A 部分：概述

适用性

本文件是自 2018 年 5 月 25 日起生效的 GDPR 合规政策的当前操作版本，适用于 TechVersions 的活动，TechVersions 由以下实体组成。.

TechVersions，一家科技出版公司，地址：8000 Towers Crescent Drive, 13th Floor, Vienna, VA 22182

介绍

TechVersions 的核心业务是通过从目标市场中产生有效的销售线索，为客户提供 B2B 产品营销支持。.

线索生成是通过智能市场调研收集相关数据，通过不同的渠道（包括通过业务合作伙伴，利用社交媒体营销、网络营销、电子邮件营销和电话营销等相关技术）识别企业可靠的购买意向。.

在这些活动中，TechVersions 作为中介机构，为 B2B 营销链增值。客户提供的营销活动信息经过精心调整和转化，最终转化为营销材料，分发给潜在市场受众。.

通过外部出版商在相关媒体上投放宣传材料，将信息传递给最终目标客户，这些出版商负责生成潜在客户线索。部分潜在客户线索则来自内部出版活动以及TechVersions研发团队开发的创新型企业意向营销工具。.

出版商生成的潜在客户信息会经过智能筛选以提高其质量，并转化为可执行的营销目标，然后再传递给客户。.

TechVersions 已开发出专有的产品、流程和信息生成系统，其中包括建立可靠的供应商网络和培养训练有素的人才队伍，这些共同体现了 TechVersions 为全球 B2B 营销生态系统带来的价值主张。维护和发展这些专业知识，并将其用于把握商业机遇，是 TechVersions 的合理利益所在。.

TechVersions 采纳的这份 GDPR 合规准则声明，TechVersions 致力于在全球范围内贯彻“隐私是民主社会公民的基本权利”这一理念，并将真诚地执行 GDPR 所规定的所有适用的隐私原则。.

然而，TechVersions 披露，作为 B2B 市场中介，在全球范围内开展合法业务运营是其合法利益所在；TechVersions 有民主权利真诚地开展业务，而不与 GDPR 下寻求保护其隐私的个人自然人的权利相冲突。.

TechVersions 还披露，其商业模式仅需收集不受 GDPR 管辖的商业实体数据和业务联系数据（该数据并非个人数据，但可能包含部分个人身份信息，但不包括儿童的个人数据以及 GDPR 下归类为“特殊类别”的个人数据）。.

GDPR风险敞口

TechVersionsGroup本质上是一家“B2B营销中介”，业务遍及全球，为多个国家的客户提供营销线索和客户服务。TechVersions不涉足消费市场，因此不会直接或间接收集欧盟数据主体的个人信息。TechVersions收集的数据通常属于企业员工的业务联系数据，其中包括姓名、工作邮箱和工作电话号码等信息。.

部分B2B营销线索来自欧盟国家和英国。部分位于欧盟/英国的客户也可能使用TechVersions的服务。目前，我们与客户的大部分互动发生在美国，而与线索生成业务合作伙伴的大部分互动则发生在印度。.

因此，当 TechVersions 从在欧盟/英国地区运营的商业组织收集业务联系数据时，其 GDPR 风险就会显现。.

GDPR 合规方法

为了能够对面临 GDPR 合规风险的数据处理应用尽可能严格的规范，TechVersions 采取了一项政策，将 GDPR 敏感数据 (GSD) 视为流经 TechVersions 资源的“敏感数据”，方法是在传入数据上标记适当的标签，以便在适用情况下将其归类为 GSD。.

支持结构的设计考虑了数据主体的隐私保护和与 GSD 标记数据隐私保护相关的信息安全。.

尽管数据是在特定地点处理的，并且处理 GSD 的技术基础设施也位于这些指定地点，但企业已经建立了 GDPR 意识，并将继续努力，以便让本 GDPR 行为准则的原则渗透到整个组织，而不仅限于 GSD 处理，还包括可能位于不同地点并拥有各自技术和管理基础设施的营销、财务和管理职能部门。.

为了有效落实整个数据处理基础设施的安全保障，公司制定了全面的信息安全政策，其中包括关于数据访问、处理、存储、传输等方面的多项子政策。.

隐私承诺

TechVersions 认为“隐私”是公民社会中一项重要的民主权利。作为一家负责任的企业，TechVersions 致力于保护所有进入公司数据存储库进行处理的自然人的隐私。.

鉴于客户位于欧盟/英国，并且需要监控居住在欧盟/英国的公司员工的活动，TechVersions 选择采用 GDPR 合规标准，以保护所有可能与集团互动的自然人的隐私，即使这种互动仅仅是他们作为不同商业实体的员工，为了实现各自商业组织的业务目标而进行的。.

