转转个人信息保护社会责任报告

1. 关于我们

转转成立于2017411日,是中国二手闲置物品循环消费领域的龙头企业,国内领先的循环经济数字化平台。为确保二手交易安全高效流转及稳定的供需保障,转转从解决二手交易中最关键的信任问题入手,独立推出“官方验”体系,开创了二手手机回收数据清除、验机、质保、7天无理由退换货的服务模式,带动行业履约服务标准的提升。转转致力于推动闲置流转,助力社会、经济可持续发展。通过建立流量、履约和供给相互赋能的完整生态,传播塑造二手消费理念。

2. 我们的个人信息保护理念

在长期实践中,我们逐步形成了以下个人信息保护核心理念:

l  以合法合规为底线

严格遵守《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等法律法规,以及GB/T 35273-2020《信息安全技术 个人信息安全规范》等国家标准,将合规要求嵌入制度、流程与产品设计中。

l  以用户感受为出发点

不仅符合法律法规及国家标准,更关注在真实交易场景中为广大用户提供可靠、便捷、可预期的二手交易体验。

l  以最小必要为基本原则

只因“确有必要”处理用户个人信息,不因“可能需要”而收集用户个人信息。

l  以持续改进为长期目标

个人信息保护不是一次性工作,而是伴随业务演进不断优化的过程。转转始终坚持“用户第一”,将保护用户个人信息作为长期目标。

3. 个人信息保护管理架构与内部制度

l  管理架构

转转设立信息安全委员会,由信息安全部门、运维部、大数据部、法律部、公共事务部门、安全监察部等各部门的负责人组成。委员会作为公司网络与数据安全工作的最高决策机构,负责全面领导和协调公司网络安全、数据安全及个人信息保护工作,包括相关制度和体系建设的搭建与审批,部署网络与数据安全相关的重点工作。同时,转转设置了网络安全负责人、数据安全负责人和个人信息保护负责人。

l  制度体系

制定《转转集团个人信息保护制度》,对个人信息处理的基本原则、个人信息处理的全生命周期管理、个人信息主体权利行使等内容作出规定。

同时建立《转转集团数据分类分级管理制度》,明确公司数据的分类分级标准,对不同类型和不同级别的数据采取不同的管理措施与技术措施。

配套实施《个人信息保护影响评估办法》,针对《个人信息保护法》规定的敏感个人信息处理、利用个人信息进行自动化决策、委托处理、共享等处理活动及其他可能对个人权益有重大影响的个人信息处理活动进行个人信息保护影响评估,对评估过程中发现的风险进行事前整改或管控。

制定《应急安全管理规范》,明确安全事件报告、响应的相关机制,并对应急恢复培训与演练作出了规定。

l  安全认证

转转APP平台系统获得公安部网络安全等级保护三级认证;转转WEB平台系统获得公安部网络安全等级保护二级认证。

4. 个人信息保护技术能力建设

l  技术能力

围绕核心业务系统和重要数据资产,转转系统性部署多层次安全防护措施。在网络架构层面,通过合理划分外联接入区、核心区、安全管理区、服务器区及办公区,实现不同安全域之间的有效隔离,并在网络边界部署云防火墙、WAF、防DDoS等防护能力,对异常访问、恶意攻击行为进行实时检测和阻断。在系统与主机层面,结合业务实际部署主机安全、防病毒、防篡改及漏洞扫描机制,定期开展安全基线核查和补丁更新,确保系统组件持续处于安全可控状态。

l  数据安全与访问控制

针对个人信息及业务数据的全生命周期管理,转转落实数据分类分级制度,实施差异化保护策略。数据库层面采用加密存储、自研加密算法,对数据访问、操作行为进行持续审计与留痕;应用层面通过最小必要原则实施权限分级管理,结合企业级统一身份认证,有效降低账号被滥用和越权访问风险。

l  漏洞管理与安全自查

转转建立漏洞管理和风险排查机制,结合等级保护测评、内部自查及第三方安全检测等方式,定期对业务系统、测试系统及辅助系统开展漏洞扫描与风险评估。针对发现的问题,均能在限定期限内完成整改闭环,并形成相应记录留存。

l  数据泄露事件应急响应

转转制定并持续优化网络与个人信息安全事件应急预案,明确事件分级标准、处置流程及责任分工,并通过年度应急演练不断检验和提升实战能力。一旦发生网络安全或数据安全事件,公司将第一时间启动应急响应机制;同时,按照法律法规要求,依法履行向主管监管部门报告义务,并在必要情况下及时向受影响用户进行告知,保障用户的知情权和合法权益。截至目前,转转未发生重大泄露事件。

