1. 简介

FPT智能云有限公司（以下简称“FPT智能云”）的企业数据保护政策对处理客户、业务合作伙伴、员工或任何其他个人的个人数据制定了严格的要求。该政策符合《欧洲数据保护指令》的要求，并确保遵守世界各地现行的国家和国际数据保护法原则。该政策为FPT智能云制定了全球适用的数据保护和安全标准，并规范了FPT智能云、其子公司和法人实体之间的信息共享。FPT智能云已制定了指导性数据保护原则，其中包括透明度、数据经济性和数据安全性，作为FPT智能云个人数据保护政策和信息安全管理指南。  

FPT智能云的管理人员和员工有义务遵守公司数据保护政策并遵守当地数据保护法律。作为数据保护官，我有责任确保FPT智能云的数据保护规则和原则在全球范围内得到遵守。  

我很乐意回答您有关数据保护和国际个人数据传输的任何问题。

范世明

数据保护官，[email protected]，+84 913571357

1.1. 目的 

 本数据保护政策适用于全球范围内的FPT智能云、其子公司及法人实体，并基于全球公认的数据保护基本原则。确保数据保护是建立值得信赖的业务关系以及FPT智能云作为一流雇主声誉的基础。  
数据保护政策是FPT智能云、其子公司和法人实体之间跨境数据传输的必要框架条件之一。该政策确保数据保护达到欧盟《通用数据保护条例》、《个人数据保护法令》第13号、APPI、PDPA或其他国家个人数据保护条例以及跨境数据传输国家法律规定的充分水平，包括向尚未制定充分数据保护法的国家传输。  
为了规范个人信息的收集、处理、传输和使用，促进个人信息的合理、合法、公正、透明使用，防止个人信息被窃取、篡改、损毁、丢失或泄露，FPT智能云制定了个人信息保护管理政策和信息安全政策。

 1.2. 适用范围 

 FPT Smart Cloud 对个人数据的所有处理均属于本程序范围。

指所有涉及收集、处理、使用和传输个人数据的FPT智能云业务流程和信息系统，以及所有代表FPT智能云处理个人数据的员工、承包商和第三方提供商。本政策对全球所有涉及个人身份信息处理的部门和职能部门均具有约束力。FPT智能云的每个部门、法人实体或子公司都必须遵循此程序。本政策涵盖所有根据《通用数据保护条例》(GDPR)、《个人数据保护法令》第13号以及其他国家/国际数据保护
法规的要求收集个人数据的数据主体。  

1.3. 国家法律的适用 

本数据保护政策涵盖国际公认的数据隐私原则，但不会取代现有的国家法律。本政策是对国家数据隐私法律的补充。如果相关国家法律与本数据保护政策相冲突或要求比本政策更严格，则以相关国家法律为准。在没有相应国家立法的情况下，也必须遵守本数据保护政策的内容。必须遵守国家法律规定的数据处理报告要求。  
FPT Smart Cloud 的各子公司或法人实体均有责任遵守本数据保护政策及法定义务。如有理由相信法定义务与本数据保护政策项下的职责相冲突，相关子公司或法人实体必须告知数据保护官。如国家法律与本数据保护政策存在冲突，FPT Smart Cloud 的数据保护官将亲自与 FPT Smart Cloud 的相关子公司或法人实体合作，找到符合本数据保护政策宗旨的切实可行的解决方案。

1.4 预防违反国内和国际数据保护法 

 数据保护官 (DPO) 向负责数据保护的董事会成员汇报，负责监督 FPT Smart Cloud 的合规和监管职能，旨在识别、降低和监控与个人数据处理相关的所有潜在监管和声誉风险领域。
《个人数据保护政策》及指南、程序和模板每年修订和补充一次。如果法律、法规或商业惯例发生任何重大变化，DPO 和董事会成员应及时审查并批准《手册》。DPO定期在在线培训
平台上提供在线个人数据保护教育课程，让员工了解最新的监管动态、政策和程序更新以及法律要求。
如果发生违反个人数据保护政策、指南、程序和模板的情况，或初步确定可能发生违规行为，则必须向 DPO 和高级管理层报告。
高级管理层应对违反政策的员工施加适当的制裁。制裁可能包括以下任何一项或全部：谴责信、罚款、暂时停职、终止雇佣或高级管理层认为适当的任何其他制裁。

2. 政策

 2.1. 指导原则 

2.2.1 个人数据保护规则 

1. 个人资料须按照法律规定处理。

1. 除非法律另有规定，数据主体会被告知与处理其个人数据有关的活动。

1. 个人数据的处理应当按照个人数据控制者、个人数据处理者、个人数据控制者兼处理者以及第三方已登记并声明的目的进行。

1. 所收集的个人信息应当适合处理的范围和目的。 禁止以任何形式买卖个人信息，法律另有规定者除外。 

1. 处理目的，应更新和添加个人数据。

1. 处理过程中，个人数据应受到保护和安全保障。具体而言，应保护个人数据免受违反个人数据保护法规的行为，并防止因事故和使用技术措施而造成的丢失、毁损或损坏。

1. 期限内保存，法律另有规定的除外。

1. 个人信息控制者、个人信息控制者兼处理者应当遵守本条第1款至第7款规定的数据处理规则，并证明其遵守情况。

2.2.2 保障数据主体的权利 

1. 知情权 

数据主体有权了解其个人数据的处理情况，除非法律另有规定。

1. 同意权 

除第 13/2023/NĐ-CP 号法令第 17 条规定的情况外，数据主体有权同意处理其个人数据。

1. 访问个人数据的权利 

数据主体有权访问其个人数据，以查看、更正或请求更正其个人数据，除非法律另有规定。

1. 撤回同意的权利 

数据主体有权撤回其同意，除非法律另有规定。

1. 删除个人数据的权利 

数据主体有权删除或者要求删除其个人数据，除非法律另有规定。

1. 获得处理限制的权利 

1. 数据主体有权要求对其个人数据的处理进行限制，除非法律另有规定。

1. 数据处理限制应在数据主体提出请求后 72 小时内针对数据主体请求的所有个人数据进行，除非法律另有规定。

1. 获取个人数据的权利 

数据主体有权要求 个人数据控制者和个人数据 控制者兼处理者 向其提供其个人资料，除非法律另有规定。 

1. 反对处理的权利 

1. a) 数据主体有权反对 个人数据控制者和个人数据 控制者兼处理者 处理其个人数据以防止或限制个人数据的披露或将个人数据用于广告和营销目的，除非法律另有规定。
2. b) 个人数据控制者与个人数据控制者兼处理者应当在收到数据主体的请求后72小时内履行该请求，法律另有规定的除外。

1. 提出投诉、举报和诉讼的权利  

数据主体有权提出投诉、谴责和诉讼 依法规定。 

1. 索赔权 

数据主体有权要求 损害 违反个人信息保护法规规定时，依法应当予以保护，但当事人另有约定或者法律另有规定的除外。 

1. 自我保护的权利 

数据主体有自我保护的权利 根据《民法典》和其他相关法律、法令的规定 或要求主管机关、组织依据民法典第11条规定实施民事权利保护措施。 

2.2. 客户和提供商数据（第三方） 

2.2.1 合同关系的数据处理 

客户和供应商（第三方）的个人数据可能会被处理，以用于建立、执行和终止合同。在合同签订之前（即合同启动阶段），个人数据可能会被处理，以准备投标或采购订单，或满足与合同签订相关的其他请求。在合同准备过程中，我们可以使用客户或供应商提供的信息与他们联系。客户或供应商提出的任何限制要求均须遵守。

FPT智能云无需数据主体的同意即可履行合同义务。  

公众，意味着每个客户、提供商、数据主体必须能够访问有关FPT智能云个人数据保护原则和活动的信息，并且必须能够以简单的方式与FPT智能云的数据保护官进行沟通：  

范世明 | 数据保护官 | FPT SMART CLOUD

地址：越南河内市 Cau Giay 坊 Pham Van Bach 街 10 号 FPT 大厦
手机：+84 913571357 | 电话： 1900638399 
网址： https://fptsmartcloud.com/  

2.2.2 同意数据处理 

数据处理需经数据主体同意。在同意之前，必须根据公司的个人数据保护政策告知数据主体。为了获得数据主体的同意，必须向数据主体告知以下内容：

1. a) 要处理的个人数据类型；
2. b) 处理个人数据的目的；
3. c) 组织和个人可以处理个人数据；
4. d) 数据主体的权利和义务。

出于文件记录的目的，同意声明必须以书面或电子形式获得。在某些情况下，例如电话交谈，可以口头表示同意。同意的授予必须记录在案。

2.2.3 根据法律授权的数据处理 

如果国家法律要求、规定或允许，个人数据的处理也是允许的。数据处理的类型和范围必须是法律授权的数据处理活动所必需的，并且必须符合相关的法律规定。   

2.2.4 根据合法利益进行数据处理 

如果出于FPT智能云合法利益的需要，个人数据也可能被处理。合法利益通常具有法律性质（例如，收取未偿应收账款）或商业性质（例如，避免违约）。如果在个别情况下，有证据表明数据主体的利益值得保护，且该利益优先，则不得出于合法利益的目的处理个人数据。在处理数据之前，必须确定是否存在值得保护的利益。

