用户协议
本协议更新时间:【2024】年【5】月【16】日
本协议包含对您使用当前终端及网络的过程中可能涉及您的个人信息或其他相关权益的说明,请认真阅读本协议全部条文,特别是涉及需要您提供授权同意、或对您的行为进行限制的相关内容说明。当您点击“确认”、“同意”或“下一步”或类似按钮、勾选框,即表示您已接受本协议约定的全部内容,您所在组织将基于您的授权同意为您提供相应的服务或资源。
如您对本协议所述内容有任何疑问,您可联系您所在组织的IT管理员或您所属部门/组织的管理者(以下简称“您所在组织的管理人员”)进行沟通。为避免因网络使用问题导致影响正常业务工作,您所在组织也可能主动与您联系。
第一条 终端管控说明及提示
1.1 终端管控目的
随着互联网络和数字化的高速发展,您及您所在组织在工作和生活中便捷享用海量资源的同时,也在网络安全、信息安全等方面面临着前所未有的威胁。对于您所在组织而言,内部的核心业务系统及所承载的数据均是单位赖以生存的重要资产,一旦遭受外部攻击或内部泄密都将造成不可挽回的损失,也将损害您的切身利益,如无法对内部网络环境和资源进行灵活、有效的安全及访问管理,也会导致影响办公效率和工作效益。因此,为有效保障当前网络环境中的信息系统运行以及数据资产、信息内容的安全及高效利用,您所在组织有必要对接入当前网络环境的终端以及终端使用网络、访问特定资源的行为进行合理管控。
1.2 终端管控范围及方式
为有效实现管控目的,您所在组织可能会部署第三方供应商提供的准入控制、入网认证、安全审计、数据泄露防护、病毒查杀等单一或组合解决方案,并按需进行功能配置,具体应用情况需由您所在组织的管理人员协助确认。
一般而言,准入控制类产品/服务可基于预先设置的安全管控规则对终端设备接入网络、访问网络应用、安装及使用应用程序等进行许可控制; 入网认证解决方案会基于您所在组织对用户身份的统一管理需求设置入网验证规则或认证要求; 安全审计类产品/服务可审计的范围覆盖终端通过受控网络资源访问网络及应用的目标地址、网站页面/应用界面内容等具体情况、上传/发布/下载数据的行为、以及在终端设备上外接其他设备、安装及使用应用程序/插件等行为; 数据泄露防护类产品/服务则会基于有效防范信息泄露的需求、全方位覆盖对可能接触单位保密信息的终端的各类流量出入口的管控,包括但不限于对即时通讯类应用、邮件客户端、文件传输类、网盘类应用及互联网业务流量进行监测和风险防控; 终端检测与响应类解决方案可通过对终端域名访问、应用使用、文件存储等涉及的数据进行全面的检测,并结合终端基础信息帮助用户有效查杀病毒等安全威胁。
基于您所在组织对终端进行管控的策略配置,您所在组织可能根据您使用终端和网络流量的整体情况对您上网或访问相关资源的权限进行调配或限制,包括但不限于可能在您访问网络前强制要求跳转至认证页面进行认证、或直接拦截某些可能存在安全风险的页面/页面内容、或在某些高峰时段限制您的网络流量,在必要的时候您所在组织也可能向您推送重要提示/通知,以及要求您配合执行一些风险处置或其他相关操作。
1.3 个人信息保护
1.3.1 可能涉及个人信息
如前所述,基于不同程度的管控需求,您所在组织可能部署应用不同类型的解决方案,不同解决方案的功能实现所必要处理的个人信息也有所不同, 本协议附件中已根据您所在组织当前采用的解决方案对应说明可能涉及处理的个人信息详细情况。 您所在组织将尽可能在正式启用某一解决方案或相关重要功能时通过您所使用的终端向您告知说明,以便帮助您知悉当前终端使用涉及处理您的个人信息的具体情况,但基于技术方式本身的局限或避免影响您使用终端等合理考虑,您所在组织也可能采用静默的方式对解决方案进行升级更新以便支持新的管控功能,此种情况下,如您需了解您所使用的终端已具备的具体管控功能及处理个人信息的详细情况,您需联系您所在组织的管理人员,以获取进一步的协助。
1.3.2 个人信息权益保护
如前所述,您所在组织对网络终端进行管控的主要目的在于切实维护网络及信息安全,您所在组织尊重并将努力保护终端用户的个人信息相关合法权益,在进行终端管控的过程中将尽可能保障您的知情权及其他个人信息主体权益,以及仅会在最小必要范围内处理相关个人信息,并会采取相应的技术措施(包括但不限于脱敏、加密、严格控制访问权限等)保障您的个人信息安全。