5. 个人信息主体权利保障

l  查询权

转转充分尊重用户对其个人信息的自主决定权。用户可以自行选择是否提供个人信息,并有权随时访问和查看其已向平台提供的个人信息。

l  更正与撤回同意权

用户有权对其个人信息进行修改和更新,以确保信息的真实性和准确性。同时,用户可以根据自身意愿,在任何时间通过平台提供的功能入口开启或关闭相关授权,从而自主授予或撤回对个人信息处理的同意。

l  删除权

用户有权依法向平台提出删除其个人信息的请求。转转遵循“最短保存期限”原则,在用户注销账户或主动提出删除个人信息请求的情况下,将在符合相关法律法规关于信息留存期限要求的前提下,及时对相关个人信息进行删除。

l  投诉处理与救济机制

转转持续完善个人信息侵权投诉处理机制,根据投诉事项的性质进行分类管理,并明确不同类型投诉的处理流程和响应时限,确保用户诉求得到及时、规范的处理。

6. 第三方合作伙伴管理

针对涉及用户个人信息处理的第三方合作方,转转建立了全流程管理机制,通过“准入评估、协议约束与应急协同”相结合的方式,保障数据共享与传输过程的合法性、安全性和可控性。

l  合作准入与风险评估

从数据处理的合法合规性与必要性、合作方的数据安全能力、数据处理场景及技术保护措施等多个维度开展综合评估,确保仅在业务合理且风险可控的前提下开展数据合作。

l  协议约束与履约管理

在合作开展前,与第三方依法签署数据处理协议,明确约定数据处理的目的和范围、安全保护要求以及违约责任等内容,作为合作管理和责任追溯的重要依据。

l  应急响应与协同处置

如发生可能影响用户权益的数据安全事件,合作方应在约定时限内进行通报。转转将及时介入,与相关方协同开展事件调查、影响评估和风险缓解工作,并依法履行后续处置和告知义务。

7. 数据安全意识与能力建设

转转持续将数据安全意识建设作为基础性工作推进,通过制度化、常态化的方式开展员工教育与能力提升,帮助全体人员不断增强数据安全意识和专业素养,将安全要求融入日常工作实践。

l  全员数据安全培训

平台建立覆盖全体人员的数据安全培训机制,通过分层分类培训、持续更新课程内容,确保不同岗位人员能够理解并履行相应的数据安全责任。

l  安全演练与实战检验

在日常管理中,转转通过实战化方式检验安全防护能力,定期组织安全演练和风险模拟活动,帮助员工识别常见安全威胁,提升对异常行为和潜在风险的防范与处置能力。

l  内部安全宣传与文化建设

转转通过专题宣传活动、案例分享和风险提示等多种形式,持续向员工传递数据安全与个人信息保护的重要性,强化安全红线意识,推动形成“人人参与、持续改进”的数据安全文化。

l  案例

2025年国家网络安全宣传周举办期间,转转集团紧密围绕“网络安全为人民,网络安全靠人民”的主题精神,开展以“数据安全齐守护,隐私保护共担当”为主题的网络安全宣传周活动,旨在提升转转集团全体员工的网络与数据安全意识。活动期间,公司组织线上网络与数据安全知识答题活动,重点围绕数据安全、个人信息保护相关内容,紧扣实际业务场景。此外,公司通过模拟钓鱼邮件演练的方式,邀请遭遇钓鱼攻击的同学参加线上培训;并针对职能部门的同事开展线下培训。活动得到了集团高管的大力支持。未来,转转集团将持续以多样化的形式,继续推动网络与数据安全意识进一步融入日常工作的每一个环节,共同守护数据安全。