2.2.5 用户数据和互联网 

如果在网站或应用程序中收集、处理和使用个人数据，则必须在隐私声明中告知数据主体，并在适用的情况下提供有关 Cookie 的信息。隐私声明和任何 Cookie 信息必须集成在一起，以便数据主体能够轻松识别、直接访问并持续获取。

如果创建使用配置文件（跟踪）来评估网站和应用程序的使用情况，则必须始终在隐私声明中相应地告知数据主体。

如果网站或应用程序可以在仅限注册用户访问的区域内访问个人数据，则数据主体的身份识别和身份验证必须在访问期间提供足够的保护。  

2.3. 员工数据 

2.3.1 雇佣关系的数据处理 

在雇佣关系中，个人数据可能因签订、履行和终止雇佣协议的需要而被处理。在建立雇佣关系时，申请人的个人数据可能会被处理。如果候选人被拒绝，则必须按照规定的保留期限删除其数据，除非申请人同意保留数据以供将来的甄选流程使用。在FPT智能云系统中处理其个人数据之前，必须获得每位候选人的同意。将数据用于进一步的申请流程或与其他FPT智能云法人实体共享申请之前，也需要获得同意。  

在现有的雇佣关系中，如果以下授权数据处理的情况均不适用，则数据处理必须始终与雇佣协议的目的相关。

如果在申请过程中需要从第三方收集申请人信息，则必须遵守相应国家法律的规定。如有疑问，必须获得数据主体的同意。  

处理与雇佣关系相关但最初并非履行雇佣协议一部分的个人数据必须获得法律授权。这包括法律要求、与员工代表的集体规定、员工同意或公司合法利益。

员工还可以提供其他人的信息，例如员工的家属和家人，以便公司在需要时提供相关福利或与其签订合同。员工向公司提供其他人的信息之前，必须告知他们其打算提供给公司的信息，并负责征得其家属和家人的同意。如果员工与公司共享其信息，则可能还需要阅读本政策。

2.3.2 根据法律授权的数据处理 

如果国家法律要求、要求或授权，则允许处理员工个人数据。数据处理的类型和范围必须是合法授权的数据处理活动所必需的，并且必须符合相关的法律规定。如果法律有一定的灵活性，则必须考虑员工值得保护的利益。   

2.3.3 数据处理集体协议 

如果数据处理活动超出了履行合同的目的，则在获得集体协议授权的情况下，可能是允许的。集体协议是指在相关劳动法允许的范围内，雇主与雇员代表之间达成的薪酬等级协议或协议。协议必须涵盖预期数据处理活动的具体目的，并且必须在国家数据保护法规的范围内制定。  

2.3.4 同意数据处理 

 员工数据可在获得相关人员同意后进行处理。同意声明必须自愿提交。非自愿同意无效。为了便于记录，必须以书面或电子形式获得同意声明。在某些情况下，同意可以口头形式表示，但必须妥善记录。如果相关方在知情的情况下自愿提供数据，且国家法律未要求明确同意，则可视为同意。在给予同意之前，必须根据本数据保护政策告知数据主体。

2.3.5 根据合法利益进行数据处理 

如果出于FPT智能云合法利益的需要，个人数据也可能被处理。合法利益通常具有法律性质（例如，收取未偿应收账款）或商业性质（例如，避免违约）。如果在个别情况下，有证据表明数据主体的利益值得保护，且该利益优先，则不得出于合法利益的目的处理个人数据。在处理数据之前，必须确定是否存在值得保护的利益。

2.3.6 电信和互联网 

公司提供的电话设备、电子邮件地址、内联网、互联网以及内部社交网络主要用于工作相关任务。它们是公司工具和公司资源。您可以在适用法律法规和公司内部政策的范围内使用它们。如果授权用于私人目的，则必须遵守电信保密法和相关的国家电信法（如适用）。

不会对电话和电子邮件通信或内联网/互联网使用情况进行全面监控。为防范针对IT基础设施或个人用户的攻击，可对连接至FPT智能云网络的连接实施保护措施，以阻止技术上有害的内容或分析攻击模式。出于安全考虑，电话设备、电子邮件地址、内联网/互联网和内部社交网络的使用情况可能会被暂时记录。只有在具体、合理地证明涉嫌违反FPT智能云法律或政策的情况下，才能对特定人员的此类数据进行评估。评估只能由调查部门进行，同时确保符合比例原则。必须遵守相关的国家法律。  

2.4. 州/政府或联邦机构或其他监管机构的访问请求 

 州/政府或联邦机构或其他监管机构的个人数据访问请求将以与国际数据传输相同的方式和条件处理，并严格遵守相应国家/地区的国家法律的要求。所有访问请求均在访问请求登记册中登记。所有请求均由数据保护官 (DPO) 管理，并须经 FPT 智能云负责数据保护的董事会成员同意。数据保护官 (DPO) 负责与州/政府或联邦机构或其他监管机构沟通。数据保护官 (DPO) 负责访问请求登记册。如果不违反国家/地区法律，FPT 智能云将立即将个人数据请求告知数据主体。    

2.5. 政策审查与评估 

 该政策必须每年进行两次审查和评估，以反映国际标准、法律法规、技术和业务的最新状态，并确保个人数据管理实践的及时性。

2.6. 宣布和发布 

本政策以公告程序，使员工了解个人资料保护管理政策之相关原则及规定，以便员工遵守。  
 
本政策必须由数据保护官和负责的FPT智能云董事会成员修订和审查。数据保护官负责政策的实施和内部审计。   

3.数据保护控制 

每年都会通过数据保护审计和其他控制措施检查数据保护政策和适用数据保护法律的遵守情况。这些控制措施的执行由数据保护代表负责。数据保护控制措施的结果必须报告给数据保护官和负责的FPT智能云董事会成员。根据要求，数据保护控制措施的结果将提供给负责的数据保护机构。负责的数据保护机构可以根据国家法律的规定，自行执行符合本政策规定的控制措施。   

4.技术和组织措施 

作为在委托数据处理协议范围内处理个人数据的非上市公司，FPT Smart Cloud 必须采取技术和组织程序，确保遵守欧洲数据保护条例和其他国际数据保护法。除此之外，FPT Smart Cloud 还必须保证系统和组件的机密性、完整性、可用性和弹性。
以下措施涵盖了当前最低安全级别的所有方面。它们旨在评估 FPT Smart Cloud 在代表控制者处理个人数据时的数据保护级别。如果 FPT Smart Cloud 连接到控制者的系统，FPT Smart Cloud 必须至少完成机密性部分，即 FPT Smart Cloud 需要完成访问和访问授权控制以及职责分离控制（下文 b）c）d）部分）。   
 
以下是FPT智能云目前已实现的技术和组织措施。并实施了持续改进流程：

4.1. 保密性 

1. a) 门禁控制/楼宇安全

访问控制的目的是防止未经授权使用用于处理和使用个人数据的数据处理系统。 

特定系统的密码进行身份识别和认证后，才能进入数据处理系统。

☒报警系统

☒保护建筑竖井

☒自动门禁系统

☒通过芯片卡传送器进行访问控制

☒带密码锁的锁定系统

☒手动锁定系统

☐ 生物识别门禁

☒入口处视频监控

☐ 光栅/运动传感器

☒安全锁

☒钥匙交接规定（交接钥匙等）

☒清洁工/接待员的身份检查

☒记录访客

☒特选清洁人员的承诺

☒特殊选定安全的承诺

☒承诺佩戴授权卡的工作人员

1. b) 物理访问控制/系统保护

物理访问控制的目的是防止未经授权的人员物理访问处理或使用个人数据的数据处理设备。 

商业场所及设施根据各自的安全需求，被划分为不同的安全区域，并设有不同的访问授权，并由安保人员进行监控。

服务中心或ODC等特殊安全区域的访问，均由单独的访问区域进行额外保护。其结构和实体安全标准均符合数据中心的安全要求。

☒内部访问控制

☒隔离控制（用户权限许可）

☒强密码规范

☐ 生物特征认证

☒验证用户名/密码

☒将用户配置文件分配给IT系统

☒锁定服务器机箱/计算机

☒使用VPN技术（远程访问）

☒锁定外部接口（USB等）

☒移动数据媒体加密

☒入侵检测系统

☐ 中央智能手机管理（例如远程删除）

☐ 智能手机内容加密

☐ 智能手机的安全密码

☒笔记本电脑上数据媒体的加密

☒分配个人用户名

☐ 或者，请具体说明：

1. c) 电子访问控制/安全访问授权

电子访问控制措施的目标是，只有获得访问授权的数据才可以被访问，并且在处理、使用和保存此类数据后，个人数据不能以未经授权的方式被读取、复制、更改或删除。 

通过相应的角色和授权概念，可以确保在系统和应用程序中访问执行特定任务所需的数据。

 ☒权利授权概念

☒系统管理员的权限管理

☒系统管理员数量“减少到最低限度”

