用户隐私与数据安全保护政策:

1、公司致力于将数据安全管理融入到公司各个业务及各个环节，严格保障公司管理和技术的规范，为客户提供安全和优质的体验。公司严格遵循《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》《信息安全技术——个人信息安全规范》等法律法规及监管要求，敦促、加强和规范网络及数据安全管理与客户及相关个人信息保护工作，为公司各项业务保驾护航，保障客户及相关个人信息主体权益。

2、数据安全管理措施

1）数据加密与匿名化

在客户管理系统中，采用强加密标准对存储和传输的数据进行加密是基本要求。此外，通过数据匿名化技术处理数据，可以在不暴露个人身份的情况下进行数据分析，进一步增强数据安全。

2）建立数据访问控制

实施严格的数据访问控制，确保只有授权的员工才能访问敏感数据。通过角色基础的访问控制（RBAC）策略，可以有效地限制对数据的访问，减少数据泄露的风险。

3）定期安全审计

定期进行安全审计和风险评估，以发现潜在的安全漏洞和合规风险。通过审计结果，公司可以及时调整数据保护措施，确保客户数据的安全性和合规性。

3、客户隐私保护管理措施

公司严格遵守《信息安全技术个人信息安全规范》等法律法规及标准，在本制度中，明确了在业务开展的各个环节中收集和处理客户信息、商业秘密等方面的管理规范，以保障客户隐私信息。

1）收集

公司根据合法、正当、必要、诚信、公开、透明的原则，基于相关政策所述的目的，收集和使用客户及相关个人信息。如果公司客户及相关个人信息用于政策未载明的其它用途，或基于其他特定目的而收集客户及相关个人信息，公司将以合理的方式告知客户，并在使用前再次征得客户的同意。

公司遵循“最小限度、必要收集”原则，采集的数据符合业务开展或经营管理需要，并与合同协议条款、隐私政策中约定采集的内容保持一致，不超范围采集数据。在停止相关业务或无需继续执行数据采集时，将立即停止数据收集活动。

2）处理

在数据删除部分，公司将依据国家、行业主管部门及内部规章有关规定等，针对不同类型的数据设定其数据保存期。超过国家及行业主管部门有关规定、内部规章及合同协议所述保存期限的数据，将执行数据删除操作。

对公司委托处理客户及相关个人信息的公司、组织和个人，公司会要求其仅按照公司的要求、隐私政策以及其他任何相关的保密和安全措施来处理客户及相关个人信息。除特定情形及相关法律另有规定外，公司不会向第三方公司、组织或个人提供或转移客户及相关个人信息。

4、数据安全管理配套措施

1）对员工开展培训

公司重视数据安全与隐私保护的培训与考核，定期对公司总部、分公司、子公司所有员工进行培训，并每年对信息技术条线的人员进行数据安全培训。公司定期开展线上培训、现场案例体验等多样化活动，将数据安全培训工作体系化、规范化，并紧密结合实际工作，提高员工日常办公和展业过程中的数据安全防护水平。公司通过现场、线上、邮件传达等多种形式开展合规风控文化培训宣导，并通过开展测试对集团全体员工进行知识宣贯，加深员工对数据安全风险和防范技巧的认知能力。

2）供应商数据安全管理

公司在不断提升自身数据安全及隐私保护水平的同时，积极推动供应商及合作伙伴完善数据安全管理。针对供应商合作伙伴，公司参照本制度的要求，在前期商务阶段、中期实施阶段、后期验收阶段及供应商考核，全方位检验供应商及合作伙伴对信息安全的遵守情况，并在供应商考核中明确列出了数据安全相关指标，以助力提高行业整体数据安全水平。

3）应对数据泄露的准备

尽管采取了多种安全措施，数据泄露的风险仍然存在。因此，公司需要制定详细的数据泄露应对计划，包括立即隔离受影响的系统、通知监管机构和受影响个人、调查泄露原因等步骤，以减轻数据泄露的影响。