全球隐私政策

目录

1. 目的

2. 范围

3. 政策声明

• 3.1 为个人数据的处理采取适当保护措施
• 3.2 遵守适用的法律
• 3.3 隐私权原则
• 3.4 获取本政策
• 3.5 本政策更新

4. 政策合规性

• 4.1 合规性生效日期
• 4.2 合规性管理
• 4.3 合规性评估
• 4.4 合规性例外情况
• 4.5 不合规

5. 相关政策和文档

6. 支持文档

7. 定义

1. 目的

思科致力于对其员工、客户、业务合作伙伴以及其他个人的个人数据提供隐私保护。因此，思科已实施全球隐私计划，从而在个人数据的创建、收集、使用、披露、存储、保护、访问、传输或其他处理方面建立并保持严格的标准。本全球隐私政策是该计划的基础，介绍了思科在全球范围内处理个人数据时采取的方法。 

2. 范围

任何思科集团公司的所有思科员工、承包商、供应商、顾问、临时派遣员工以及其他代理（ “思科工作人员” ）必须遵守本政策，包括与可能对任何思科网络或资源（包括在思科内部或外部托管的基于云的服务）具有访问权限的第三方存在关联的所有人员。

本全球隐私政策在全球范围内适用于思科处理的个人数据，无论是通过电子方式还是非电子方式进行处理（即，以硬拷贝、纸质或模拟形式）。本政策适用于代表思科或由思科执行的任何个人数据处理。

具体对于员工数据和业务个人数据而言，《思科全球员工数据保护政策》、《欧洲员工数据保护政策》和《思科业务个人数据隐私政策》是对本全球隐私政策的补充。这些内部政策文件分别更加详细地阐述了本全球隐私政策如何适用于员工数据和业务个人数据，并指导思科工作人员如何正确地处理个人数据。

3. 政策声明

3.1 为个人数据的处理采取适当保护措施

• 结合《全球员工数据保护政策》、《欧洲员工数据保护政策》和《业务个人数据隐私政策》，本全球隐私政策也旨在为处理委托给思科以及从要求提供适当保护措施的国家/地区传输的个人数据提供适当的安全保护措施。这是为了允许思科将个人数据传输到全球范围内有需要的地方，以支持其内部业务流程或推动服务和产品功能及改进。为此，《全球员工数据保护政策》、《欧洲员工数据保护政策》和《业务个人数据隐私政策》均阐述了在欧洲数据保护法律、美国、亚太经济合作组织 (APEC) 和其他国家或地区的个人数据和隐私法律或要求不同且适用的情况下所承担的额外义务和享有的法定权利。 

3.2 遵守适用的法律

• 思科在全球任何地方均应遵守适用的个人数据保护和隐私法律和要求。
• 在适用的个人数据保护和隐私法律所规定的个人数据保护标准高于本全球隐私政策的标准时，则以适用的个人数据保护法律的要求为准。在适用的个人数据保护和隐私法律所规定的个人数据保护标准低于本全球隐私政策的标准时，则以本全球隐私政策的要求为准。
• 如果思科工作人员有理由认为适用的法律导致思科无法履行本全球隐私政策规定的义务，应通过隐私申请表及时通知卓越隐私中心和思科法务部。在适用的法律和本全球隐私政策存在冲突时，首席隐私官和思科法务部应就如何解决此冲突做出负责任的决定，有疑问时应咨询相关的监管部门。这包括解决在第三国开展业务的过程中可能出现的冲突，此类冲突可能会对本政策提供的保证造成重大不利影响。

3.3 隐私权原则

• 以下基本原则概述了思科在收集、使用、披露、存储、保护、访问、传输或以其他方式处理个人数据时所遵循的做法。

• 公正

思科应以公正、合法、正当和透明的方式处理个人数据。

• 目的限制

思科应仅针对具体、明确且合法的目的创建和收集个人数据。任何后续处理应符合此等目的，除非思科已取得个人同意或经法律允许。

• 比例得当

思科处理的个人数据就其处理目的而言应充分、相关且不多余。

• 数据完整性 

思科应就其处理目的而言在合理必要的程度上保持个人数据准确、完整且及时更新。

• 数据保留和处置

思科以可识别个人身份的形式保留个人数据的期限不应超过完成获取个人数据时所针对的目的或其他经允许的目的所需的期限。此后，应将数据销毁、删除、匿名化或从我们的系统中删除。