☒删除记录

☒记录系统访问事件，特别是数据的输入、更改和删除

☒应用病毒防护

☒重新使用前对介质进行物理删除

☒软件防火墙的应用

☒数据载体的安全存储

☒密码策略（包括定义密码长度、密码更改）

☒数据载体加密

☒使用合适的碎纸机或专业服务提供商

☒硬件防火墙的应用

☒妥善销毁数据载体

☐ 或者，请具体说明：

☒访问日志

收集目的分离的措施 

分离控制的目的是确保为不同目的收集的数据能够被分开处理。 

个人数据仅供处理方内部使用。向分包商等第三方转移，仅基于合同安排和《欧洲数据保护条例》的规定。

处理方员工被指示仅在其职责框架内和出于其职责目的（例如，提供服务）收集、处理和使用个人数据。在技术层面上，为此目的，我们使用了多客户端功能、功能分离以及测试和生产系统的分离。

☒使用单独的系统或数据载体进行物理分离存储

☒授权概念的定义

☒生产系统和测试系统之间的划分

☒为同一目的处理的数据记录加密

☒测试系统中没有生产数据

☒逻辑客户端分离（基于软件）

☐ 或者，请具体说明：

1. e) 假名化

以这样的方式处理个人数据：如果没有附加信息的帮助，数据就无法与特定的数据主体关联，前提是这些附加信息单独存储，并受到适当的技术和组织措施的约束。

 ☒以假名（或匿名）的方式处理数据

☒将作业文件和存储分离在独立、安全的 IT 系统中

4.2. 诚信 

 a) 数据传输控制/数据传输安全 

数据传输控制的目的是确保个人数据在传输过程中不会被未经授权读取、复制、更改或删除，并且可以监控并确定个人数据的传输对象。 

FPT Smart Cloud 仅在存在相应合同的情况下，且仅出于特定目的将个人数据传输给第三方（例如客户、分包商、服务提供商）。如果将个人数据传输至位于欧盟/欧洲经济区或原国家/地区以外的公司，FPT Smart Cloud 会根据欧盟数据保护条例，例如通过基于欧盟示范合同条款签订合同，确保目标地点或组织拥有充分的数据保护水平。

 ☒建立专用线路和VPN隧道

☒电子邮件加密

☒记录数据接收者以及预定的传输期限和约定的删除期限

☒实体运输：选择专门的运输人员和承运人 

☐ 或者，请具体说明：

☒以匿名或假名方式传输数据

☒创建常规数据请求和数据传输的概览

☒物理运输：使用安全运输容器/包装

☒传输数据时使用加密的外部设备（CD、USB、记忆棒等）

1. b) 输入控制

 输入控制的目的是确保借助适当的措施可以回顾和监控数据输入的情况。 

系统输入以日志文件的形式记录。这样，以后可以查看个人数据是否被输入、修改或删除，以及由谁输入、修改或删除。

☒创建概览，证明哪个应用程序有权输入、修改或删除哪些数据

☒权限设置，根据权限分配概念有权输入、修改和删除数据

☒持续记录数据的输入、修改和删除

☒使用单独分配的用户名来确保访问控制或输入、修改或删除数据

☒保留归档系统，以评估传输到自动处理的数据的来源

☒活动日志

☐ 否则，请具体说明。

4.3. 可用性和弹性 

1. a) 可用性控制和保护，以防止意外或故意的破坏或损失

可用性控制的目的是确保个人数据免遭意外破坏和丢失。 

如果个人数据不再需要用于其处理目的，则会立即删除。需要注意的是，每次删除时，个人数据仅会首先被锁定，并在一定延迟后永久删除。这样做是为了防止意外删除或可能造成的故意损害。

☒服务器机房配备空调、保护插头、灭火器

☒备份单独存放在安全的地方

☒应急计划

☒业务连续性计划

☒卫生设施下方禁止设置服务器机房

☒定期备份数据文件

☒监管应急计划

☐ 或者，请具体说明：

1. b) 快速恢复

 ☒恢复acc、备份和恢复概念

☒恢复测试

☒监管应急预案

4.4. 处理定期审查、评估和评价的程序 

1. a) 数据保护管理

 ☒有关处理个人数据（收集、处理或使用）的原则受公司内部政策的约束

☒已以书面形式指定数据保护官

☒员工致力于数据保密/个人数据处理

☒员工承诺遵守电信保密规定

☒提供处理操作的内部列表。

☒数据保护官参与数据保护影响评估

☒数据保护官是组织结构图的成员

☒员工培训课程。

☒实施旨在检测未经授权访问个人数据的控制系统

☐ 或者，请具体说明：

1. b) 事件响应管理

 它对应于在检测到或怀疑发生与 IT 部门相关的安全事件或故障时的事件管理。

☒事件管理处理方案

☒团队进行现实练习

☒指定并培训安全团队

☐ 或者，请具体说明：

1. c) 通过实施适当的技术措施和默认隐私设置来保护数据（根据欧盟法规）

☒通过设计遵守隐私/通过适当的技术保护数据

☒选择隐私增强技术以满足未来的需求

☒默认遵守隐私/通过适当的设置保护数据

☐ 或者，请具体说明：

1. d) 监督/聘用分包商

未经控制者事先明确授权，不得进行任何数据处理，例如明确的合同义务、正式的订单管理、严格选择服务提供商、提前验证的义务、后续检查。

☒选择（分）承包商时需经过专业审查（特别是在数据安全方面）

☒为处理者制定书面指南（例如通过数据处理协议）

☒处理者指定的数据保护官（如有必要）

☒有效控制人监管权的约定

☒承接前，核实分包商记录的安全措施

☒处理方员工承诺签署保密协议

☒确保合同终止后删除或销毁数据

☒持续审查处理者及其活动

☐ 或者，请具体说明：

 5. 个人信息保护培训 

每位新员工都必须参加第一天的个人数据保护培训。

每位处理个人数据的员工在开始处理个人数据之前，必须参加个人数据保护培训并通过考试。此外，每年还必须进行一次复习培训。

6. 数据保护官

数据保护官在内部独立于专业机构，致力于遵守国家和国际数据保护法规。他负责制定数据保护政策并监督其执行情况。数据保护官由FPT智能云董事会任命。

任何数据主体均可随时联系数据保护官，就数据保护或数据安全问题提出疑虑、提出问题、索取信息或进行投诉。如有需要，我们将以保密方式处理您的疑虑和投诉。

数据保护官和工作人员的联系方式如下：

FPT智能云有限公司

数据保护官 Pham The Minh

FPT 大厦，10 Pham Van Bach Street, Cau Giay Ward, 河内, 越南   

手机：+84 913571357

电子邮件： [email protected]   

7. 职责和纪律

FPT Smart Cloud 的执行机构、子公司和法人实体负责其职责范围内的数据处理。因此，他们必须确保满足法律要求以及数据保护政策中包含的数据保护要求（例如国家报告义务）。董事会负责确保组织、人力资源和技术措施到位，以确保所有数据处理均符合数据保护规定。遵守这些要求是相关员工的责任。如果外部机构执行数据保护控制，则必须立即通知数据保护官。

在许多国家/地区，不当处理个人数据或其他违反数据保护法的行为可能受到刑事起诉，并导致损害赔偿要求。员工个人违规行为可能根据劳动法受到处罚。

如果您不理解此政策的含义或它如何适用于您，请通过电话或电子邮件向 DPO 寻求建议（Pham The Minh，电话：+84913571357，电子邮件： 请登录 [email protected]。 

8. 补充指南和文件

个人信息保护政策

每位 FPT Smart Cloud 员工都可以找到这些政策、指南、程序 以及平台 QMS 上的模板。  

9. 例外

任何例外情况必须经过数据保护官的审查和批准，并由负责的董事会成员批准 FPT智能云。

 

10.附录 

 10.1. 定义 

 

缩写 

描述 

 PII、个人身份信息、个人数据

参照欧盟GDPR第4条第1款对个人数据的定义，“个人数据”是指与已识别或可识别的自然人（“数据主体”）有关的任何信息；可识别的自然人是指可以直接或间接识别的人，特别是通过姓名、身份证号码、位置数据、在线标识符或特定于该自然人的身体、生理、遗传、心理、经济、文化或社会身份的一个或多个特定因素。  

 

数据主体

欧盟GDPR（第4-1条），数据主体是指任何能够直接或间接识别的个人。

 

数据控制者

欧盟 GDPR（第 4-7 条），数据控制者是指单独或与他人共同决定个人数据处理目的和方式的自然人或法人、公共当局、机构或任何人；如果此类处理的目的和方式由联盟或成员国法律确定，则控制者或其提名的具体标准可由联盟或成员国法律规定。

 

数据处理器

欧盟 GDPR（第 4-8 条），数据处理者是指代表控制者处理数据的自然人或法人、公共当局、机构或任何人。

 

接受者

欧盟 GDPR（第 4-9 条），个人数据向其披露的自然人或法人、公共当局、机构或任何人，无论是否为第三方。

 

