隐私政策

本政策是 MoleculAI 平台（以下简称"公司"）的内部监管文件，依据适用的数据保护法律法规及个人数据处理相关规定制定。

本政策规定：

• 个人数据处理的目的、程序和条件；
• 被处理个人数据的数据主体类别、个人数据的类别（清单）、处理方式、处理和存储的时限，以及在达到处理目的或出现其他合法依据后销毁此类数据的程序；
• 个人数据保护条款、旨在识别和防止违反数据保护法律的措施，以及对此类违规后果的补救程序。

本政策中使用的术语和定义依据适用数据保护法律所确立的含义解释。

本政策自公司批准之日起生效，持续有效至被撤销或被新政策取代为止。

本政策的修订由公司决定。修改内容自相关文件签署之日起生效。

2. 数据主体类别

2.1. 公司依据本政策处理个人数据的数据主体包括：

• 求职者；
• 在职员工；
• 离职员工；
• 员工家属——仅限员工依法提供相关信息的情况；
• 其他公司依据劳动法及其他适用法规须处理其个人数据的个人；
• 公司的客户、承包商及合作伙伴。

3. 个人数据处理目的及处理的数据类别

3.1. 依据本政策，个人数据处理的目的在于：在劳动关系及直接相关关系范围内，以及在民事法律关系范围内，适用和遵守劳动法；同时服务于公司与潜在合作伙伴、客户及其他个人的互动，以保护上述类别人员的个人数据，包括：

• 协助就业；
• 维护人力资源及会计记录；
• 支持员工接受教育及职业发展；
• 处理奖励与表彰；
• 提供法律规定的工作条件、福利和薪酬；
• 向主管机构填报并提交所需报告表格；
• 保障员工及他人的人身安全以及财产保护；
• 监控工作数量和质量；
• 在处理个人数据时保护个人的权利和自由，包括隐私权及个人与家庭保密权；
• 通过通讯渠道与潜在客户直接联系，在市场上推广公司的产品、作品和服务；
• 就互利合作事宜与公司接洽，并与潜在合作伙伴、客户及其他个人签订协议。

3.2. 依据本政策第3.1条规定的目的，处理以下个人数据：

• 姓（名、父称，如适用），以及以往使用的姓（名、父称，如适用）及变更的日期和地点；
• 性别；
• 出生日期（日、月、年）及出生地点；
• 照片；
• 国籍信息；
• 身份证件的类型、系列号和编号、签发机关名称及签发日期；
• 个人保险账户编号；
• 纳税人识别号码；
• 户籍地址及登记日期（居住地/临时居所），以及实际居住地址；
• 联系电话、电子邮件地址和/或其他联系方式；
• 民事身份登记证书详情及其所含信息；
• 婚姻状况及家庭组成信息（亲属关系、姓名、父称（如适用）、出生日期和地点）；
• 教育和/或资格或专业知识信息；
• 外语水平信息；
• 兵役义务、兵役登记信息及兵役登记证件详情；
• 就业史信息，包括以往工作单位、工作期间及工龄；
• 授权在俄罗斯联邦居留和工作的文件所含信息（针对外国公民）；
• 收入及执行令项下债务信息；
• 银行账户及银行卡号码；
• 健康状况信息（针对特定类别员工）；
• 有无犯罪记录和/或刑事追诉，或因康复性理由终止刑事追诉的信息（针对特定类别员工）；
• 依法须提交的文件中所含的其他个人数据，前提是此类数据的处理符合本政策第3.1条规定的处理目的。

3.3. 个体企业主不处理涉及种族、民族、政治观点、宗教或哲学信仰或私生活的特殊类别个人数据，俄罗斯联邦法律规定的情形除外。

4. 个人数据处理的程序和条件

4.1. 在开始处理个人数据之前，个体企业主须向Roskomnadzor（俄罗斯联邦电信、信息技术和大众传媒监督局）通报处理个人数据的意图。

4.2. 处理个人数据的法律依据为：俄罗斯联邦《劳动法典》、包含劳动法条款的其他规范性法律文件、2006年7月27日第152-FZ号联邦法律《关于个人数据》、2011年12月6日第402-FZ号联邦法律《关于会计》，以及2006年11月27日第719号俄罗斯政府令《关于批准兵役登记条例》。

4.3. 个体企业主依据个人数据法律和本政策规定的原则和条件处理个人数据。

4.4. 个体企业主采用以下方式处理个人数据：

• 非自动化方式处理个人数据；
• 自动化方式处理个人数据，无论是否通过信息和电信网络传输所获信息；
• 混合方式处理个人数据。

4.5. 个体企业主在取得个人数据主体同意的情况下处理个人数据，个人数据法律另有规定的除外。

4.5.1. 对主体已授权传播的个人数据的处理，须遵守《个人数据法》第10.1条规定的禁止条款和条件。

4.5.2. 仅可在取得个人数据主体书面同意的情况下处理生物特征个人数据。《个人数据法》第11条第2部分规定的情形除外。

4.6. 个体企业主不进行个人数据的跨境传输。

4.7. 个人数据的处理通过以下方式进行：收集、记录、系统化、积累、存储、澄清（更新、修改）、检索、使用、匿名化、封锁、删除及销毁个人数据，包括通过使用计算设备进行上述操作。

4.7.1. 个体企业主通过以下方式收集、记录、系统化、积累和澄清个人数据：

• 获取原始文件或其副本；
• 复印原始文件；
• 在纸质和电子媒介上的记录表格中录入信息；
• 在纸质和电子媒介上创建含有个人数据的文件；
• 将个人数据录入个人数据信息系统。

