风行云创公司关于构筑全球网络安全保障体系的声明

更新/生效日期：2025年9月1日

前言

一、核心承诺

1. 安全为基，守护数字信任：将网络安全作为产品设计、研发、运营的核心考量，确保所有业务活动（包括云服务、软件应用、数据存储与传输、智能设备互联等）符合最高网络安全标准，为用户、客户及合作伙伴提供可信、可靠的数字环境。

   
   

2. 全球合规，尊重区域差异：严格遵守中国及业务涉及国家/地区（如欧盟、美国、东南亚、中东等）的网络安全、数据保护及隐私相关法律法规，主动适配不同区域的监管要求（如数据本地化存储、跨境传输限制、关键信息基础设施保护等），杜绝任何以牺牲安全为代价的商业行为。

   
   

3. 技术赋能，主动防御风险：持续投入网络安全技术研发，构建“预防-监测-响应-恢复”的全周期防护能力，通过人工智能、加密技术、零信任架构等创新手段，主动识别并抵御高级持续性威胁（APT）、勒索软件、供应链攻击等新型网络风险。

   
   

4. 责任共担，协同生态安全：与用户、客户、供应商、开发者及行业伙伴建立网络安全责任共担机制，通过合同约束、技术接口规范、安全培训等方式，推动全产业链网络安全水平提升，共同应对全球性网络挑战。

二、全球网络安全保障体系的核心举措

（一）全生命周期的产品与服务安全

1. 安全设计融入原生：在产品研发初期（需求分析、架构设计阶段），同步开展网络安全与隐私保护设计（Privacy by Design & Security by Design），明确数据分类分级标准、访问控制策略、加密传输要求等，确保产品从源头具备抗攻击能力（如防注入、防越权、防数据泄露）。

   
   

2. 严格的安全测试与验证：所有面向用户的产品（包括SaaS平台、移动应用、物联网设备、API接口等）在上线前必须通过内部安全测试（如渗透测试、漏洞扫描、代码审计），关键系统需通过第三方权威机构的安全认证（如ISO 27001、SOC 2、CSA STAR等）；针对高风险功能（如支付模块、身份认证、生物信息采集），实施额外的安全加固与攻防演练。

   
   

3. 持续的安全运营与更新：建立7×24小时网络安全监测中心（SOC），实时监控全球业务的流量异常、入侵行为及潜在威胁；通过自动化补丁管理、漏洞响应机制，确保已知安全漏洞在48小时内完成修复（高危漏洞24小时内紧急响应）；定期发布安全公告，向用户透明披露风险及防护措施。

   
   

（二）全链路的数据安全与隐私保护

1. 数据分类分级管控：依据数据的敏感性（如用户个人信息、商业机密、国家关键数据）及业务场景，对所有数据进行分级（如核心数据、重要数据、一般数据），并实施差异化的保护策略（如核心数据仅限授权人员在加密环境中访问，重要数据跨境传输前完成安全评估）。

   
   

2. 严格的访问控制与加密传输：采用最小权限原则（Principle of Least Privilege），通过多因素认证（MFA）、角色权限分离等技术手段，确保只有经授权的人员可访问特定数据；所有数据在存储（静态数据）与传输（动态数据）过程中均采用国际认可的加密算法（如AES-256、TLS 1.3）进行保护，防止数据被窃取或篡改。

   
   

3. 用户隐私的透明与可控：严格遵循“告知-同意”原则，在收集用户个人信息前明确告知用途、范围及存储期限，并通过隐私政策、用户协议等文件获得用户明示同意；为用户提供便捷的隐私控制工具（如数据查询、删除、撤回授权等功能），确保用户对其数据的“知情权”与“控制权”。

   
   

（三）全球合规与区域适配

1. 适配主要区域监管要求：

   
   

• 中国：严格落实《网络安全法》对关键信息基础设施（CII）的保护要求、《数据安全法》对重要数据的出境安全评估、《个人信息保护法》对敏感个人信息的处理限制，确保境内业务符合网信办、工信部等部门的监管规范。

  
  

• 欧盟：全面遵守GDPR对个人数据的“合法、公平、透明”处理原则，设立欧盟本地数据保护官（DPO），确保数据跨境传输至非欧盟地区时通过标准合同条款（SCCs）或充分性认定机制。