1.4 受控终端使用须知
请在知悉并同意前述管控目的、范围、方式及所涉个人信息处理活动的前提下使用受控网络资源,并请注意不要在当前受管控的网络或终端上处理与工作无关的个人事务、或将不希望向您所在组织披露的个人信息置于受管控的网络环境/工作空间中,以便保护好您的个人隐私。
如您需进一步了解您所在组织配置进入管控范围内的具体操作行为策略、或流量/应用类型、资源类型等情况,或对您所在组织对个人信息所采取的保护措施、委托第三方处理信息的具体情况等存在疑问,或需提出个人信息主体权利相关的任何请求,您可将您的具体诉求反馈至您所在组织的管理人员。
第二条 网络安全规范
2.1 禁止行为
您在使用您所在组织提供的网络时均应严格遵守网络安全相关法律规范要求,并应杜绝从事以及主动防范他人从事以下行为:
2.1.1 通过上传、公开发布或定向发送等方式传播可能干扰、破坏或限制任何计算机软件、硬件或通讯设备功能的软件病毒或其他计算机代码、程序或相关资料等;
2.1.2 通过技术手段非法侵入、破坏、干扰、改变或试图改变相关产品/服务的功能、软件、服务器系统、网络的运行或连接,或者修改、增加、删除、窃取、截留、替换承载相关产品/服务的服务器系统中的数据,或者非法挤占相关产品/服务之服务器空间,或者实施其他的使之超负荷运行的行为;
2.1.3 擅自通过扫描等方式挖掘/探测所用产品/服务或服务器系统等可能存在的漏洞或缺陷,或违反相关法律规定发布漏洞或缺陷,或利用相关漏洞或缺陷从事损害您所在组织或供应商等第三方的行为;
2.1.4 制作、发布、传播用于上述用途的软件、介质或方法等,无论相关行为是否出于商业目的。
2.2 网络安全维护
网络的安全维护不仅仅是IT管理员的职责,也与每一位终端用户的行为规范紧密相关。为有效维护您所用网络及信息系统的安全稳定运行、以及保障您顺利使用网络开展业务活动或相关工作,您所在组织需要您在必要时予以配合,包括但不限于某些软件升级更新需要您手动进行操作、当您所用终端上出现安全漏洞时可能需要您协助及时修复或发现病毒/木马需要及时查杀。由于某些类型的安全风险一旦被泄露或被利用则可能影响国家安全或公共安全,您所在组织可能在必要时开启自动更新防护功能、或在紧急情况下配合监管单位或产品/服务供应商采取适当和必要措施处置相关安全风险,如因此导致您对网络或相关设备/资源的使用受到影响,您可联系IT管理员进行处理。 基于前述说明,您知悉并同意在必要时积极予以配合,并承诺遵守您所在组织的保密和信息安全相关规范要求,绝不擅自对外披露可能影响您所在组织网络安全的任何信息。
第三条 账号使用规范
您在登录并使用网络、设备或信息系统账号期间应自觉遵守相关法律规范及您所在组织的管理制度,包括但不限于应采取必要措施有效保护账号安全、不得违规与他人共享账号或授权他人使用账号、也不得通过任何方式超出权限范围使用账号或擅自使用他人账号。如用户发现账号及密码被盗用、或任何其他未经合法授权即获取账号使用权限的情形,应立即联系您所在组织的管理人员进行处理。
同时,您 应保证您注册的账号名称、设置的头像和简介等资料中均不会出现任何违反法律规范、公共政策、社会治安管理规定、或侵犯任何第三方合法权益的信息内容,包括但不限于:不得假冒、仿冒捏造政党、党政军机关、企事业单位、社会组织、国家(地区)、国际组织、新闻媒体的名称或标识、以及重要空间的地理名称、标识等;不得冒充他人(包括但不限于管理员)身份或擅自使用他人的姓名、肖像或商标/标识;不得故意夹带二维码、网址、邮箱、联系方式等;不得含有名不副实、夸大其词等可能使公众受骗或者产生误解的内容等。
第四条 信息内容规范
您在使用网络时应严格遵守适用的法律法规,遵守公共秩序,尊重社会公德,不得通过任何方式制作、复制、发布、传播非法或不良信息。
4.1 您不应通过任何方式制作、复制、发布、传播含有下列内容的信息,或者为制作、复制、发布、传播含有下列内容的信息提供技术支持或任何便利/帮助:
4.1.1 宣扬暴力、色情、恐怖主义、极端主义或带有攻击性质、仇恨性质的信息;