合法权益

TechVersions的核心业务是处理与企业采购各类产品相关的数据。其业务范围涵盖数据收集、汇总、分析、细分和意向监控。在数据处理过程中，TechVersions将从商业环境中收集的原始数据增值，并将其转化为有助于企业决策的增值信息。.

所收集的原始数据被认定为属于数据主体的数据，数据主体根据《通用数据保护条例》(GDPR)享有的权利适用于这些数据。数据处理过程中产生的增值源于TechVersions的专有数据处理能力，TechVersions对此拥有一定程度的知识产权。.

如果任何数据已被匿名化，则经匿名化处理后的数据将被视为TechVersions有合法利益用于进一步研究的数据。即使未经匿名化处理的数据也处于增值状态，数据主体仍享有访问权、更正权、限制处理权、数据可移植权和删除权等权利。任何匿名化数据均不属于GDPR敏感数据。.

根据欧盟《通用数据保护条例》(GDPR) 第 6 条第 1 款 (f) 项的规定，TechVersions 在收集和处理与业务相关的数据（例如企业概况和业务联系人数据）方面拥有合法的商业利益。这些数据包括企业实体中决策人员的相关信息。

此外，TechVersions 的业务涉及欧盟国家内外的运营，因此须遵守不同国家有关数据处理的法定义务，以及适用于一般商业活动和 IT 相关活动的其他法律，正如欧盟 GDPR 法规第 6(1)(c) 条所设想的那样。.

此外，TechVersions 已采纳合法处理业务实践，纳入了欧盟 GDPR 第 6 条规定的原则，包括在需要时获得知情的明确同意，以及遵守与数据主体之间的任何合同义务。.

因此，TechVersions 的隐私和数据保护政策制定了具体的隐私和信息安全控制措施，以解决在 GDPR 敏感数据产生和进入 TechVersions 系统阶段对其进行识别，并在整个处理生命周期中对其进行标记的问题。.

将合规范围扩大到数据处理生态系统

此外，为了维护欧盟 GDPR 所阐明的保护个人隐私权的立法意图，我们采取了适当的技术和组织/管理控制措施，以确保所有可能代表 TechVersions 处理 GDPR 敏感数据的下游业务伙伴也符合 GDPR 的规定。.

TechVersions 承认，在其大部分运营活动中，就 GDPR 而言，它并非“数据控制者”，而是“数据处理者”。当其使用分包商的服务进行任何部分数据处理时，它可能承担“联合控制者”的角色。.

考虑到这些角色，TechVersions 制定了相应的政策和控制措施，以确保符合 GDPR 的要求，包括维护适当的技术和组织/管理控制措施，以便及时了解其业务合作伙伴的 GDPR 合规活动，并在必要时与他们分享 TechVersions 自身的 GDPR 合规措施。.

本文件的局限性

以下段落概述了 TechVersions 在公司层面遵守 GDPR 的总体政策，重点介绍了 TechVersions 在运营中实现 GDPR 原则令人满意的合规水平的方法。.

本政策文件旨在与包括 TechVersions 以外的商业实体在内的利益相关者进行有限共享，因此不包括处理过程中的专有信息，因为保护组织的知识产权至关重要。.

任何超出此处所述范围的信息披露请求都将根据 TechVersions 的数据披露政策进行处理，此类请求可以通过非信誉良好的认证电子邮件发送给隐私经理。.

第二部分：具体政策纲要

1. 分配的职责

TechVersions 已指定一名隐私经理，负责处理所有数据主体请求和投诉。鉴于 TechVersions 目前面临的 GDPR 敏感数据风险水平，TechVersions 的核心业务并不涉及对欧盟数据主体的大规模、系统性监控，也不向欧盟境内的个人提供任何服务，因此无需按照 GDPR 的规定指定“数据保护官”。.

信息安全治理委员会 (ISGC) 将全面负责信息安全，包括 GDPR 合规性。作为 TechVersions 的最高决策机构，ISGC 负责制定所有信息安全政策，包括 GDPR 政策，并将监督是否需要在适当时候指定任何人员或顾问担任数据保护官。.

2. 数据分类

TechVersions 不从事针对任何自然人的营销活动，因此通常不会收集受 GDPR 监管条款约束的个人身份信息。但是，如果已知业务部门或员工位于欧盟/英国，则所有可能识别个人身份的个人数据（例如员工的电子邮件地址和电话号码）均被归类为“GDPR 敏感信息”。.

因此，与欧盟/英国的实体位置地址关联的整个业务联系数据集被认定为 GDPR 敏感数据 (GSD)，并在组织内部的进一步处理过程中进行标记。.

