本政策说明 在组织环境中 为确保合法且负责任的访问, 用户同意与授权 应如何获取、记录并执行。
本政策旨在定义 用户同意与授权的基本原则, 适用于对系统、数据 及数字资源的访问。 本政策适用于员工、管理员、 承包方以及所有其他 获得授权的用户。
同意与授权 属于不同概念。 当法律或内部治理要求时, 二者必须同时具备。
同意是指 用户或数据主体 在充分知情的情况下, 自愿且明确地 允许访问或数据处理活动。
授权是指 用于确定 经身份验证的用户 可以执行哪些操作的 技术和管理控制措施。
用户同意 并不自动授予 不受限制的访问权限。 授权必须始终 限制在 已定义的角色 和合法目的之内。
管理员权限、 监控功能 以及对敏感系统的访问 需要额外的合理说明、 文档记录 以及更严格的监督。
在法律要求的情况下, 组织在启用访问、 监控或数据处理活动之前, 有责任获取用户同意。
用户同意必须明确、 有据可查, 并以用户可以合理理解的方式进行说明。 当需要明确同意时, 不得使用隐含或隐藏的同意机制。
访问权限应基于 已定义的角色、 职责 以及业务需求授予。 必须始终遵循 最小权限原则。
授权应定期审查, 并在角色变更 或访问不再需要时 及时更新。
与同意和授权相关的决策 必须进行记录, 以支持内部审查、 审计 以及监管机构的要求。
记录应清楚显示 同意的获取时间、 授权的访问内容 以及批准人。
获取同意、 制定授权规则 以及执行访问控制的责任 完全由组织承担。 违反本政策 可能导致访问被暂停 或采取内部纪律措施。