NDA:保密的法律基础
保密协议(Non-Disclosure Agreement, NDA)是第一道保护屏障。我们签署两种形式的NDA:
- 翻译社与客户之间的NDA。在材料交接前签署。明确信息保护义务、有效期(标准为项目完成后3-5年)以及违约责任。
- 翻译社与每位翻译人员之间的NDA。我们50多名专家均已签署有效保密协议。翻译人员不得泄露翻译文件内容,不得在项目交付后保留副本,不得将材料转交第三方。
如果您有自己的NDA模板,我们会签署。如果没有,我们将提供经过法律审核、符合俄罗斯法律和国际标准的标准模板。
加密和安全文件传输
通过普通电子邮件传输文件很常见但不安全。我们的方案:
- 安全云门户。客户通过TLS 1.3加密的安全门户上传文件。文件存储在俄罗斯境内服务器(符合152-FZ联邦法)。
- 加密邮件。通过电子邮件发送时,我们使用加密压缩包(AES-256)。密码通过另一渠道传送(即时通讯或电话)。
- VPN和直接通道。对于有更高安全要求的企业客户,我们建立VPN隧道或通过客户自有基础设施工作。
项目完成并经客户确认收到材料后,我们从服务器删除工作文件。保留期限在NDA中约定——标准为交付后30天,以便及时处理修改请求。
翻译人员审核
翻译人员是安全链中的关键环节。在将专家分配到涉及机密信息的项目前,我们进行:
- 资质审核。确认学历、工作经验、前雇主或客户的推荐信。
- 签署NDA。与每位专家签署个人保密协议。
- 安全培训。处理机密文件的规范:禁止使用公共云存储(Google Drive、Dropbox)存放工作文件,禁止将文本上传到免费在线翻译工具(Google翻译、DeepL Free)和聊天机器人(ChatGPT)。
- 工作站控制。对于高度机密项目,翻译人员使用翻译社设备或通过安全远程访问工作。
这不是形式。2023年,我们终止了与两名翻译人员的合作,因为他们在处理机密文本时使用了在线翻译工具(在审计中发现)。
GDPR和152-FZ合规
我们按照两项关键法规处理个人数据:
联邦法律152-FZ《个人数据法》。要求:俄罗斯公民的个人数据存储在俄罗斯境内、获得处理同意、指定数据处理负责人。
GDPR(通用数据保护条例)。适用于与欧洲合作伙伴的项目。我们确保:数据最小化(仅处理必要范围)、删除权、72小时内安全事件通知。
翻译包含个人数据的文件(病历、劳动合同、法庭材料)时,我们采取额外措施:限制执行人员范围、准备阶段数据匿名化(如可能)、专用工作空间。
内部安全政策
除法律协议外,我们还有一套组织措施:
- 最小权限原则。每位翻译只能访问项目中自己负责的部分。团队项目中,各翻译人员看不到彼此的材料。
- 访问日志。记录所有文件操作:谁在何时下载/上传/编辑了什么。
- 定期审计。每季度检查安全流程执行情况。
- 事件响应计划。发现泄露时:立即通知客户、锁定访问、调查和纠正措施。
实际操作流程
高度机密项目的典型场景(如M&A文档翻译):
- 材料交接前签署NDA
- 客户将文件上传至安全门户
- 项目经理从经过审核的具有相应权限的专家中分配翻译人员
- 翻译人员通过安全访问工作,不将文件下载到个人设备
- 完成的翻译上传至门户,客户收到通知
- 确认验收后,删除工作文件
Max