第三者

欧盟 GDPR（第 4-10 条），自然人或法人、公共当局、机构或除数据主体、控制者、处理者以及在控制者或处理者直接授权下的人员以外的任何人，均有权处理个人数据

 

数据保护官

数据保护官

 

DPIA

数据保护影响评估

 

欧盟

欧洲联盟

 

10.2. 相关文档 

 

不 

代码 

文件名称 

 

1

欧盟 GDPR

欧盟通用数据保护条例

 

2

越南个人数据保护法令第13/2023/ND-CP号

越南政府法令：个人数据保护法令第13/2023/ND-CP号《
个人数据保护法令》 鱼类数据 到期日期07/2023

 

3

支付卡行业数据安全标准 (PCI DSS)

支付卡行业数据安全标准，

10.3. 越南数据保护法概述 

越南没有单一的数据保护法。数据保护和隐私方面的规定可以在各种法律文书中找到。隐私权、名誉权、尊严权和荣誉权以及这些权利的基本原则目前已在2013年宪法（简称“宪法”）和2015年民法典（简称“民法典”）中规定，这些权利不可侵犯并受法律保护。
关于个人数据，以下主要法律和文件规定了收集、存储、使用、处理、披露或传输个人信息的指导原则：

• 数据法编号 60/2024/QH15，由国会于 2024 年 11 月 30 日通过。本法自 2025 年 7 月 1 日起生效。 

• 刑法 2015年11月27日国会通过第100/2015/QH13号

• 2018 年 6 月 12 日国会通过的第 24/2018/QH14 号《网络安全法》（ “《网络安全法》” ）； 

• 关于网络信息安全的第 86/2015/QH13 号法律，由国会于 2015 年 11 月 19 日通过；经 2018 年 11 月 20 日第 35/2018/QH14 号法律修订，关于修改 37 部法律规划部分条款（ “网络信息安全法” ）； 

• 2010 年 11 月 17 日国会通过的第 59/2010/QH12 号《消费者权益保护法》；经 2018 年 11 月 20 日第 35/2018/QH14 号《关于修改 37 部法律规划部分条款的法律》修订（ “CRPL” ）； 

• 2006 年 6 月 29 日国民议会通过的第 67/2006/QH11 号关于信息技术的法律；经 2017 年 11 月 14 日第 21/2017/QH14 号关于规划的法律（ “IT 法” ）修订； 

• 2005 年 11 月 29 日国民议会通过的第 51/2005/QH11 号《电子交易法》（ “电子交易法” ）； 

• 2016 年 7 月 1 日第 85/2016/ND-CP 号法令，关于信息系统安全分类（ “第 85 号法令” ）； 

• 2013 年 7 月 15 日政府第 72/2013/ND-CP 号法令，关于管理、提供和使用互联网服务和在线信息；经 2018 年 3 月 1 日第 27/2018/ND-CP 号法令和 2018 年 11 月 7 日第 150/2018/ND-CP 号法令（ “第 72 号法令” ）修订； 

• 政府于 2013 年 5 月 16 日颁布的第 52/2013/ND-CP 号法令；经政府于 2018 年 1 月 15 日颁布的第 08/2018/ND-CP 号法令（关于修改与工业和贸易部国家管理下的商业条件有关的某些法令）和政府于 2021 年 9 月 25 日颁布的第 85/2021/ND-CP 号法令（ “第 52 号法令” ）修订； 

• 2020 年 2 月 3 日政府第 15/2020/ND-CP 号法令，关于对违反邮政、电信、无线电频率、信息技术和电子交易法规的行为进行行政处罚（ “第 15 号法令” ）； 

• 信息和通信部 2017 年 4 月 24 日发布的第 03/2017/TT-BTTTT 号关于第 85 号法令指南的通函（ “第 03 号通函” ）； 

• 信息通信部于 2017 年 9 月 12 日发布第 20/2017/TT-BTTTT 号通函，规定了全国范围内协调和应对信息安全事件的规定（ “第 20 号通函” ）； 

• 信息和通信部于 2016 年 12 月 26 日发布的第 38/2016/TT-BTTTT 号通函，详细说明了跨境提供公共信息（ “第 38 号通函” ）； 

• 信息和通信部 2015 年 8 月 18 日发布的第 24/2015/TT-BTTTT 号通函，规定了互联网资源的管理和使用，已由 2019 年 7 月 19 日发布的第 06/2019/TT-BTTTT 号通函（ “第 25 号通函” ）修订；以及

• 2017 年 3 月 16 日，总理颁布了第 05/2017/QD- TTg号决定，关于确保国家网络信息安全的应急响应计划（ “第 05 号决定” ） 。

法律文件的适用性将取决于每个案件的事实背景，例如，银行和金融、教育、医疗保健领域的企业可能受到专门的数据保护法规的约束，更不用说2019 年《劳动法》（ “《劳动法》” ）中关于员工个人信息的法规。

FPT集团数据保护条例： 

• 个人数据安全政策（ 01-CS/TT/HDCV/FPT v1.0 ） 书 告诉 蜂蜜 数据 无论 鱼 核
• 个人信息保护政策 员工 脸 会员（02-CS/TT/HDCV/FPT v1.0 ） 书 告诉 蜂蜜 数据 无论 鱼 核 属于 滚动 放 核 丸

条款和条件协议

FPT Smart Cloud 网站可供全球任何用户使用。FPT Smart Cloud 创建并维护本网站仅供参考。使用本网站即表示您已接受并同意受这些条款和条件的约束，并遵守所有适用法律法规。您同意不以任何方式中断或试图中断本网站的运行。如果您不接受这些条款，则不得使用本网站。

有限许可

本网站及其所有内容、专利、版权、商标和其他知识产权均为 FPT Smart Cloud 的财产，并受全球知识产权法的保护。您同意在使用本网站时遵守全球所有知识产权法。FPT Smart Cloud 不授予任何专利、商标、版权或商业秘密信息的明示或暗示权利。您不得修改、复制、传输、出售或分发本网站的全部或部分内容，但 FPT Smart Cloud 授予您对本网站的非排他性、非商业性、有限的使用权除外。未经FPT Smart Cloud事先书面同意，您不得使用本网站的任何部分或全部内容创建新网站的一部分，或使用互联网上的链接创建新网站。尽管有上述规定，任何从本网站下载、访问或以其他方式使用的软件和其他材料，其各自的许可条款、条件和声明均受此类条款、条件和声明的约束。

违反任何此类协议将导致授予您的任何权利自动终止，恕不另行通知。尽管FPT Smart Cloud禁止其网站上的此类行为和内容，但您理解并同意，FPT Smart Cloud对其网站上发布的内容不承担任何责任，尽管如此，您仍可能接触到此类材料，并且您对您在使用本网站时创建、传输或显示的任何内容以及您的行为造成的后果（包括FPT Smart Cloud可能遭受的任何损失或损害）承担全部责任。

博客

FPT Smart Cloud博客旨在与社区分享信息。我们邀请您提交评论或帖子以供参考。但是，在您开始使用博客服务之前，我们需要明确我们各自与此服务相关的权利和责任。访问、创建或为本网站上的任何博客投稿，并考虑到我们为您提供的服务，您必须阅读并同意本博客服务条款以及以下条款和条件及政策，包括任何未来的修订。如果评论或用户违反以下列出的使用条款和条件，FPT Smart Cloud 保留从 FPT Smart Cloud 博客中删除任何评论或用户的权利。

您应接受并同意，发布到 FPT Smart Cloud 博客服务的所有内容均由最初发布该内容的个人自行负责。您还应理解，本网站用户表达的所有观点均仅代表其个人观点，不代表 FPT Smart Cloud 及其任何关联公司的立场。
您不得侵犯或威胁侵犯 FPT Smart Cloud 或任何第三方的商标、版权等知识产权。
您不得侵犯或威胁侵犯FPT智能云或任何第三方的合法权利和图像版权。
您不得诽谤、辱骂、骚扰或歧视FPT智能云或任何第三方。
您不得为了误导他人而创建虚假身份，或冒充任何组织或合作机构的代表来使用本服务。
您不得以任何方式发布、发表或上传可能导致犯罪的非法主题，例如儿童卖淫、管制化学品交易、欺诈、银行账户交易。
您不得使用淫秽、种族主义或露骨的色情语言。
您不得上传或以其他方式提供包含受知识产权法（包括但不限于版权法或商标法）保护的图像、照片、软件或其他材料的文件，除非您拥有或控制这些文件的权利，或已获得所有必要的同意。
您不得举办任何竞赛或发布或传播任何转发内容。
您不得发布或发表任何旨在推广服务或产品的商业性质的内容。
您不得复制、分发或上传任何包含病毒、代码、文件或任何其他类似软件或程序的文件，这些文件可能导致软件或硬件损坏和/或妨碍FPT智能云或其他用户计算机的运行。
您不得分发违反FPT智能云规定的促销信息或垃圾邮件。
您