4.7.2. 个体企业主使用以下信息系统：

• 企业电子邮件；
• 电子文档管理系统；
• 用户工作站支持系统；
• 法规参考信息系统；
• 人力资源管理系统；
• 远程访问控制系统；
• 信息门户。

4.8. 个人数据主体个人数据的转移（传播、提供、访问）依据个人数据法律和本政策规定的情形和方式进行。

5. 个人数据的处理和存储期限

5.1. 个体企业主在以下情况下停止处理个人数据：

• 发现个人数据被非法处理时（须在发现之日起三个工作日内停止处理）；
• 达到处理目的时（特定情形除外）；
• 个人数据主体同意处理其个人数据的期限届满或被撤回时（特定情形除外）；
• 个人数据主体要求个体企业主停止处理个人数据时（须在收到请求之日起不超过10个工作日内停止处理）。

5.2. 个人数据的存储形式应能识别数据主体，且存储时间不得超过处理目的所需的时间。例外情形包括：个人数据的存储期限由联邦法律或个人数据主体作为一方的合同所规定。

5.3. 纸质媒介上的个人数据由个体企业主按照俄罗斯联邦档案法律规定的文件保存期限进行存储。

5.4. 个人数据信息系统中处理的个人数据存储期限与纸质媒介上个人数据的存储期限相对应。

6. 封锁和销毁个人数据的程序

6.1. 个体企业主依据个人数据法律规定的方式和条件封锁个人数据。

6.2. 在达到个人数据处理目的或丧失实现这些目的的必要性后，个人数据须被销毁或匿名化。

6.3. 非法获取或对处理目的而言不必要的个人数据，须在个人数据主体提供证明材料之日起七个工作日内销毁。

6.4. 因非法性而终止处理且无法确保合法处理的个人数据，须在查明非法处理事实之日起10个工作日内销毁。

6.5. 个人数据须在达到处理目的之日起30日内销毁，除非个人数据主体作为一方的协议、其与个体企业主之间的其他协议另有规定，或个体企业主并非依据联邦法律规定的依据在无个人数据主体同意的情况下有权处理个人数据。

6.6. 个人数据须在收到个人数据主体撤回同意处理的声明之日起30日内销毁（如保留并非出于处理目的所需）。

6.7. 对含有须销毁个人数据的实体媒介（文件、硬盘、闪存盘等）和/或信息系统中信息的筛选，由个体企业主负责处理个人数据的责任人执行。

6.7.2. 纸质媒介上的个人数据须使用碎纸机销毁。电子媒介上的个人数据须通过以防止读取或恢复个人数据的方式机械损坏媒介的完整性加以销毁，并通过使用保证消除残留信息的方法和工具从电子媒介中删除数据。

6.7.3. 责任人依据Roskomnadzor 2022年10月28日第179号令批准的《个人数据销毁确认要求》确认个人数据的销毁。

7. 个人数据的保护

7.1. 在未取得个人数据主体书面同意的情况下，个体企业主不得向第三方披露个人数据，亦不得传播个人数据，联邦法律另有规定的除外。

7.2. 为保护个人数据，个体企业主任命（批准）：

• 负责组织个人数据处理的员工；
• 涉及个人数据处理的职位清单；
• 担任涉及个人数据处理职位的员工可访问的个人数据清单；
• 进入个人数据处理场所的程序；
• 向个体企业主转移个人数据的程序；
• 个人数据处理同意书的格式；
• 在个人数据信息系统中处理个人数据时的保护程序；
• 开展内部调查和审计的程序；
• 依据个人数据法律要求制定的其他本地法规。

7.3. 担任涉及个人数据处理职位的员工，在签署保密义务书后方可获得个人数据的访问权限。

7.4. 含有个人数据的实体媒介存放于可上锁的柜子中（如适用）。

7.5. 通过个人密码授予对个体企业主信息系统中所含个人信息的访问权限。

7.6. 个体企业主使用经认证的防病毒软件，并定期更新病毒库。

7.7. 处理个人数据的个体企业主员工定期接受个人数据法律要求方面的培训。

7.9. 个体企业主在以下情况下开展内部调查：

• 在导致侵犯个人数据主体权利的非法或意外转移（提供、传播、访问）个人数据的情形下；
• 个人数据法律规定的其他情形下。

7.10. 负责组织个人数据处理的员工对遵守个人数据法律要求实施内部控制。内部控制以内部审计的形式进行。

7.11. 如发现非法或意外转移个人数据并导致侵犯个人数据主体权利的事实（以下称"事件"），须开展内部调查。

7.11.1. 发生事件时，个体企业主须在24小时内向Roskomnadzor通报事件情况、疑似原因、对个人数据主体权利造成的损害，以及为消除事件后果所采取的措施。

7.11.2. 个体企业主须在72小时内向Roskomnadzor通报内部调查结果，并提供导致事件发生的相关人员信息（如有）。

7.12. 如提供经确认的信息表明个人数据不完整、不准确或已过时，须在七个工作日内进行更正。

8. 违反个人数据处理规定的责任

8.1. 在个人数据处理过程中，违反俄罗斯联邦个人数据法律规定的责任人，须依据俄罗斯联邦《劳动法典》及其他联邦法律规定的方式承担纪律和物质责任。此外，还须依据联邦法律规定的方式承担行政、民事或刑事责任。

8.2. 因侵犯其权利、违反个人数据处理规则或未履行数据保护要求，给个人数据主体造成的精神损害，须依据俄罗斯联邦法律予以赔偿。精神损害赔偿独立于对个人数据主体所遭受的财产损失及损失的赔偿之外单独进行。