嘉得信合规║成果 集团企业数据协同合规实现路径

从实践来看，集团企业内部的数据管理可分为中央化运营和分业态独立运营两种基础模式。其中，中央化运营模式又称为“集中式”，即在大型企业集团中由集团总部负责制定数据处理的相关制度和标准，建立统一的内部数据库，数据的收集、存储、处理权限向集团总部集中；分业态独立运营模式又称为“分布式”，即在大型企业集团中，数据存储在运营各业务板块的子公司本地并由子公司负责收集与处理，各业务板块的数据保持相对独立。

中央化运营模式与分业态独立运营模式均存在一定的局限与不足。由于中央化运营模式将个人信息的处理活动集中在集团总部，不仅实施成本过高，集团总部自身也可能因处理个人信息不合规而面临监管处罚的风险；分业态独立运营模式虽然实现了集团总部的风险隔离，但又无法满足数据互通协同的业务需求。因此，在这两种模式的框架下，进一步演化出以下4种落地方案：

在集中处理的方案中，运营各业务板块的子公司需要将现有数据统一迁移至集团旗下的另一子公司，或合并各业务板块数据管理主体成立新的独立子公司，由子公司统筹负责各业务板块数据信息的收集、存储、使用、共享、转让、公开、删除等数据全生命周期相关事宜。

是指运营各业务板块的子公司需要将现有的数据统一委托给集团总部下现有或新设立的独立子公司进行处理，完成数据全生命周期管理事宜。

在这种方案中，各业务板块所收集的数据信息仍由对应的子公司负责存储，集团内部则通过设立通用的账号体系，由集团总部存储一定必要的核心数据信息，通过中央化处理在具体业务场景下进行跨业务身份识别与数据互通。

这一方案是对“联邦制”管理的进一步拓展。二者的区别在于，算法化的“联邦制”管理不再设立显性、统一的会员账户，而是由各个业务系统采用统一算法将个人身份信息进行匿名化加密处理，此处应当严格区别去标识化的处理方式，匿名化加密后形成的唯一隐性标识存储于各个业务子公司并作为识别身份的依据，在特定业务场景实现跨业务数据加密匹配与协同。

在“集中处理”方案下，为确保数据协同互通的合规性，企业需要从数据安全、用户授权、完善合规文件等方面做好相关工作，确保满足数据处理主体变更的法定要求。

1.建立集中的数据安全体系

企业需搭建集团统一的数据安全管理平台，实施分级分类管理，对敏感个人信息（包括但不限于身份证号、银行账户、生物识别信息、医疗健康信息等）采取加密存储、访问权限严格管控等措施；围绕集中处理的适用场景、是否涉及敏感个人信息、是否会对个人信息主体的人身或财产权益造成实质性损害、是否采取适当的安全保障措施等问题，在数据迁移前开展个人信息保护影响评估（PIA），形成评估报告并予以留存，同时建立数据迁移日志，全程记录数据迁移过程，确保可追溯。

2.获取用户授权同意

针对各业务板块存量用户，应当发起数据归属转移的单独授权，明确告知新的数据处理主体、处理目的、数据类型及授权撤回路径；针对新增用户，应当在注册流程中设置单独的“数据集中管理同意”勾选框，同步修订各业务线的隐私政策，补充数据集中处理的相关章节。对于敏感个人信息，需单独列明授权事项，确保授权的明确性。企业获取用户的授权同意可以通过多种方式进行，既可以让用户在交互式的界面中通过勾选、主动点击“同意”“下一步”“继续”的方式授权同意，也可以让用户通过电子签名、回复短信、电子邮件、纸质或者电子的书面声明授权、电话录音、视频录像等方式授权同意。

3.完善合规文件体系

企业需制定集团总部关于集中数据处理管理的规章制度，明确数据收集、存储、加工、使用的流程及各部门职责；各业务子公司与集团数据管理主体签署个人信息转移处理的相关协议，明确双方权利义务。

委托处理的核心在于确保委托关系的合法性与透明性。在采取“委托处理”方案的情况下，企业不仅需要履行正常情况下个人信息处理者的法定义务，也需要做好对受托人的监督。

1.签订规范的委托协议

运营各业务板块的子公司与受托人（集团内其他子公司）应当签署个人信息委托处理的相关协议，明确委托处理的目的、期限、范围和方式，约定受托人不得转委托以及数据处理结果的返还与销毁义务、数据安全保障责任及违约责任，明确业务子公司作为委托方的监督权利及监督方式。