报告安全或隐私漏洞

如果您认为您发现了 FPT 智能云产品中的安全或隐私漏洞，请向我们报告。

一、如何报告安全或隐私漏洞

如果您认为您发现了影响 FPT 智能云产品、软件、服务或 Web 服务器的安全或隐私漏洞，请向我们报告。我们欢迎所有人的报告，包括安全研究人员、开发人员和客户。

要报告安全或隐私漏洞，请发送电子邮件至 [email protected]，其中包含：
• 您认为受影响的具体产品和软件版本
• 您观察到的行为以及您预期的行为的描述
• 重现问题所需步骤的编号列表以及视频演示（如果步骤可能难以理解）

请加密您通过电子邮件发送的敏感信息。您将收到 FPT 智能云的回复，确认我们已收到您的报告，如果我们需要更多信息，我们会与您联系。

二、 FPT Smart Cloud 如何处理这些报告

为了保护我们的客户，FPT Smart Cloud 不会披露、讨论或确认安全问题，除非我们的调查完成且所有必要的更新已普遍可用。

FPT Smart Cloud 使用安全公告和我们的安全公告邮件列表来发布我们产品中安全修复的信息，并公开表彰向我们报告安全问题的个人或组织。

有关 CVD 的更多信息，请查看以下链接中提供的信息：
https://www.iso.org/standard/72311.html

安全公告

FPT Smart Cloud 安全公告是对 FPT Smart Cloud 安全公告的补充。它们针对的是那些可能不需要发布安全公告但仍可能影响客户整体安全的安全变更。

FPT Smart Cloud 安全公告是 FPT Smart Cloud 向客户传达安全信息的一种方式，这些信息可能未被归类为漏洞，也不需要发布安全公告。每份公告均附有一篇 FPT 智能云知识库文章，提供有关公告发布时任何变更或更新的更多信息。

及时了解 FPT 智能云技术安全通知，保护您的计算环境。更多信息，请参阅 FPT 智能云技术安全通知。

一、一般政策和规定

FPT Cloud 归 FPT Smart Cloud 所有。FPT Smart Cloud 是一家领先的企业，通过整合的技术平台、多样化的产品生态系统和全球连接，提供人工智能 (AI) 和云计算 (Cloud) 解决方案。网站 https://fptcloud.com/zh 是 FPT Smart Cloud 的财产，其使命是为企业提供基于云的产品和解决方案的详细信息，帮助他们部署数字化转型解决方案，节省资本成本，并提高运营效率。

访问我们的网站即表示您已同意网站上所述的所有条款。网站有权随时调整、修改、添加或删除“条款和条件”部分中的任何条款，这些更改将在网站上更新后立即生效，恕不另行通知。请经常查看我们的更新。

1. 信息显示功能

网站 https://fptcloud.com/zh 上显示的所有信息旨在阐明 FPT Smart Cloud 的产品和服务信息。其他为客户提供相关知识的相关信息均会明确注明来源。

二、付款方式条款

客户可以使用 Visa、MasterCard 或借记卡进行在线支付。您可以转账至以下账户：
账户名称：Cong ty TNHH FPT Smart Cloud
账号：20138138901
银行：TPBank
三、服务安装条款
客户可在 https://fptcloud.com/zh 的“注册”页面创建账户，购买服务。如需支持，请联系客服热线或发送电子邮件至 [email protected]。
四、服务使用流程
新用户需在 https://fptcloud.com/zh 创建账户并登录。接下来，选择“创建项目”为新项目命名，然后选择所需的服务。客户可在此试用 FPT Cloud 服务或继续购买。
五、退货/退款政策
客户注册服务后，任何情况下均不提供取消、更改或退款服务。
六、保修/维修政策
我们的服务为线上服务，因此不提供此政策。我们保证遵守与客户签订的质量承诺书，承诺涉及技术支持、投诉、赔偿等事宜。

数据保护政策

1. 简介

FPT智能云有限公司（以下简称“FPT智能云”）的企业数据保护政策对处理客户、业务合作伙伴、员工或任何其他个人的个人数据制定了严格的要求。该政策符合《欧洲数据保护指令》的要求，并确保遵守世界各地现行的国家和国际数据保护法原则。该政策为FPT智能云制定了全球适用的数据保护和安全标准，并规范了FPT智能云、其子公司和法人实体之间的信息共享。FPT智能云已制定了指导性数据保护原则，其中包括透明度、数据经济性和数据安全性，作为FPT智能云个人数据保护政策和信息安全管理指南。  

FPT智能云的管理人员和员工有义务遵守公司数据保护政策并遵守当地数据保护法律。作为数据保护官，我有责任确保FPT智能云的数据保护规则和原则在全球范围内得到遵守。  

我很乐意回答您有关数据保护和国际个人数据传输的任何问题。

范世明

数据保护官，[email protected]，+84 913571357

1.1. 目的 

 本数据保护政策适用于全球范围内的FPT智能云、其子公司及法人实体，并基于全球公认的数据保护基本原则。确保数据保护是建立值得信赖的业务关系以及FPT智能云作为一流雇主声誉的基础。  
数据保护政策是FPT智能云、其子公司和法人实体之间跨境数据传输的必要框架条件之一。该政策确保数据保护达到欧盟《通用数据保护条例》、《个人数据保护法令》第13号、APPI、PDPA或其他国家个人数据保护条例以及跨境数据传输国家法律规定的充分水平，包括向尚未制定充分数据保护法的国家传输。  
为了规范个人信息的收集、处理、传输和使用，促进个人信息的合理、合法、公正、透明使用，防止个人信息被窃取、篡改、损毁、丢失或泄露，FPT智能云制定了个人信息保护管理政策和信息安全政策。

 1.2. 适用范围 

 FPT Smart Cloud 对个人数据的所有处理均属于本程序范围。

指所有涉及收集、处理、使用和传输个人数据的FPT智能云业务流程和信息系统，以及所有代表FPT智能云处理个人数据的员工、承包商和第三方提供商。本政策对全球所有涉及个人身份信息处理的部门和职能部门均具有约束力。FPT智能云的每个部门、法人实体或子公司都必须遵循此程序。本政策涵盖所有根据《通用数据保护条例》(GDPR)、《个人数据保护法令》第13号以及其他国家/国际数据保护
法规的要求收集个人数据的数据主体。  

1.3. 国家法律的适用 

本数据保护政策涵盖国际公认的数据隐私原则，但不会取代现有的国家法律。本政策是对国家数据隐私法律的补充。如果相关国家法律与本数据保护政策相冲突或要求比本政策更严格，则以相关国家法律为准。在没有相应国家立法的情况下，也必须遵守本数据保护政策的内容。必须遵守国家法律规定的数据处理报告要求。  
FPT Smart Cloud 的各子公司或法人实体均有责任遵守本数据保护政策及法定义务。如有理由相信法定义务与本数据保护政策项下的职责相冲突，相关子公司或法人实体必须告知数据保护官。如国家法律与本数据保护政策存在冲突，FPT Smart Cloud 的数据保护官将亲自与 FPT Smart Cloud 的相关子公司或法人实体合作，找到符合本数据保护政策宗旨的切实可行的解决方案。

1.4 预防违反国内和国际数据保护法 

 数据保护官 (DPO) 向负责数据保护的董事会成员汇报，负责监督 FPT Smart Cloud 的合规和监管职能，旨在识别、降低和监控与个人数据处理相关的所有潜在监管和声誉风险领域。
《个人数据保护政策》及指南、程序和模板每年修订和补充一次。如果法律、法规或商业惯例发生任何重大变化，DPO 和董事会成员应及时审查并批准《手册》。DPO定期在在线培训
平台上提供在线个人数据保护教育课程，让员工了解最新的监管动态、政策和程序更新以及法律要求。
如果发生违反个人数据保护政策、指南、程序和模板的情况，或初步确定可能发生违规行为，则必须向 DPO 和高级管理层报告。
高级管理层应对违反政策的员工施加适当的制裁。制裁可能包括以下任何一项或全部：谴责信、罚款、暂时停职、终止雇佣或高级管理层认为适当的任何其他制裁。

