技术安全保障制度

(网络安全保障、信息安全保密管理、用户信息安全管理)

本制度包含网络安全保障、信息安全保密管理、用户信息安全管理三大方面,全面落实《网络安全法》、行政指导文件技术安全硬性要求,实现平台内容 7×24小时实时监管、违规内容即时处置、数据全程留痕。

网站安全保障措施

  • 部署安全设施:部署 Web 应用防火墙、DDoS 高防、入侵检测系统、主机安全防护等安全设施;
  • 7×24 小时安全监控:建立 7×24 小时安全监控机制,每月开展漏洞扫描,每季度开展一次渗透测试;
  • HTTPS 加密传输:全站强制启用 HTTPS 加密传输,保障用户、内容数据传输安全;
  • 境内服务器部署:所有服务器部署境内阿里云,无境外服务器存储用户、业务数据。

信息安全保密管理措施

1 保密组织管理架构

公司设立信息安全保密管理小组:

职务 姓名 公司任职 保密管理职责
组长 林祺颖 技术负责人 全面负责信息安全保密管理,审批重大信息访问权限
副组长 唐志鹏 软件工程师 负责权限管理、数据加密、漏洞修复
成员 范建军 数据管理员 负责平台内容开发过程中的信息安全和数据保护
成员 叶紫归 安全审计员 负责保密协议审核、违规事件法律评估、合规性指导

成立由技术负责人为组长的信息安全保密管理小组,对用户信息、公司核心数据分类分级管理。

2 信息安全保密管理

保密等级 信息范围 管理要求 责任人
绝密 用户支付密码、核心密钥、数据库访问凭证 仅限林祺颖、唐志鹏授权接触,双人操作 + 书面审批 林祺颖
机密 用户身份证、银行卡号、完整手机号 加密存储,访问需唐志鹏审批,操作留痕 唐志鹏
内部 用户昵称、脱敏手机号、作品数据、运营数据 仅限内部使用,未经批准不得对外提供 范建军

用户信息安全管理措施

1 信息收集原则

平台在收集用户个人信息时,遵循以下四项基本准则:

  • 合法性与正当性:仅收集与服务直接相关、实现功能必需的信息,不超范围获取、不强制收集非必要信息;
  • 收集前明确告知:以清晰显著弹窗、《隐私政策》公示收集目的、使用范围、存储时长;用户自愿授权:未经明确同意,不收集、使用或向第三方提供个人信息;
  • 用户自愿授权:未经用户明确勾选同意,不收集、使用或向第三方提供个人信息;未成年人信息收集必须取得监护人同意;
  • 最小化收集:坚持够用即止,仅收集必需的最少信息,用户拒绝非必要信息收集不影响基础服务使用。

2 信息安全保护措施

  • 数据加密存储:敏感信息采用AES-256算法加密,密钥与数据分系统管理;
  • 界面脱敏展示:手机号、身份证号等敏感字段部分隐藏展示;
  • 传输通道加密:全程启用 TLS 加密协议,防止数据传输截获、篡改;
  • 权限访问控制:按岗位授予最小必要权限,无关人员无权查看用户敏感信息;
  • 操作日志与审计:所有用户信息查看、导出操作自动记录,每月开展安全审计排查异常访问。

3 用户个人信息五项权利保障

权利类型 保障方式
知情权 可随时查阅《隐私政策》,了解收集使用规则
访问权 通过"我的-个人信息"查看本人基本信息
更正权 信息有误可申请更正,7个工作日内处理完成
删除权 账号注销后30日内删除全部信息(法规保留除外)
投诉权 通过客服投诉,15个工作日内予以答复

4 信息泄漏事件应急响应

  • 发现后2小时内:启动预案,成立应急小组,暂停相关权限,防止扩大;
  • 发现后4小时内:完成初步排查,确定性质、范围、原因及影响用户数;
  • 发现后12小时内:通过短信、站内信通知受影响用户,提示防范措施;
  • 发现后24小时内:按规定向网信、公安、文旅监管部门书面报告,配合调查取证;
  • 发现后72小时内:完成系统漏洞修复、服务器全面加固,形成事件复盘报告归档。

本制度自颁布之日起施行,最终解释权归广州偷猫影业有限公司所有。