在无法获得数据主体的实际位置信息的情况下，相关业务组织的实际位置将被视为相关信息。.

3. 数据审计

在 2018 年 5 月 25 日之前，以及之后按月或 ISGC 另行决定的时间，将对存储的数据集进行验证，以查找任何 GSD，并验证与其相关的合规性要求，例如数据是否需要归档、删除或以其他方式进行特殊保护。.

任何未附有相应“同意书”或“合法权益说明”的GSD数据集将被建议删除。
经确认后，此类数据将被依法删除。

4. GDPR影响评估

在 2018 年 5 月 25 日之前，已开展 GDPR 差距评估并按要求实施了纠正措施。2018 年 5 月 25 日之后，每当开展重大新项目时，如果 ISGC 认为有必要，都将进行数据保护影响评估 (DPIA)。.

5. 新业务准入政策

自 2018 年 5 月 25 日起，所有涉及数据处理的新业务承诺均须经 ISGC 批准，数据保护官 (DPO) 须与负责数据处理的技术团队协商，提交一份具体的 GDPR 影响评估说明。.

6. GSD数据存储策略

GSD 应存储在只有指定人员才能严格按照“需要知道”原则访问的系统中。.

每套 GSD 数据集都应标明数据来源的数据控制者，该数据控制者负责根据同意或合同收集数据。.

与此类数据集相关的任何具体限制也应与该数据集一起标记。.

数据存储应允许定位和处理单个数据集，以便在数据生命周期内的任何时间执行任何数据主体的权利，例如请求数据更正、数据可移植性、数据删除或数据访问。.

7. GSD 数据访问政策

GSD 的访问将遵循访问控制策略，该策略确保每个 GSD 数据集都具有特定的访问参数，从而定义谁可以访问数据以及如何访问数据。只有被指定为 GSD 工作人员的人员才能访问 GSD 数据集。.

访问参数（例如密码）的使用应根据需要定义一定的复杂性和唯一性，并辅以加密和机器 ID 标签，以便只能从分配给授权 GSD 工作人员的特定硬件访问 GSD 数据。.

如果数据存储在云端，则只能使用符合 GDPR 规定的云服务，并根据需要采取额外的控制措施，以确保存储和传输中的数据免受未经授权的访问。.

项目特定的全球标准数据（GSD）应以只有与特定项目相关的员工才能访问的方式存储。跨项目访问应根据需要进行管理。.

8. GSD 数据保留政策

GSD数据仅在处理所需的最短时间内保留在活跃的处理环境中。此后，数据应根据合法利益要求进行安全归档，例如直至项目结算周期结束。.

随后，数据将根据公司已确定的合法利益要求进行安全存档或销毁。.

每月对存档数据进行审查，以确定不再需要的数据，并将这些数据提交给 ISGC 以获取处置指示。.

因任何重叠的法律法规而产生的有关数据保留的法律义务，应纳入合法利益评估的考量范围。.

9. GSD 数据披露政策

任何披露 GSD 的请求通常只能从源数据控制者处收到。.

已知直接从数据主体收到的请求存在网络钓鱼风险，此类请求如有，应转交给根据数据主体同意或与其之间存在的合同收集数据的相应数据控制者。.

只有在对提出请求的数据控制者代表的身份进行适当验证后，才会将要披露的数据发送给数据控制者，由数据控制者再转发给数据主体。.

在特殊情况下，如果需要直接向数据主体或其授权代表或执法机构披露数据，则应确保对提出请求者的身份进行充分的身份验证。.

所有数据披露请求均须经 ISGC 批准后方可发布数据，且该请求及评估文件应视为 GDPR 合规性所需文件。.

10. GSD 数据事件管理政策

根据本守则，“事件”是指任何可能表明违反 GSD 合规守则或其项下任何政策或程序的观察结果，无论是否怀疑任何数据已被泄露。.

举报人政策可用于确保公司内部或外部的任何观察者都能及时报告事件。.

TechVersions 获悉的任何此类事件都将记录在 GSD 事件管理登记册中，并提交给数据保护官 (DPO) 立即采取行动。.

数据保护官应审查事件报告，并立即采取措施解决事件，同时向信息系统治理中心报告事件。.

ISGC将迅速召开会议，评估此次事件，以确定是否涉及任何疑似数据泄露。如有必要，ISGC可责令立即进行技术法律审计，以评估事件风险。ISGC将根据风险评估结果，决定是否需要采取进一步行动，包括向相关数据的数据控制者发送数据泄露通知。.