2. 政策

 2.1. 指导原则 

2.2.1 个人数据保护规则 

1. 个人资料须按照法律规定处理。

1. 除非法律另有规定，数据主体会被告知与处理其个人数据有关的活动。

1. 个人数据的处理应当按照个人数据控制者、个人数据处理者、个人数据控制者兼处理者以及第三方已登记并声明的目的进行。

1. 所收集的个人信息应当适合处理的范围和目的。 禁止以任何形式买卖个人信息，法律另有规定者除外。 

1. 处理目的，应更新和添加个人数据。

1. 处理过程中，个人数据应受到保护和安全保障。具体而言，应保护个人数据免受违反个人数据保护法规的行为，并防止因事故和使用技术措施而造成的丢失、毁损或损坏。

1. 期限内保存，法律另有规定的除外。

1. 个人信息控制者、个人信息控制者兼处理者应当遵守本条第1款至第7款规定的数据处理规则，并证明其遵守情况。

2.2.2 保障数据主体的权利 

1. 知情权 

数据主体有权了解其个人数据的处理情况，除非法律另有规定。

1. 同意权 

除第 13/2023/NĐ-CP 号法令第 17 条规定的情况外，数据主体有权同意处理其个人数据。

1. 访问个人数据的权利 

数据主体有权访问其个人数据，以查看、更正或请求更正其个人数据，除非法律另有规定。

1. 撤回同意的权利 

数据主体有权撤回其同意，除非法律另有规定。

1. 删除个人数据的权利 

数据主体有权删除或者要求删除其个人数据，除非法律另有规定。

1. 获得处理限制的权利 

1. 数据主体有权要求对其个人数据的处理进行限制，除非法律另有规定。

1. 数据处理限制应在数据主体提出请求后 72 小时内针对数据主体请求的所有个人数据进行，除非法律另有规定。

1. 获取个人数据的权利 

数据主体有权要求 个人数据控制者和个人数据 控制者兼处理者 向其提供其个人资料，除非法律另有规定。 

1. 反对处理的权利 

1. a) 数据主体有权反对 个人数据控制者和个人数据 控制者兼处理者 处理其个人数据以防止或限制个人数据的披露或将个人数据用于广告和营销目的，除非法律另有规定。
2. b) 个人数据控制者与个人数据控制者兼处理者应当在收到数据主体的请求后72小时内履行该请求，法律另有规定的除外。

1. 提出投诉、举报和诉讼的权利  

数据主体有权提出投诉、谴责和诉讼 依法规定。 

1. 索赔权 

数据主体有权要求 损害 违反个人信息保护法规规定时，依法应当予以保护，但当事人另有约定或者法律另有规定的除外。 

1. 自我保护的权利 

数据主体有自我保护的权利 根据《民法典》和其他相关法律、法令的规定 或要求主管机关、组织依据民法典第11条规定实施民事权利保护措施。 

2.2. 客户和提供商数据（第三方） 

2.2.1 合同关系的数据处理 

客户和供应商（第三方）的个人数据可能会被处理，以用于建立、执行和终止合同。在合同签订之前（即合同启动阶段），个人数据可能会被处理，以准备投标或采购订单，或满足与合同签订相关的其他请求。在合同准备过程中，我们可以使用客户或供应商提供的信息与他们联系。客户或供应商提出的任何限制要求均须遵守。

FPT智能云无需数据主体的同意即可履行合同义务。  

公众，意味着每个客户、提供商、数据主体必须能够访问有关FPT智能云个人数据保护原则和活动的信息，并且必须能够以简单的方式与FPT智能云的数据保护官进行沟通：  

范世明 | 数据保护官 | FPT SMART CLOUD

地址：越南河内市 Cau Giay 坊 Pham Van Bach 街 10 号 FPT 大厦
手机：+84 913571357 | 电话： 1900638399 
网址： https://fptsmartcloud.com/  

2.2.2 同意数据处理 

数据处理需经数据主体同意。在同意之前，必须根据公司的个人数据保护政策告知数据主体。为了获得数据主体的同意，必须向数据主体告知以下内容：

1. a) 要处理的个人数据类型；
2. b) 处理个人数据的目的；
3. c) 组织和个人可以处理个人数据；
4. d) 数据主体的权利和义务。

出于文件记录的目的，同意声明必须以书面或电子形式获得。在某些情况下，例如电话交谈，可以口头表示同意。同意的授予必须记录在案。

2.2.3 根据法律授权的数据处理 

如果国家法律要求、规定或允许，个人数据的处理也是允许的。数据处理的类型和范围必须是法律授权的数据处理活动所必需的，并且必须符合相关的法律规定。   

2.2.4 根据合法利益进行数据处理 

如果出于FPT智能云合法利益的需要，个人数据也可能被处理。合法利益通常具有法律性质（例如，收取未偿应收账款）或商业性质（例如，避免违约）。如果在个别情况下，有证据表明数据主体的利益值得保护，且该利益优先，则不得出于合法利益的目的处理个人数据。在处理数据之前，必须确定是否存在值得保护的利益。

2.2.5 用户数据和互联网 

如果在网站或应用程序中收集、处理和使用个人数据，则必须在隐私声明中告知数据主体，并在适用的情况下提供有关 Cookie 的信息。隐私声明和任何 Cookie 信息必须集成在一起，以便数据主体能够轻松识别、直接访问并持续获取。

如果创建使用配置文件（跟踪）来评估网站和应用程序的使用情况，则必须始终在隐私声明中相应地告知数据主体。

如果网站或应用程序可以在仅限注册用户访问的区域内访问个人数据，则数据主体的身份识别和身份验证必须在访问期间提供足够的保护。  

2.3. 员工数据 

2.3.1 雇佣关系的数据处理 

在雇佣关系中，个人数据可能因签订、履行和终止雇佣协议的需要而被处理。在建立雇佣关系时，申请人的个人数据可能会被处理。如果候选人被拒绝，则必须按照规定的保留期限删除其数据，除非申请人同意保留数据以供将来的甄选流程使用。在FPT智能云系统中处理其个人数据之前，必须获得每位候选人的同意。将数据用于进一步的申请流程或与其他FPT智能云法人实体共享申请之前，也需要获得同意。  

在现有的雇佣关系中，如果以下授权数据处理的情况均不适用，则数据处理必须始终与雇佣协议的目的相关。

如果在申请过程中需要从第三方收集申请人信息，则必须遵守相应国家法律的规定。如有疑问，必须获得数据主体的同意。  

处理与雇佣关系相关但最初并非履行雇佣协议一部分的个人数据必须获得法律授权。这包括法律要求、与员工代表的集体规定、员工同意或公司合法利益。

员工还可以提供其他人的信息，例如员工的家属和家人，以便公司在需要时提供相关福利或与其签订合同。员工向公司提供其他人的信息之前，必须告知他们其打算提供给公司的信息，并负责征得其家属和家人的同意。如果员工与公司共享其信息，则可能还需要阅读本政策。

2.3.2 根据法律授权的数据处理 

如果国家法律要求、要求或授权，则允许处理员工个人数据。数据处理的类型和范围必须是合法授权的数据处理活动所必需的，并且必须符合相关的法律规定。如果法律有一定的灵活性，则必须考虑员工值得保护的利益。   

2.3.3 数据处理集体协议 

如果数据处理活动超出了履行合同的目的，则在获得集体协议授权的情况下，可能是允许的。集体协议是指在相关劳动法允许的范围内，雇主与雇员代表之间达成的薪酬等级协议或协议。协议必须涵盖预期数据处理活动的具体目的，并且必须在国家数据保护法规的范围内制定。  

2.3.4 同意数据处理 

 员工数据可在获得相关人员同意后进行处理。同意声明必须自愿提交。非自愿同意无效。为了便于记录，必须以书面或电子形式获得同意声明。在某些情况下，同意可以口头形式表示，但必须妥善记录。如果相关方在知情的情况下自愿提供数据，且国家法律未要求明确同意，则可视为同意。在给予同意之前，必须根据本数据保护政策告知数据主体。

2.3.5 根据合法利益进行数据处理 

如果出于FPT智能云合法利益的需要，个人数据也可能被处理。合法利益通常具有法律性质（例如，收取未偿应收账款）或商业性质（例如，避免违约）。如果在个别情况下，有证据表明数据主体的利益值得保护，且该利益优先，则不得出于合法利益的目的处理个人数据。在处理数据之前，必须确定是否存在值得保护的利益。

2.3.6 电信和互联网 

公司提供的电话设备、电子邮件地址、内联网、互联网以及内部社交网络主要用于工作相关任务。它们是公司工具和公司资源。您可以在适用法律法规和公司内部政策的范围内使用它们。如果授权用于私人目的，则必须遵守电信保密法和相关的国家电信法（如适用）。

不会对电话和电子邮件通信或内联网/互联网使用情况进行全面监控。为防范针对IT基础设施或个人用户的攻击，可对连接至FPT智能云网络的连接实施保护措施，以阻止技术上有害的内容或分析攻击模式。出于安全考虑，电话设备、电子邮件地址、内联网/互联网和内部社交网络的使用情况可能会被暂时记录。只有在具体、合理地证明涉嫌违反FPT智能云法律或政策的情况下，才能对特定人员的此类数据进行评估。评估只能由调查部门进行，同时确保符合比例原则。必须遵守相关的国家法律。  

2.4. 州/政府或联邦机构或其他监管机构的访问请求 

 州/政府或联邦机构或其他监管机构的个人数据访问请求将以与国际数据传输相同的方式和条件处理，并严格遵守相应国家/地区的国家法律的要求。所有访问请求均在访问请求登记册中登记。所有请求均由数据保护官 (DPO) 管理，并须经 FPT 智能云负责数据保护的董事会成员同意。数据保护官 (DPO) 负责与州/政府或联邦机构或其他监管机构沟通。数据保护官 (DPO) 负责访问请求登记册。如果不违反国家/地区法律，FPT 智能云将立即将个人数据请求告知数据主体。    

