（1） 数据安全收集方面，通过个人信息安全影响评估确认数据收集的合法性、正当性和必要性，识别并以清晰、准确的方式告知用户以征得同意，同时对用户的授权同意采集行为进行日志记录；采用敏感识别工具对收集的用户数据进行分类分级，针对不同级别的数据设置不同等级的安全策略；采用技术措施对收集或产生数据的来源方进行身份识别，确保数据来源的准确性和抗抵赖性；

（2） 数据安全传输方面，使用安全通道传输个人信息，并通过合适的加密算法进行安全加密、脱敏处理，确保数据传输过程中个人信息的秘密性和完整性；

（3） 数据安全存储方面，采用数据分类分级管理制度，针对数据分类分级结果采取不同的信息存储策略；个人敏感信息需加密存储，确保数据安全使用规范能够落实到位；针对存储有个人信息的数据库加强权限控制与安全审计；定期对个人信息进行备份与恢复，确保个人信息在存储使用过程中的完整性；

（4） 数据安全处理方面，依照使用场景和安全需求对个人信息进行脱敏处理，例如在前端显示个人敏感信息之前需在服务端完成脱敏处理；开发、测试环境严禁使用真实用户信息；实施严格的数据权限控制机制，采取多重身份认证、网络/数据隔离等技术措施，确保能够对处理个人信息的行为进行有效监控，避免数据被违规访问和未授权使用；

（5） 数据安全销毁方面，根据法律法规要求和业务实际需求设定个人信息存储的最小可用期限，对到期的数据通过安全删除技术进行处理，确保已销毁数据不可恢复，技术手段包括但不限于数据彻底清除方案、磁盘销毁、物理销毁等；

（6） 建立完整的审计机制，对数据生命周期的全流程进行监控与审计，防止您的个人信息遭遇未经授权的访问、公开披露、使用、修改、人为或意外的损坏或丢失；

（7） 其他实现数据安全保护的措施。

数据安全组织和管理措施

（1） 成立专门的个人信息保护责任部门，建立相关的内控管理流程，对可能接触到您的信息的工作人员采取最小化权限原则；

（2） 建立数据分类分级制度、业务数据安全使用规范、数据合作规范等管理体系，保障您的信息在收集、传输、使用、存储、转移、销毁等环节的处置满足法律法规相关规范和安全要求；

（3） 定期组织员工参加安全与隐私保护相关培训并要求完成规定的考核，加强员工对于保护个人信息重要性的认知；

（4） 其他可行的安全组织和管理措施。

信息安全认证与荣誉

爱奇艺构建了完善的个人信息安全管理体系，荣获多项权威安全认证，为用户信息提供全方位安全保障。

（1）ISO/IEC 27001:2013 信息安全管理体系

ISO27001是一套获得业界广泛认可的安全管理体系标准，被认为是国际最权威、最严格的信息安全体系认证标准，被全球广泛接受。该标准可用于组织的信息安全管理建设和实施，通过管理体系保障组织全方面的信息安全。爱奇艺通过此项认证意味着我们在信息安全管理领域已经与国际标准对标，具有充分的信息安全风险识别和控制能力，可以为全球客户提供安全可靠的服务。

（2）ISO/IEC 29151:2017 个人身份信息保护实践指南

ISO/IEC29151是国际通行的个人身份信息保护指南。适用于任何对隐私保护有需求的组织，对开展个人身份信息保护提供了一个广泛的指南。爱奇艺通过此项认证意味着我们在数据隐私保护方面具备严格的流程管控、高效的响应能力和完善的系统支撑，满足全球客户提供更好的隐私保护服务。

（3）ISO/IEC 27701:2019 隐私信息管理体系

ISO/IEC27701建立、实现、维护和持续改进隐私信息管理系统 (PIMS) 提供具体要求和指南，是业内公认最具权威性的隐私管理体系建设指导标准。爱奇艺获得ISO27701认证意味着爱奇艺的隐私保护和信息安全能力已达到国际标准，对爱奇艺全球业务的隐私和信息安全体系建设具有里程碑意义。

PCI-DSS安全标准认证，是目前全球范围最为权威的支付卡产业数据安全标准， 有“全球最严格、覆盖安全要求最全面的数据安全认证标准”之称，是企业开展支付卡数据处理的必要条件。获得PCI-DSS的认证意味着， 爱奇艺支付卡处理能力已经达到全球标准，未来将继续提升网络支付环境安全性，提升支付卡数据处理能力，在国际业务中提供更多满足支付卡行业数据安全要求的产品及服务，为业务的国际化发展提供强有力的安全支撑。

公安部网络安全等级保护三级备案与测评

网络安全等级保护是我国信息安全保障的一项基本制度，国家标准化委员会发布了网络安全等级保护相关标准。爱奇艺在创立之初就视信息安全与隐私保护为己任，依法依规开展信息安全各项工作，严格执行等级保护制度相关要求，通过持续迭代优化安全架构，全面提升合规框架下的安全防护能力。我们的互联网业务系统、大数据平台、私有云平台、后台支撑系统等核心信息系统已全部完成等级保护三级定级备案，并顺利通过网络安全等级保护测评。