4.1.2 宣扬、鼓吹、教唆、煽动或协助任何违法/犯罪活动的信息;
4.1.3 包含种族、性别、宗教、国籍、残疾、性取向、年龄或任何歧视性内容的信息;
4.1.4 侮辱或者诽谤他人,侵害他人名誉、隐私、知识产权或者其他合法权益,以及危害未成年人身心健康,不利于未成年人健康成长的信息;
4.1.5 虚假、欺骗或误导性信息;
4.1.6 您所适用的法律规范所禁止的其他信息。
4.2 如果您的终端使用行为适用中华人民共和国的法律法规,则您不应任何方式制作、复制、发布、传播含有下列内容的信息,或者为制作、复制、发布、传播含有下列内容的信息提供技术支持或任何便利/帮助:
4.2.1 反对宪法所确定的基本原则,危害国家安全、荣誉和利益,泄露国家秘密,煽动颠覆国家政权,推翻社会主义制度,煽动分裂国家,破坏国家统一;
4.2.2 破坏国家宗教政策,宣扬邪教和封建迷信;
4.2.3 编造、传播扰乱金融市场或经济秩序的信息;
4.2.4 编造、传播险情、疫情、警情、自然灾害、生产安全、食品药品等产品安全以及其他方面扰乱社会秩序的信息;
4.2.5 散布煽动非法集会、结社、游行、示威或者其他扰乱社会管理秩序、破坏社会稳定的信息。
如您所在组织发现您从事或可能从事违反前述规范的行为,您所在组织有权采取相应的处置措施,包括但不限于立即中止/终止您对网络或相关资源的使用、删除相应信息等,以及可能在必要时将有关情况向监管或执法部门汇报,以便有效保障网络安全和您所在组织及其全体成员的合法权益。
附件:可能涉及的个人信息说明
基于办公网络身份认证和安全访问管理的需求及相应的功能配置,您接入办公网络可能涉及被收集并处理的相关个人信息有:
1. 您在办公网络环境中的身份相关信息:包括您的用户名称及对应ID、终端计算机名、IP地址;
2. 您所用设备相关信息:包括设备名称、型号及MAC地址、CPU型号及架构等基本信息、操作系统相关信息(包括版本及账号信息、系统网络配置、进程列表信息、系统服务列表)、浏览器版本信息、CPU和内存信息;
3. 您接入并使用办公网络的相关情况:包括客户端自身的程序版本、配置及运行日志记录信息,终端设备上安装及运行的软件/应用信息、通过应用程序访问的域名/IP地址信息,以及是否运行指定杀毒软件、是否运行指定进程、是否存在指定文件、是否开启系统防火墙等,还包括专门针对终端工作空间进行审计所记录的您在工作空间中进行拷贝/导入/导出/截屏等操作的进程名称、导出/入的文件名称、文件大小、文件md5数值、复制文本的内容,以及您所在组织通过录屏方式对您在内部敏感业务系统的操作行为进行审计记录的相关信息。
如您所在组织选用了云安全访问服务,可能将涉及处理您的如下信息:
1. 您作为终端上网用户的身份相关信息: 用户名称/账号名称及ID、登录客户端的密码、以及手机号码、邮箱地址、职称、工号及在职状态、岗位、所属部门/用户组等;
2. 根据您所在组织配置使用云安全访问服务中的不同服务功能情况(具体可包含互联网行为管理、零信任网络访问管理、威胁防护管理和数据泄露防护),可能还涉及处理如下相关信息:
(1) 终端设备或网络环境、应用相关信息:终端类型和设备ID、服务端口、MAC地址信息,操作系统版本号、处理器类型及架构等信息,以及终端设备/认证用户所处地理位置(省市);
(2) 终端认证用户访问网络的相关详情信息:访问网络的源IP、目的IP、运营商信息、访问的具体应用名称、详细的请求信息及页面响应内容、访问时间;基于用户配置的具体策略,可能包括但不限于相关即时通讯应用的聊天记录信息、收发邮件的详情信息(含附件)、通过其他方式外发的文件信息、U盘/移动硬盘使用信息等;
(3) 处理终端设备或网络发现的相关安全风险信息,如:漏洞标识和危害摘要信息、遭受的攻击/威胁类型等,以及与安全风险相关的网络访问或其他类型操作的相关信息。
如您所在组织基于组织架构分布和统一管理的需求,采用了全球架构的云安全访问服务,则您的前列数据在采集后进行检测分析的过程中,可能因您所在组织选择的数据中心位置和统一管理及访问数据需求的满足而发生跨境传输,具体的跨境传输路径需视您所在组织实际部署和应用的情况而定,您可联系您所在组织的管理人员协助确认。