• 数据安全

思科应采取适当且合理的物理、技术和组织措施，以防止个人数据遭到意外或非法破坏或意外丢失、变更、擅自披露、使用或访问。思科应指示并通过合同方式要求代表思科处理个人数据的第三方（如有）：(a) 仅出于与思科处理数据的目的相一致的目的处理数据；以及 (b) 实施适当的物理、技术和组织措施保护个人数据。

• 个人权利

思科在处理个人数据时应尊重个人在适用的个人数据保护和隐私法律下的权利。

• 负责

思科应实施适当的治理、政策、流程、控制和其他必要措施，使之能够证明其在处理个人数据时遵循本全球隐私政策以及适用的数据保护和隐私法律。

• 作为处理者的思科

如果思科作为处理者代表客户处理个人数据（此为思科根据合同协议条款向客户提供其产品和服务的一个不可分割的组成部分），思科将遵守上述数据安全和负责原则。思科还将合理配合相关客户，并在合理可能的情况下向相关客户提供协助，以促进客户遵守其他隐私原则以及设计隐私和默认隐私要求。

3.4 获取本政策

思科在面向公众的、数据主体可访问的思科网站上发布本政策供其查阅，如果数据主体是思科员工，则将本政策发布在员工可访问的思科内部网站上。

3.5 本政策更新

• 思科可能定期审查和修订其个人数据保护和隐私实践、政策和程序，包括本全球隐私政策。如有任何重大变更，思科应：

• 采取合理的措施告知所有思科集团公司、思科工作人员、客户、业务合作伙伴以及其他受修订影响的数据主体；及
• 根据情况在相关的内外部网站上发布适当的变更通知；及
• 根据适用法律通知相关监管机构。

4. 政策合规性

• 思科致力于确保所有思科工作人员遵守本全球隐私政策。思科工作人员必须遵守本全球政策。

4.1 合规性生效日期

• 本政策自批准后生效。

4.2 合规性管理

思科应委任一名数据保护官 (DPO)，并在高管的支持下制定和维护数据隐私计划，数据保护官应负责监控适用的隐私和数据保护法律以及本政策的遵守情况并确保遵守此类适用的隐私和数据保护法律以及本政策。

4.3 合规性评估

• 思科将通过各种方式监督本全球隐私政策的遵守情况，包括通过现有的业务工具提供报告、内部和外部审计、自我评估和/或反馈给政策负责人。思科将持续监督本政策的遵守情况。思科将定期审查本全球隐私政策是否仍然符合适用的个人数据保护和隐私法律并得以遵守。思科将根据要求向相关监管机构提供其内外部审计报告的最终结果，并适当保密。

4.4 合规性例外情况

• 如有任何豁免本全球隐私政策的例外情况，须取得首席隐私官和思科法务部的书面批准。
• 如有任何例外情况，应按照思科记录管理流程将例外情况记录存档。

4.5 不合规

• 遵守思科政策是一项强制要求。如果背离或未遵守本政策，包括企图通过绕过或故意操纵流程、系统或数据的方式规避规定的政策/流程，可能会受到纪律处分，包括解雇、民事诉讼和移交刑事检控（如果当地法律允许）。
• 在某些国家/地区，违反旨在保护个人数据的法规可能会导致思科和以个人身份应负责的人遭到行政制裁、处罚、索赔或禁令救济和/或其他民事或刑事起诉和救济。

5. 相关政策和支持文档

• 思科全球员工数据保护政策
• 思科欧洲员工数据保护政策
• 思科业务个人数据隐私政策
• 思科线上隐私声明
• 思科企业数据保留和销毁政策
• 思科商业行为准则

6. 支持文档

• 思科欧盟-美国隐私保护框架认证
• 思科瑞士-美国隐私保护框架认证
• 思科APEC 跨境隐私规则认证
• 思科APEC 处理者隐私认可认证

7. 定义

本文出现了以下术语：

本全球隐私政策已于 2023 年 1 月 4 日修订并生效。