2.履行用户告知义务

企业需要通过修订隐私政策、APP弹窗、短信、填写框、动画、转至单独提示界面、语音播报等方式，向用户明确告知受托人的名称、联系方式、处理目的、处理方式、个人信息种类、保存期限和对个人信息的影响、行使个人信息主体权利的方式和途径，保障用户的知情权；对于敏感个人信息的委托处理，需单独获取用户的书面同意。单独同意的方式，既可以由用户主动完成填写并提交，也可以通过设置独立页面、电话、短信等向用户告知，由用户通过点击、勾选、主动进行电子签名等肯定性动作作出同意。

3.建立监督机制

企业需要对受托人的数据安全保障能力进行全面审核，包括其数据安全管理制度、技术保障措施、专业人员配置等，同时搭建委托处理监督平台，对受托人的数据处理活动进行全程监督，定期核查数据处理日志，确保受托人严格按照委托协议约定处理数据；对受托人进行审计，要求受托人定期提交数据处理合规报告，在发现受托人未按照委托要求处理个人信息，或者未能有效履行个人信息安全保护责任的，立即要求其停止相关行为并采取更改访问口令、回收处理权限、断开网络连接等补救措施。

“联邦制”管理方案的合规核心在于“合规处理方式”+“最小必要原则”，采取“联邦制”管理的企业需要重点关注以下几个方面：

1.搭建分级授权体系

在各业务板块注册流程中，企业需要设置“基础业务授权”与“统一会员体系授权”两个独立选项。其中，统一会员体系授权条款需明确会员账号的用途、集团存储的核心数据类型（如手机号、ID映射关系）、跨业务共享的场景及信息类型、授权撤回路径（如“我的-设置-隐私授权管理”）。即便用户拒绝注册账号，也不得影响浏览、搜索等基础业务功能的使用。

2.践行“告知-同意”原则

在引导注册会员的过程中，企业需要明确告知会员账户的用途、集团总部存储的核心数据类型（如手机号、ID映射关系）及跨业务数据共享的范围并取得单独同意，确保总部仅存储实现身份匹配必需的核心数据，同时采取足够的安全保护措施。

3.规范会员账号管理

企业应当严格控制集团总部掌握的个人信息，集团总部仅能存储会员账号、基础个人信息及关联映射关系，不存储各业务板块的原始敏感个人信息，同时建立会员账户生命周期管理制度，对用户明确提出撤回授权或处理和使用用户个人信息的目的已完成的，及时删除相关个人信息及映射关系。

4.制定数据共享规则

企业应按个人信息敏感等级制定跨业务共享规则：一般个人信息（如姓名、会员等级）可直接共享，仅用于身份验证和权益展示；敏感个人信息（如身份证号码）脱敏后共享，仅用于指定协同场景；核心个人信息原则上不跨板块共享，确需共享的需单独授权。

5.完善技术与文件保障

企业应搭建集团统一数据查询接口平台，设定严格的访问权限，业务人员访问需经工号+权限审批，系统自动调用仅允许指定场景，修订各业务线隐私政策，补充会员账户及集团内数据共享的相关内容，在集团总部和各子公司中避免使用统一的用户协议、隐私政策，制定会员账户的相关管理制度，明确会员账户的生成、使用、注销流程及安全保障措施。

作为四种方案中合规风险最低的模式，算法化的“联邦制”管理的核心在于场景化授权的有效性及加密算法的安全性：

1.优化场景化授权流程

在特定业务场景触发时，企业应当通过弹窗形式向用户发起单独授权申请，明确告知用户数据匹配的目的、范围、加密处理方式及不同意的后果，但不同意匹配不得影响业务的正常使用，同时做好授权记录。授权记录需包含授权时间、场景、用户操作记录等信息，留存期限建议不少于3年。

2.保障算法安全与统一

企业应当组织专业技术团队对加密算法进行安全性论证，确保算法不可反向破解，统一各业务系统的算法标准，确保各子公司生成的隐性标识具有唯一性和互认性且无法反向破解为原始的个人信息。企业还需定期对算法进行安全评估，及时修复安全漏洞。

3.建立数据匹配安全机制

企业应确保数据匹配全程在各业务子公司本地进行，不进行原始数据传输；采用加密传输匹配结果，接口调用需进行身份认证（如密钥+白名单）；建立数据匹配日志，记录匹配时间、场景、参与主体及结果，确保可追溯。

4.完善合规文件与运营保障

修订各业务线隐私政策，补充算法化数据匹配的相关内容，明确加密处理方式、场景化授权规则及撤回路径；制定集团的算法化个人信息协同管理制度，明确各部门职责、数据匹配流程及风险应急预案；定期面向员工开展合规培训，提升业务口及IT技术人员的合规意识。

