为了规范网络数据处理活动，保障网络数据安全，促进数据依法合理有效利用，保护个人、组织的合法权益，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》和《网络数据安全管理条例》的相关规定，有效管理数据隐私安全风险，北京中西医慢病防治促进会（以下简称“促进会”）特制定本数据隐私安全风险管理制度。

第一条　促进会根据数据的敏感程度，将数据分为“绝密”、“机密”、“秘密”和“公开”四个等级，并制定相应的标识规则。对于涉及个人隐私和促进会核心利益的数据，如患者信息、捐款记录等，应标记为“绝密”或“机密”等级，严格限制访问权限。

第二条  任何个人、组织不得利用促进会相关数据从事非法活动，不得从事窃取促进会或者以其他非法方式获取促进会相关数据、非法出售或者非法向他人提供促进会数据等非法数据处理活动。任何个人、组织不得提供专门用于从事非法活动的程序、工具；明知他人从事非法活动的，不得为其提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供推广、业务支付结算等帮助。

第三条  促进会享有机构数据的归属权，对于促进会的专有数据、保密数据等信息数据，未经授权，不得透露给任何有竞争关系的同行业机构，因人为数据泄露给促进会造成损失的，促进会有权进行追责。

第四条　数据处理者应当依照法律、行政法规的规定和国家标准的强制性要求，在网络安全等级保护的基础上，加强数据安全防护，建立健全数据安全管理制度，采取加密、备份、访问控制、安全认证等技术措施和其他必要措施，保护网络数据免遭篡改、破坏、泄露或者非法获取、非法利用，处置网络数据安全事件，防范针对和利用网络数据实施的违法犯罪活动，并对所处理网络数据的安全承担主体责任。

第五条　 网络数据处理者提供的网络产品、服务应当符合相关国家标准的强制性要求；发现网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知相关负责人并向有关主管部门报告。

第六条　数据处理者应当建立健全数据安全事件应急预案，发生数据安全事件时，应当立即启动预案，采取措施防止危害扩大，消除安全隐患。

第七条　数据处理者向其他数据处理者提供、委托处理个人信息和重要数据的，应当通过合同等与数据接收方约定处理目的、方式、范围以及安全保护义务等，并对数据接收方履行义务的情况进行监督。

第八条  数据接收方应当履行数据安全保护义务，并按照约定的目的、方式、范围等处理个人信息和重要数据。两个以上的数据处理者共同决定个人信息和重要数据的处理目的和处理方式的，应当约定各自的权利和义务。

第九条　数据处理者开展数据处理活动，影响或者可能影响国家安全的，应当按照国家有关规定进行国家安全审查。

第十条　数据处理者因合并、分立、解散、破产等原因需要转移数据的，应当继续履行数据安全保护义务。

第十一条　前款规定的数据处理者未经委托方同意，不得访问、获取、留存、使用、泄露或者向他人提供机构数据，不得对数据进行关联分析。

第十二条　数据处理者使用自动化工具访问、收集数据，应当评估对网络服务带来的影响，不得非法侵入他人网络，不得干扰网络服务正常运行。

    第十三条  明确数据收集的范围、方式和目的，确保数据的合法性和必要性。在数据存储方面，采用先进的加密技术和信息化云存储平台，确保数据在存储过程中的安全性和完整性。同时，定期对数据进行备份和恢复，以防数据丢失或损坏。

第十四条  明确数据使用规范和范围、方式和目的。对于不再需要的数据，将严格按照规定的程序进行销毁，确保数据不被泄露或滥用。在销毁数据之前，还将对数据进行彻底清理和格式化，以防止数据残留。

第十五条  建立数据隐私安全风险监测和预警机制，通过定期扫描系统漏洞、检测异常访问行为等方式，及时发现并处置潜在的安全风险。一旦发生数据泄露或安全事件，将立即启动应急预案，采取有效措施进行处置。

第十六条  建立数据隐私安全风险管理的监督，定期对各部门的数据隐私安全管理情况进行检查和评估。对于存在安全隐患的部门或个人，及时给予警告并要求限期整改。定期组织相关培训课程和演练活动，提高员工的隐私安全意识和应急处置能力。

第十七条  加强培训与宣传、监督与考核、持续改进与创新等措施的实施，不断提升数据隐私安全管理的水平和能力。致力于推动精准医学技术的发展和公益事业的发展，同时加强数据隐私安全管理工作，为构建更加安全、可信的数字环境贡献力量。

第十八条　数据处理者在处理个人信息前，应依法向个人告知，包括但不限于下列内容：

（一）数据处理者的名称或者姓名和联系方式；

（二）处理个人信息的目的、方式、种类，处理敏感个人信息的必要性以及对个人权益的影响；

（三）个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的方法和途径等；

（四）处理不满十四周岁未成年人个人信息的，应告知其监护人。

第十九条　数据处理者基于个人同意处理个人信息的，应当遵守下列规定：

（一）收集个人信息为提供产品或者服务所必需，不得超范围收集个人信息，不得通过误导、欺诈、胁迫等方式取得个人同意；

（二）处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的，应当取得个人的单独同意；

（三）处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意；

（四）不得超出个人同意的个人信息处理目的、方式、种类、保存期限处理个人信息；

（五）不得在个人明确表示不同意处理其个人信息后，频繁征求同意；

（六）个人信息的处理目的、方式、种类发生变更的，应当重新取得个人同意。

第二十条　数据处理者应当按照国家有关规定识别、申报重要数据。对确认为重要数据的，相关地区、部门应当及时向数据处理者告知或者公开发布。数据处理者应当履行数据安全保护责任。重要数据的处理者应当明确数据安全负责人，并履行下列数据安全保护责任：

（一）制定实施数据安全管理制度、操作规程和数据安全事件应急预案；

（二）定期组织开展数据安全风险监测、风险评估、应急演练、宣传教育培训等活动，及时处置数据安全风险和事件；

（三）受理并处理数据安全投诉、举报。

数据安全负责人应当具备数据安全专业知识和相关管理工作经历，由数据处理者管理层成员担任，有权直接向机构负责人报告数据安全情况。

北京中西医慢病防治促进会

二〇二四年十二月十日