  
  

• 美国：遵循CCPA、《联邦贸易委员会法案》（FTC Act）等要求，重点保护加州等地区的消费者隐私权，禁止未经授权的数据收集与滥用。

  
  

• 其他区域：针对东南亚（如印尼、新加坡）、中东（如阿联酋、沙特）等新兴市场，主动研究当地网络安全与数据主权法规（如印尼《个人数据保护法》、阿联酋《数据保护法》），确保业务落地合规。

  
  

2. 关键信息基础设施保护：若公司服务涉及能源、金融、交通、医疗等国家关键领域，将严格遵循中国及当地政府对CII运营者的特殊要求（如中国《关键信息基础设施安全保护条例》），通过物理隔离、冗余备份、国家级安全测评等措施，保障关键系统的稳定运行。

   
   

（四）供应链与生态安全协同

1. 供应商网络安全准入：要求所有供应商（包括云服务提供商、硬件制造商、软件开发外包商、第三方插件开发者等）签署《网络安全与数据保护协议》，承诺其提供的产品/服务符合公司的网络安全标准（如无恶意代码植入、无后门程序、无数据非法采集）；对高风险供应商（如提供核心系统组件的供应商）开展网络安全尽职调查（如安全漏洞历史、合规认证情况）。

   
   

2. 开发者生态安全引导：针对开放平台（如API开放平台、SDK开发者社区），制定《开发者网络安全规范》，明确代码安全要求（如输入验证、防SQL注入）、数据使用边界（如禁止将用户数据用于未经授权的训练模型）及违规处罚机制（如下架应用、终止合作）；通过开发者培训、安全工具包（如加密SDK、漏洞检测工具）降低生态安全风险。

   
   

3. 跨境合作安全审查：对于跨国业务合作（如数据共享、联合研发），严格执行“安全影响评估”流程，重点审查合作方的安全能力、数据存储位置及最终用途，确保跨境数据流动不损害国家主权、公共利益或用户权益。

三、用户与社会的责任担当

1. 用户安全教育：通过官网、客户端提示、线下活动等多渠道向用户普及网络安全知识（如密码安全、钓鱼攻击识别、隐私设置技巧），提升用户自身的风险防范能力；针对高风险操作（如账号绑定、敏感信息修改），提供强提醒与二次验证机制。

   
   

2. 安全事件透明响应：若发生网络安全事件（如数据泄露、服务中断），公司将严格遵循中国及当地法规要求，在事件确认后“第一时间”启动应急响应（一般不超过24小时），通过官方渠道向受影响用户公开事件详情（包括影响范围、原因分析、已采取的补救措施及后续改进计划），切实履行告知义务。

   
   

3. 行业与社会协作：积极参与全球网络安全标准制定（如ISO/IEC国际标准、中国网络安全国家标准），与行业协会、监管机构、安全研究机构共享威胁情报（如恶意IP库、漏洞信息），推动建立“互信、互助、互鉴”的网络安全治理生态；对危害公共利益的重大网络威胁（如勒索软件团伙、国家级黑客组织），主动向监管部门与执法机构提供技术支持。

四、监督与持续改进机制

1. 内部治理架构：公司设立由CEO直接领导的网络安全与数据保护委员会，统筹协调研发、法务、运营、客服等多部门资源，定期审议网络安全战略、重大风险处置方案及合规进展；设立专职网络安全团队（含威胁情报分析师、渗透测试工程师、数据保护官等），负责日常安全运营与合规管理。

   
   

2. 独立审计与评估：每年聘请国际/国内权威第三方机构（如四大会计师事务所网络安全团队、ISO 27001认证机构）对公司的网络安全管理体系、数据保护措施及合规性开展独立审计，审计结果向董事会汇报并向关键利益相关方披露（脱敏后）。

   
   

3. 动态优化机制：根据全球网络安全威胁态势变化（如新型攻击手法、法规更新、技术迭代），每季度评估现有保障体系的适应性，及时调整安全策略（如升级加密算法、扩展监测范围）、优化技术工具（如引入AI驱动的威胁检测模型），确保体系始终处于行业领先水平。

五、郑重承诺