(5) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的

(6) 个人信息主体自行向社会公众公开的个人信息

(7) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道

 

(向第三方提供时需注意的事项)

第14条   向第三方提供个人数据时,应当向对方明示在提供目的的范围内所需处理的事项,并签订包含下列事项的合同。

(1) 不得向对方泄露或窃取通过处理个人数据而获得的个人信息

(2) 向其他第三方提供个人数据时,需事先通过书面文件获得本公司的许可

(3) 向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别或者关联个人信息主体的除外

(4) 共享、转让个人敏感信息前,除(3)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意

(5) 通过合同等方式明确对方的责任和义务个人数据在对方的存储期限、管理方法等

(6) 达到使用目的后,妥善且确切地确保个人数据被返还或在对方的个人数据已被对方销毁或删除

(7) 禁止对方复印或复制(用于安全管理所需的备份为目的的除外)个人数据

(8) 发生个人信息泄露等事故时,应立即向本公司报告,并明确对方的责任

 

(制作向第三方提供的相关记录等)

第15条   本公司向第三方提供个人数据时,应当制作提供该个人数据的规模、使用目的、提供的日期、该第三方的姓名或名称等相关记录,并按照规定期限保存。

 

5章 公布持有的个人数据相关的事项,停止披露、更正和使用持有的个人数据等

 

(个人信息主体的权利)

第16条   关于本公司持有的个人数据,个人信息主体可以根据下列条款要求本公司查询、更正、删除本公司持有的其个人信息,撤回对本公司的授权同意,注销账户,获取个人信息副本,本公司会在办公室等张贴及公布相应的手续、投诉窗口等。

 

(个人信息查询)

第17条   个人信息主体可以要求本公司查询以下信息:

(1) 公司所持有的关于该主体的个人信息或个人信息的类型

(2) 上述个人信息的来源、所用于的目的

(3) 已经获得上述个人信息的第三方身份或类型

 

(个人信息更正)

第18条   本人所识别的持有的个人数据内容不属实时,本人可要求更正、添加或删除其持有的个人数据的内容。

 

(个人信息删除)

第19条   在以下情形,本公司应当即时删除或停止使用个人信息。

(1) 本人所识别的持有的个人数据根据第4条的规定被超出特定使用目的范围处理的,或通过不正当手段获取本人可要求停止或删除使用该持有的个人信息数据。

(2) 本人所识别的持有的个人数据未经本人同意而提供给第三方本人可要求停止向第三方提供该持有的个人数据,本公司应当通知第三方即时删除。

 

(撤回授权同意)

第20条   个人信息主体可以撤回本公司收集、使用其个人信息的授权同意。撤回授权同意后,本公司后续不应再处理相应的个人信息。

2.   公司对外共享、转让、公开披露个人信息的,个人信息主体可以要求公司提供撤回授权同意的方法 

 

(注销会员账户)

第21条   个人信息主体可以要求注销其在本公司的会员账户。

2.   注销过程的身份核验环节所要求提供的个人信息不应多于注册、使用会员服务环节收集的个人信息类型。

3.   注销会员账户应当在15个工作日内完成。

 

(获取个人信息副本)

第22条   个人信息主体可以要求本公司提供其保留的个人信息副本。

 

(相应个人信息主体的要求)

第23条   在验证个人信息主体身份后,本公司应当及时响应个人信息主体基于第16条至第20条提出的请求,并在30日或法律法规规定的期限内作出答复及合理解释。

以下情形可以不响应个人信息主体的请求,但应告知其决定的理由及投诉途径。

(1) 与本公司履行法律法规规定的义务相关的

(2) 与国家安全、国防安全直接相关的

(3) 与公共安全、公共卫生、重大公共利益直接相关的

(4) 与刑事侦查、起诉、审判和执行判决等直接相关的

(5) 本公司有充分证据表明个人信息主体存在主观恶意或滥用权利的

(6) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的

(7) 响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的

(8) 涉及商业秘密的

 

6章 投诉和咨询

 

(投诉和咨询)

第24条   本公司就个人信息和个人数据的处理相关的投诉和咨询,在管理部设置专用窗口,由该部受理,适当且迅速地对应。

 

魅创化妆品商贸(上海)有限公司