2.5. 政策审查与评估 

 该政策必须每年进行两次审查和评估，以反映国际标准、法律法规、技术和业务的最新状态，并确保个人数据管理实践的及时性。

2.6. 宣布和发布 

本政策以公告程序，使员工了解个人资料保护管理政策之相关原则及规定，以便员工遵守。  
 
本政策必须由数据保护官和负责的FPT智能云董事会成员修订和审查。数据保护官负责政策的实施和内部审计。   

3.数据保护控制 

每年都会通过数据保护审计和其他控制措施检查数据保护政策和适用数据保护法律的遵守情况。这些控制措施的执行由数据保护代表负责。数据保护控制措施的结果必须报告给数据保护官和负责的FPT智能云董事会成员。根据要求，数据保护控制措施的结果将提供给负责的数据保护机构。负责的数据保护机构可以根据国家法律的规定，自行执行符合本政策规定的控制措施。   

4.技术和组织措施 

作为在委托数据处理协议范围内处理个人数据的非上市公司，FPT Smart Cloud 必须采取技术和组织程序，确保遵守欧洲数据保护条例和其他国际数据保护法。除此之外，FPT Smart Cloud 还必须保证系统和组件的机密性、完整性、可用性和弹性。
以下措施涵盖了当前最低安全级别的所有方面。它们旨在评估 FPT Smart Cloud 在代表控制者处理个人数据时的数据保护级别。如果 FPT Smart Cloud 连接到控制者的系统，FPT Smart Cloud 必须至少完成机密性部分，即 FPT Smart Cloud 需要完成访问和访问授权控制以及职责分离控制（下文 b）c）d）部分）。   
 
以下是FPT智能云目前已实现的技术和组织措施。并实施了持续改进流程：

4.1. 保密性 

1. a) 门禁控制/楼宇安全

访问控制的目的是防止未经授权使用用于处理和使用个人数据的数据处理系统。 

特定系统的密码进行身份识别和认证后，才能进入数据处理系统。

☒报警系统

☒保护建筑竖井

☒自动门禁系统

☒通过芯片卡传送器进行访问控制

☒带密码锁的锁定系统

☒手动锁定系统

☐ 生物识别门禁

☒入口处视频监控

☐ 光栅/运动传感器

☒安全锁

☒钥匙交接规定（交接钥匙等）

☒清洁工/接待员的身份检查

☒记录访客

☒特选清洁人员的承诺

☒特殊选定安全的承诺

☒承诺佩戴授权卡的工作人员

1. b) 物理访问控制/系统保护

物理访问控制的目的是防止未经授权的人员物理访问处理或使用个人数据的数据处理设备。 

商业场所及设施根据各自的安全需求，被划分为不同的安全区域，并设有不同的访问授权，并由安保人员进行监控。

服务中心或ODC等特殊安全区域的访问，均由单独的访问区域进行额外保护。其结构和实体安全标准均符合数据中心的安全要求。

☒内部访问控制

☒隔离控制（用户权限许可）

☒强密码规范

☐ 生物特征认证

☒验证用户名/密码

☒将用户配置文件分配给IT系统

☒锁定服务器机箱/计算机

☒使用VPN技术（远程访问）

☒锁定外部接口（USB等）

☒移动数据媒体加密

☒入侵检测系统

☐ 中央智能手机管理（例如远程删除）

☐ 智能手机内容加密

☐ 智能手机的安全密码

☒笔记本电脑上数据媒体的加密

☒分配个人用户名

☐ 或者，请具体说明：

1. c) 电子访问控制/安全访问授权

电子访问控制措施的目标是，只有获得访问授权的数据才可以被访问，并且在处理、使用和保存此类数据后，个人数据不能以未经授权的方式被读取、复制、更改或删除。 

通过相应的角色和授权概念，可以确保在系统和应用程序中访问执行特定任务所需的数据。

 ☒权利授权概念

☒系统管理员的权限管理

☒系统管理员数量“减少到最低限度”

☒删除记录

☒记录系统访问事件，特别是数据的输入、更改和删除

☒应用病毒防护

☒重新使用前对介质进行物理删除

☒软件防火墙的应用

☒数据载体的安全存储

☒密码策略（包括定义密码长度、密码更改）

☒数据载体加密

☒使用合适的碎纸机或专业服务提供商

☒硬件防火墙的应用

☒妥善销毁数据载体

☐ 或者，请具体说明：

☒访问日志

收集目的分离的措施 

分离控制的目的是确保为不同目的收集的数据能够被分开处理。 

个人数据仅供处理方内部使用。向分包商等第三方转移，仅基于合同安排和《欧洲数据保护条例》的规定。

处理方员工被指示仅在其职责框架内和出于其职责目的（例如，提供服务）收集、处理和使用个人数据。在技术层面上，为此目的，我们使用了多客户端功能、功能分离以及测试和生产系统的分离。

☒使用单独的系统或数据载体进行物理分离存储

☒授权概念的定义

☒生产系统和测试系统之间的划分

☒为同一目的处理的数据记录加密

☒测试系统中没有生产数据

☒逻辑客户端分离（基于软件）

☐ 或者，请具体说明：

1. e) 假名化

以这样的方式处理个人数据：如果没有附加信息的帮助，数据就无法与特定的数据主体关联，前提是这些附加信息单独存储，并受到适当的技术和组织措施的约束。

 ☒以假名（或匿名）的方式处理数据

☒将作业文件和存储分离在独立、安全的 IT 系统中

4.2. 诚信 

 a) 数据传输控制/数据传输安全 

数据传输控制的目的是确保个人数据在传输过程中不会被未经授权读取、复制、更改或删除，并且可以监控并确定个人数据的传输对象。 

FPT Smart Cloud 仅在存在相应合同的情况下，且仅出于特定目的将个人数据传输给第三方（例如客户、分包商、服务提供商）。如果将个人数据传输至位于欧盟/欧洲经济区或原国家/地区以外的公司，FPT Smart Cloud 会根据欧盟数据保护条例，例如通过基于欧盟示范合同条款签订合同，确保目标地点或组织拥有充分的数据保护水平。

 ☒建立专用线路和VPN隧道

☒电子邮件加密

☒记录数据接收者以及预定的传输期限和约定的删除期限

☒实体运输：选择专门的运输人员和承运人 

☐ 或者，请具体说明：

☒以匿名或假名方式传输数据

☒创建常规数据请求和数据传输的概览

☒物理运输：使用安全运输容器/包装

☒传输数据时使用加密的外部设备（CD、USB、记忆棒等）

1. b) 输入控制

 输入控制的目的是确保借助适当的措施可以回顾和监控数据输入的情况。 

系统输入以日志文件的形式记录。这样，以后可以查看个人数据是否被输入、修改或删除，以及由谁输入、修改或删除。

☒创建概览，证明哪个应用程序有权输入、修改或删除哪些数据

☒权限设置，根据权限分配概念有权输入、修改和删除数据

☒持续记录数据的输入、修改和删除

☒使用单独分配的用户名来确保访问控制或输入、修改或删除数据

☒保留归档系统，以评估传输到自动处理的数据的来源

☒活动日志

☐ 否则，请具体说明。

4.3. 可用性和弹性 

1. a) 可用性控制和保护，以防止意外或故意的破坏或损失

可用性控制的目的是确保个人数据免遭意外破坏和丢失。 

如果个人数据不再需要用于其处理目的，则会立即删除。需要注意的是，每次删除时，个人数据仅会首先被锁定，并在一定延迟后永久删除。这样做是为了防止意外删除或可能造成的故意损害。

☒服务器机房配备空调、保护插头、灭火器

☒备份单独存放在安全的地方

☒应急计划

☒业务连续性计划

☒卫生设施下方禁止设置服务器机房

☒定期备份数据文件

☒监管应急计划

☐ 或者，请具体说明：

1. b) 快速恢复

 ☒恢复acc、备份和恢复概念

☒恢复测试

☒监管应急预案

4.4. 处理定期审查、评估和评价的程序 

1. a) 数据保护管理

 ☒有关处理个人数据（收集、处理或使用）的原则受公司内部政策的约束

☒已以书面形式指定数据保护官

☒员工致力于数据保密/个人数据处理

☒员工承诺遵守电信保密规定

☒提供处理操作的内部列表。

☒数据保护官参与数据保护影响评估

☒数据保护官是组织结构图的成员

☒员工培训课程。

☒实施旨在检测未经授权访问个人数据的控制系统

☐ 或者，请具体说明：

1. b) 事件响应管理

 它对应于在检测到或怀疑发生与 IT 部门相关的安全事件或故障时的事件管理。

☒事件管理处理方案

☒团队进行现实练习

☒指定并培训安全团队

☐ 或者，请具体说明：

1. c) 通过实施适当的技术措施和默认隐私设置来保护数据（根据欧盟法规）

☒通过设计遵守隐私/通过适当的技术保护数据

☒选择隐私增强技术以满足未来的需求

☒默认遵守隐私/通过适当的设置保护数据

☐ 或者，请具体说明：

1. d) 监督/聘用分包商

未经控制者事先明确授权，不得进行任何数据处理，例如明确的合同义务、正式的订单管理、严格选择服务提供商、提前验证的义务、后续检查。

☒选择（分）承包商时需经过专业审查（特别是在数据安全方面）

☒为处理者制定书面指南（例如通过数据处理协议）

☒处理者指定的数据保护官（如有必要）

☒有效控制人监管权的约定

☒承接前，核实分包商记录的安全措施

☒处理方员工承诺签署保密协议

☒确保合同终止后删除或销毁数据

☒持续审查处理者及其活动

☐ 或者，请具体说明：

 5. 个人信息保护培训 

每位新员工都必须参加第一天的个人数据保护培训。

每位处理个人数据的员工在开始处理个人数据之前，必须参加个人数据保护培训并通过考试。此外，每年还必须进行一次复习培训。

6. 数据保护官

数据保护官在内部独立于专业机构，致力于遵守国家和国际数据保护法规。他负责制定数据保护政策并监督其执行情况。数据保护官由FPT智能云董事会任命。

任何数据主体均可随时联系数据保护官，就数据保护或数据安全问题提出疑虑、提出问题、索取信息或进行投诉。如有需要，我们将以保密方式处理您的疑虑和投诉。

数据保护官和工作人员的联系方式如下：

FPT智能云有限公司

数据保护官 Pham The Minh

FPT 大厦，10 Pham Van Bach Street, Cau Giay Ward, 河内, 越南   

手机：+84 913571357

电子邮件： [email protected]   