如果组织内其他员工访问了全球数据安全数据库（GSD），则该事件被视为安全事件，而非“数据泄露”。但是，此类事件应调查未经授权访问的原因。如果是无意的意外访问，则可根据人力资源政策采取适当的内部纪律处分。如果数据未被转移或被外部人员访问，则该事件可归类为内部数据事故，不构成数据泄露。.

如果已知移出的访问权限或数据是加密形式，并且处于接收方无法解密的状态，则在对相关解密密钥的安全性进行适当的内部调查后，该访问可被归类为内部数据事故，不构成数据泄露。.

11. GSD 数据泄露通知政策

“数据泄露”事件是指 TechVersions 经过必要的调查后得知，对 GSD 下任何特定数据集的访问已被破坏，并且外部实体已访问或发送 GSD 数据集的事件。.

此类数据泄露事件应立即报告给 ISGC，ISGC 应立即通知与该数据集相关的数据控制者，并提供事件的相关详情。.

此类报告应具体说明违规行为的性质和范围、违规行为发生的时间和日期、受影响数据主体的详细信息、在发现违规行为后采取的行动等。必要时，数据泄露事件也可报告给监管机构。.

12. GSD 数据主体权利管理政策

TechVersions 数据处理系统已融入“隐私和安全设计”，以便符合 GDPR 的要求，特别是 GDPR 规定的数据主体权利。.

为了满足数据主体享有的“访问权”、“更正权”、“删除权”、“可移植权”和“限制权”等权利，TechVersions 已启用其 GSD 存储和访问系统，以便可以单独提取和处理属于特定数据主体的数据集。.

因此，该系统在设计时就充分考虑了GDPR最严格的要求。.

根据数据披露政策，每当收到数据主体行使此类权利的请求时，首先要验证该请求，然后，如果数据是从数据控制者处收到的，则会要求数据控制者确认数据披露。.

通常情况下，请求会在与数据控制者的通信中进行处理，如果需要移植，则会将其返回给数据控制者。.

在特殊情况下，如果 TechVersions 必须在没有数据控制者配合的情况下处理数据主体的请求，则会采取适当的预防措施来防止错误披露，因为 TechVersions 有权获得赔偿，以应对任何可能的错误披露，这符合其合法利益。.

13. GSD数据传输策略

GSD 数据通常通过应用程序接口 (API) 流入系统。对该接口的访问通过安全的密码访问系统进行，并在识别出重大 GSD 风险时辅以适当的第二因素身份验证。.

数据传输采用加密方式，并受到传输安全管理措施的约束，以应对已知的漏洞。.

该应用程序及其固有的存储和处理组件以及 API 均通过适当的恶意软件和安全访问管理系统进行保护，以防止未经授权的访问和恶意攻击。

如果 GSD 集也传输给客户或分包商，则传输通过加密通信通道进行管理，可以通过 API 或加密电子邮件进行。.

14. GSD市场营销使用政策

当 TechVersions 通过电子邮件、电话或其他方式使用 GSD 进行任何营销活动时，都会注意确保获得适当的同意或合同以进行此类沟通。.

TechVersions 还坚持要求其合作伙伴（包括线索生成器、分包处理商和客户）不得在未获得可用权限的情况下使用 GSD。.

如果无法获得明确的同意，则不会从线索提供者处收集任何业务联系数据，也不会将这些数据传递给客户或通过分包商进行处理。.

此类数据在进入 TechVersions 系统时会立即被销毁，并被识别为“未经适当处理同意的 GSD”。.

15. GSD同意政策

所有因数据主体位于欧盟/英国或其雇主位于欧盟/英国而被归类为 GSD 的信息，只有在数据主体按照 GDPR 要求的格式提供明确同意的情况下才能被接受。.

在GDPR生效之前，此类同意通常是根据个人数据处理原则收集的，其中包括隐私声明。隐私声明会说明收集哪些信息、收集目的、信息保留期限、信息安全措施、信息准确性、信息是否会被传输到欧盟以外进行处理等等。部分同意默认采用“选择加入”原则。.

根据 GDPR，个人数据的收集必须基于明确的同意，而“选择退出”是默认选项，并且只有在表示接受的肯定性行为的基础上，同意才会被接受。.

此外，隐私声明还应表明数据主体享有某些权利，例如“知悉下游处理者身份的权利”、“访问和更正的权利”、“数据可移植性和删除的权利”。.

鉴于新的要求，所有以 GDPR 生效前格式获得的同意均将被视为无效，TechVersions 将丢弃此类数据。.

为 TechVersions 生成潜在客户的外部出版商应通过其合同确认，如果数据主体位于欧盟/英国，则他们只会提供根据新的同意形式生成的潜在客户。.

