中国移动：个人信息保护体系建设实践

作者：沙丘社区分析师团队

为解决以上难题，中国移动梧桐大数据团队基于科学的业务场景梳理办法，参考相关国家标准模型，以“明确红线零容忍、安全发展统筹兼顾、分类分级差异化管控、务实求效形成常态”为原则，从组织机制、管理制度、技术能力、运营机制四个维度建立个人信息保护体系，保证对于各项业务活动中个人信息保护的全面性、规范性和适宜性，保障大数据安全合规有序地为中国移动转型发展助治赋能，同时推动实现数据要素市场化，将中国移动大数据服务能力赋能各行各业。

基于大数据业务相关的组织架构。中国移动建立集团式-跨单位的覆盖决策层、监督层、管理层、执行层及参与层的个人信息保护组织机构。

中国移动的数据来源于省分公司，大数据中心收集各省分公司的数据进行抽取并统一治理，联合省专公司打造数据产品和能力，对内外赋能。因此，组织机构需要与业务流程相配套，个人信息保护体系要服务于业务发展。在业务层面，中国移动划分数据提供方、数据接收方、数据产品提供方、数据产品销售方等，明确各方在法律、安全等方面的权责利。

在制度规范层面，中国移动基于法律合规需求、业务需求及安全需求三个方向，遵照国家标准，建立覆盖业务场景“两类四层”个人信息保护制度，两类包括个人信息安全和个人信息权益，四层包括总则、办法、规范/指南及记录/模板工具。在实际的个人信息保护工作中，一线工作人员非常需要明确的指南和细则，因此中国移动为业务人员详细解读上层安全管理要求和法律法规要求，与具体的业务流程开展相结合，指引业务人员用好数据，保证数据要素的安全流通。

为进一步提升业务合规范围全覆盖，推动业务合规评估标准化、智能化，提升合规风识别的效率，中国移动构建合规管理数字化支撑能力，强化智能化、自动化风险防控；外化能力输出、赋能整个集团的合规领域数字化转型，建立了覆盖业务全流程的包含基础资源层、模型层、工具层和展示层的四层技术体系。

其中，基础资源层基于大数据平台建立；模型层用到了很多大数据通用模型，包括调用可信模型、数据串通风险模型、数据血缘模型、合规风险评估模型、数据资产价值评估模型等，模型的输入值包括内部系统监控的日志、告警等以及外部上下游合作伙伴的信息、风险评估报告等，进行联合建模；工具层包括安全类工具、合规类工具、大数据类工具、隐私计算、资产评估工具等；展示层是合规大屏。

有了组织、制度、技术等作为数据安全和数据合规工作的基础后，运营机制才是实现数据要素合规的关键。中国移动以大数据业务合规平台为技术支持，以内外部专业团队及人员为人员支持，形成了知识层、工具层和执行层三层交互支撑的“3+2+4”的可持续迭代的合规机制：

• 3大业务合规库：包括重点课题分析报告库、跨行业文件知识库和20类合规事件库。

• 2类合规基线：包括通用合规基线和专项合规基线，通用合规基线适用于中国移动自己开展数据业务开展，涉及到其他行业的特殊场景需要采用专项合规基线。

• 4大运营机制：包括政策分析和解读、合规文化建设、常态化合规监管以及上下游合作方监管，是指引企业做好个人信息保护合规的重要举措。

通过以上个人信息保护体系，中国移动在积极落实个人信息保护义务的同时，切实保障人民合法权益，并为公司和社会实现如下价值与效果：

• 对公司来说：合规促进了隐私计算的应用，增加收入1亿，位列全国同类产品第一；保障公司大数据业务收入超32亿；营造人人合规的企业文化，为中国移动数字化转型保驾护航。

• 对社会来说：践行央企责任，积极落实个人信息保护义务；以中国移动领先技术能力，切实保障人民个人信息合法权益；引领数据生态文明，为政府和各行业个人信息保护工作提供了实践案例和方法理论。