7. 职责和纪律

FPT Smart Cloud 的执行机构、子公司和法人实体负责其职责范围内的数据处理。因此，他们必须确保满足法律要求以及数据保护政策中包含的数据保护要求（例如国家报告义务）。董事会负责确保组织、人力资源和技术措施到位，以确保所有数据处理均符合数据保护规定。遵守这些要求是相关员工的责任。如果外部机构执行数据保护控制，则必须立即通知数据保护官。

在许多国家/地区，不当处理个人数据或其他违反数据保护法的行为可能受到刑事起诉，并导致损害赔偿要求。员工个人违规行为可能根据劳动法受到处罚。

如果您不理解此政策的含义或它如何适用于您，请通过电话或电子邮件向 DPO 寻求建议（Pham The Minh，电话：+84913571357，电子邮件： 请登录 [email protected]。 

8. 补充指南和文件

个人信息保护政策

每位 FPT Smart Cloud 员工都可以找到这些政策、指南、程序 以及平台 QMS 上的模板。  

9. 例外

任何例外情况必须经过数据保护官的审查和批准，并由负责的董事会成员批准 FPT智能云。

 

10.附录 

 10.1. 定义 

 

缩写 

描述 

 PII、个人身份信息、个人数据

参照欧盟GDPR第4条第1款对个人数据的定义，“个人数据”是指与已识别或可识别的自然人（“数据主体”）有关的任何信息；可识别的自然人是指可以直接或间接识别的人，特别是通过姓名、身份证号码、位置数据、在线标识符或特定于该自然人的身体、生理、遗传、心理、经济、文化或社会身份的一个或多个特定因素。  

 

数据主体

欧盟GDPR（第4-1条），数据主体是指任何能够直接或间接识别的个人。

 

数据控制者

欧盟 GDPR（第 4-7 条），数据控制者是指单独或与他人共同决定个人数据处理目的和方式的自然人或法人、公共当局、机构或任何人；如果此类处理的目的和方式由联盟或成员国法律确定，则控制者或其提名的具体标准可由联盟或成员国法律规定。

 

数据处理器

欧盟 GDPR（第 4-8 条），数据处理者是指代表控制者处理数据的自然人或法人、公共当局、机构或任何人。

 

接受者

欧盟 GDPR（第 4-9 条），个人数据向其披露的自然人或法人、公共当局、机构或任何人，无论是否为第三方。

 

第三者

欧盟 GDPR（第 4-10 条），自然人或法人、公共当局、机构或除数据主体、控制者、处理者以及在控制者或处理者直接授权下的人员以外的任何人，均有权处理个人数据

 

数据保护官

数据保护官

 

DPIA

数据保护影响评估

 

欧盟

欧洲联盟

 

10.2. 相关文档 

 

不 

代码 

文件名称 

 

1

欧盟 GDPR

欧盟通用数据保护条例

 

2

越南个人数据保护法令第13/2023/ND-CP号

越南政府法令：个人数据保护法令第13/2023/ND-CP号《
个人数据保护法令》 鱼类数据 到期日期07/2023

 

3

支付卡行业数据安全标准 (PCI DSS)

支付卡行业数据安全标准，

10.3. 越南数据保护法概述 

越南没有单一的数据保护法。数据保护和隐私方面的规定可以在各种法律文书中找到。隐私权、名誉权、尊严权和荣誉权以及这些权利的基本原则目前已在2013年宪法（简称“宪法”）和2015年民法典（简称“民法典”）中规定，这些权利不可侵犯并受法律保护。
关于个人数据，以下主要法律和文件规定了收集、存储、使用、处理、披露或传输个人信息的指导原则：

• 数据法编号 60/2024/QH15，由国会于 2024 年 11 月 30 日通过。本法自 2025 年 7 月 1 日起生效。 

• 刑法 2015年11月27日国会通过第100/2015/QH13号

• 2018 年 6 月 12 日国会通过的第 24/2018/QH14 号《网络安全法》（ “《网络安全法》” ）； 

• 关于网络信息安全的第 86/2015/QH13 号法律，由国会于 2015 年 11 月 19 日通过；经 2018 年 11 月 20 日第 35/2018/QH14 号法律修订，关于修改 37 部法律规划部分条款（ “网络信息安全法” ）； 

• 2010 年 11 月 17 日国会通过的第 59/2010/QH12 号《消费者权益保护法》；经 2018 年 11 月 20 日第 35/2018/QH14 号《关于修改 37 部法律规划部分条款的法律》修订（ “CRPL” ）； 

• 2006 年 6 月 29 日国民议会通过的第 67/2006/QH11 号关于信息技术的法律；经 2017 年 11 月 14 日第 21/2017/QH14 号关于规划的法律（ “IT 法” ）修订； 

• 2005 年 11 月 29 日国民议会通过的第 51/2005/QH11 号《电子交易法》（ “电子交易法” ）； 

• 2016 年 7 月 1 日第 85/2016/ND-CP 号法令，关于信息系统安全分类（ “第 85 号法令” ）； 

• 2013 年 7 月 15 日政府第 72/2013/ND-CP 号法令，关于管理、提供和使用互联网服务和在线信息；经 2018 年 3 月 1 日第 27/2018/ND-CP 号法令和 2018 年 11 月 7 日第 150/2018/ND-CP 号法令（ “第 72 号法令” ）修订； 

• 政府于 2013 年 5 月 16 日颁布的第 52/2013/ND-CP 号法令；经政府于 2018 年 1 月 15 日颁布的第 08/2018/ND-CP 号法令（关于修改与工业和贸易部国家管理下的商业条件有关的某些法令）和政府于 2021 年 9 月 25 日颁布的第 85/2021/ND-CP 号法令（ “第 52 号法令” ）修订； 

• 2020 年 2 月 3 日政府第 15/2020/ND-CP 号法令，关于对违反邮政、电信、无线电频率、信息技术和电子交易法规的行为进行行政处罚（ “第 15 号法令” ）； 

• 信息和通信部 2017 年 4 月 24 日发布的第 03/2017/TT-BTTTT 号关于第 85 号法令指南的通函（ “第 03 号通函” ）； 

• 信息通信部于 2017 年 9 月 12 日发布第 20/2017/TT-BTTTT 号通函，规定了全国范围内协调和应对信息安全事件的规定（ “第 20 号通函” ）； 

• 信息和通信部于 2016 年 12 月 26 日发布的第 38/2016/TT-BTTTT 号通函，详细说明了跨境提供公共信息（ “第 38 号通函” ）； 

• 信息和通信部 2015 年 8 月 18 日发布的第 24/2015/TT-BTTTT 号通函，规定了互联网资源的管理和使用，已由 2019 年 7 月 19 日发布的第 06/2019/TT-BTTTT 号通函（ “第 25 号通函” ）修订；以及

• 2017 年 3 月 16 日，总理颁布了第 05/2017/QD- TTg号决定，关于确保国家网络信息安全的应急响应计划（ “第 05 号决定” ） 。

法律文件的适用性将取决于每个案件的事实背景，例如，银行和金融、教育、医疗保健领域的企业可能受到专门的数据保护法规的约束，更不用说2019 年《劳动法》（ “《劳动法》” ）中关于员工个人信息的法规。

FPT集团数据保护条例： 

• 个人数据安全政策（ 01-CS/TT/HDCV/FPT v1.0 ） 书 告诉 蜂蜜 数据 无论 鱼 核
• 个人信息保护政策 员工 脸 会员（02-CS/TT/HDCV/FPT v1.0 ） 书 告诉 蜂蜜 数据 无论 鱼 核 属于 滚动 放 核 丸

 

如有任何风险或违规行为，请立即通过以下方式报告：
数据保护官，范世明
FPT 大厦，越南河内市纸桥坊范文白街 10 号
手机：+84 913571357
邮箱：[email protected]