16. GSD利益相关者沟通政策

TechVersions 通过众多外部组织开展运营，这些组织都是 TechVersions GDPR 合规计划的利益相关方。这些组织包括其客户、潜在客户开发商、分包商等。.

为有效遵守规定，除通过安全传输且仅向授权代表传输外，不得在与利益相关者的任何沟通中交换 GSD 数据。.

通过 API 进行的通信受访问策略控制，而任何其他通过电子邮件进行的通信都应通过电子邮件通信策略进行控制。.

本质上，电子邮件通信政策应规定，与利益相关者共享任何 GSD 或 GDPR 合规信息只能通过已通知的联系电子邮件地址进行，该地址在大多数情况下将是另一组织的 DPO，必要时，电子邮件通信可以加密并使用数字签名进行身份验证。.

17. GSD合法权益识别政策

TechVersions 认识到，数据主体的某些权利（例如数据删除或数据更正）可能与 TechVersions 的合法利益要求相冲突，或者可能与鉴于其他法律义务而适用于该数据的其他数据保留法律相冲突。.

在所有数据主体权利实施案例中，TechVersions 都会在采取进一步行动前对请求进行评估。如果 TechVersions 认为有必要拒绝请求或对其进行修改后予以接受，则会记录拒绝理由，并由 ISGC 制定 GSD 合法利益说明。.

如果数据不需要保持活跃状态​​，则可以安全地存档，直到合法权益到期为止。.

处理数据主体请求的合法利益论据的理由应传达给负责该数据主体的数据控制者，以便其转交给数据主体。.

18. GSD人员管理政策

GSD 将被视为一个数据集，在 TechVersions 保管期间，需要对其信息安全给予特别关注。.

因此，GSD 将根据需要由经过专门培训的员工进行适当标记和处理。.

考虑到 GSD 相关的风险级别，这些员工以及存储、访问和处理 GSD 的系统将得到安全管理。.

人员分配到此 GSD 处理流程以及人员移除应采取适当的安全措施进行管理，包括更高水平的背景核查、培训、物理访问身份、制裁政策等。.

人力资源政策需要根据GSD员工的需要进行适当升级。.

19. GSD匿名化政策

人们认识到，匿名化是降低 GSD 处理风险的一种策略。.

根据 GDPR 法规，只要匿名化过程结构合理，匿名化后的个人数据不被视为“个人数据”。.

鉴于其运营目前面临的 GDPR 风险程度；TechVersions 目前认为没有必要使用假名化作为风险缓解策略。.

20. GSD DRP-BCP 政策

TechVersions 认识到有效的灾难恢复和业务连续性计划对其运营（包括涉及 GSD 处理的运营）的重要性。.

TechVersions 将对 GSD 数据进行充分备份，并具备在发生任何意外情况时维持业务连续性的合理能力。.

21. GSD合规性文件政策

GDPR合规措施应形成文件记录，以便查阅。合规文件自创建之日起至少保存6年。.

如果任何文件可能成为执法部门要求或维护 TechVersions 合法权益的潜在证据，则只要该要求持续存在，该文件就会被保留。.

22. GSD审计政策

TechVersions 的内部安全审计团队应至少每年对 TechVersions 的信息资产进行一次审计，以评估其安全级别以及对 GDPR 和其他监管要求的合规性。.

当企业概况发生重大变化时，ISGC 可根据评估结果考虑进行外部审计。.

TechVersions 保留对其任何分包商的设施进行审核的权利，以确保其遵守合同义务。.

TechVersions 承认，授权对分包商的设施进行审计仅是一种授权，且只能在特殊情况下使用。这并不减轻分包商根据合同保证履行其合规义务的责任。.

23. GSD申诉处理政策

TechVersions 将提供多级申诉处理机制，以解决与任何数据主体之间可能产生的争议。此类申诉将首先由数据保护官 (DPO) 处理，其次由信息系统治理委员会 (ISGC) 处理，最后由董事会为此设立的在线争议解决委员会处理。.

任何来自 GDPR 监管机构的问询均应由数据保护官 (DPO) 处理，并在必要时上报至信息系统治理中心 (ISGC)。.

与客户、出版商或分包商之间的任何争议均应按照各自的合同协议处理。.

24. 网络安全策略

为了确保公司使用的 IT 基础设施安全，TechVersions 将采取强有力的信息安全策略，包括防火墙、入侵检测系统、恶意软件防护系统和系统补丁等，视情况而定。.

指定一名信息安全经理负责维护网络安全。.

PS：本守则可能会不时修订。.