无论采用哪种方案模式，都必须确保各项实践操作合法合规，紧密围绕单独同意、最小必要、安全可控、权责清晰四大核心合规原则展开。反之，一旦偏离合规路径，实施违反个人信息保护相关法律法规的行为，企业及相关责任人将承担法律责任。从我国现行法律的规定来看，侵害个人信息的个人、单位可能面临以下三种不同类型的法律责任：

根据《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第六十九条第一款之规定，个人信息处理者在处理个人信息的过程中侵害个人信息权益造成损害，且不能证明自己没有过错的，应当承担损害赔偿等侵权责任。侵权责任承担的具体方式主要包括停止侵害、赔偿损失、消除影响、恢复名誉、赔礼道歉等。其中，赔偿损失是最为常见的责任承担方式。

个人信息权益遭受侵害时并非总是导致实际的财产损失，受害者通常也难以对自身的损失予以举证。《个人信息保护法》第六十九条第二款针对这一问题进行了特别规定，损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；前述损失和利益难以确定的，根据实际情况确定赔偿数额。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十八条第二款则进一步规定，个人受到的损失和个人信息处理者的获益无法确定的，人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额。

根据《个人信息保护法》第六十六条之规定，个人信息处理者违反该法相关规定的，相关违法行为将记入信用档案并予以公示，由履行个人信息保护职责的部门（网信部门）责令改正并根据情况给予不同处理：

根据《中华人民共和国刑法》（以下简称《刑法》）第二百五十三条及最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的相关规定，单位或个人违反国家有关规定，向他人出售或者提供公民个人信息且情节严重，或者以窃取或其他方法非法获取公民个人信息的，构成侵犯公民个人信息罪。具体量刑根据行为、信息类型、信息数量的不同而有所不同。例如，非法获取、出售或提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的，即构成“情节严重”，处三年以下有期徒刑或者拘役，并处或者单处罚金；非法获取、出售或提供前述信息500条以上的，即构成“情节特别严重”，处三年以上七年以下有期徒刑，并处罚金。罚金的数额通常在违法所得的1倍至5倍之间。

根据所采取的方案不同，法律责任的承担主体也会有所不同：

1.“集中处理”的责任主体

在“集中处理”方案下，若侵害个人信息权益造成损害的情形发生在数据迁移或者企业合并之前，相关责任由原处理者承担；侵害行为发生在数据迁移或者企业合并之后的，相关责任由现处理者承担。

2.“委托处理”的责任主体

在“委托处理”方案下，如果受托人违反约定的处理目的或方式处理个人信息，或者采取约定之外的处理方式处理个人信息的，受托人应作为相关法律责任的承担主体，委托人在其过错范围内承担相应民事责任。此时受托人实质上自主决定了处理个人信息的目的或方式，应当将其认定为个人信息处理者并由其依法承担相应法律责任。同时，《个人信息保护法》第二十一条第一款规定了委托人的监督义务，若委托人没有履行或者没有充分履行监督受托人的个人信息处理活动的义务，从而使得受托人违反约定而擅自实施侵权行为，此时委托人除应承担行政责任外，还应当承担相应的民事责任。

3.“联邦制”管理下的责任主体

在“联邦制”管理模式下，若集团总部及各业务子公司在隐私政策文件中规定了相同的个人信息处理目的和处理方式，则可能会被视为双方共同决定了个人信息处理的目的及方式，进而存在被认定为共同处理的可能，在此基础上，双方应当对处理个人信息过程中侵害个人信息权益所造成的损害承担连带责任，并分别承担相应的行政责任与刑事责任；若集团总部及各业务子公司在隐私政策文件中所规定的个人信息处理目的及处理方式不同，双方不存在共同决定个人信息处理的目的及方式的情形，缺乏构成共同处理的前提基础，仅需在各自过错范围内承担民事责任，并依法承担相应的行政责任与刑事责任。

4.算法化的“联邦制”管理下的责任主体

在算法化的“联邦制”管理模式下，个人信息由各业务子公司分别进行匿名化加密处理。个人信息在经过匿名化处理后无法识别特定自然人且不能复原，因此，个人信息经匿名化加密处理后形成的唯一隐性标识无法被用于识别个人，不属于个人信息，对唯一隐性标识的存储、传输、共享不构成共同处理，集团总部及各业务子公司无需就侵害个人信息权益所造成的损害承担连带责任，仅在违反《个人信息保护法》及《刑法》的相关规定时承担相应的行政责任与刑事责任。