中国移动：个人信息保护体系建设实践

▏摘要

由于业务场景复杂、涉及角色众多，中国移动的个人信息保护工作在组织、制度、技术、运营等方面存在诸多痛点。因此，中国移动从建立个人信息保护体系，保证对于各项业务活动中个人信息保护的全面性、规范性和适宜性，保障大数据安全、合规、有序地为中国移动转型发展注智赋能，同时推动数据要素市场化，将中国移动大数据服务能力赋能各行各业。

▏关键发现

• 随着国家加快培育数据要素市场的决策部署，数据资产成为重要的生产要素，个人信息作为数据资产的重要组成部分，蕴藏着巨大的商业价值。同时，国家个人信息保护相关立法制度的健全，企业也需从组织机制、管理制度、技术能力、运营机制等维度出发，建立完善的个人信息保护体系；

• 组织、制度和技术是数据安全和数据合规工作的基础，运营机制才是实现数据要素合规的关键。中国移动以大数据业务合规平台为技术支持，以内外部专业团队及人员为人员支持，形成“三大业务合规库+2类合规基线+4大运营机制”的可持续迭代的合规机制。

▏建议

• 个人信息保护体系要服务于业务发展，相关企业组织机构需要与业务流程相配套。在业务层面，划分数据提供方、数据接收方、数据产品提供方、数据产品销售方等，明确各方在法律、安全等方面的权责利；

• 在实际的个人信息保护工作中，一线工作人员需要明确的指南和细则，企业需要为一线业务人员详细解读上层安全管理要求和法律法规要求，与具体的业务流程开展相结合，指引业务人员用好数据，保证数据要素的安全流通。

分享专家：王鑫，中国移动通信集团有限公司信息技术中心安全总监

作者：沙丘社区分析师团队

案例企业

中国移动通信集团有限公司（以下简称“中国移动”）是按照国家电信体制改革的总体部署，于2000年组建成立的中央企业，注册资本3000亿元人民币，资产规模2.1万亿元人民币。

自成立以来，中国移动始终致力于推动信息通信技术服务经济社会民生，以创建世界一流企业、做网络强国、数字中国、智慧社会主力军为目标，坚持创新驱动发展，加快转型升级步伐，已成为全球网络规模最大、客户数量最多、盈利能力和品牌价值领先、市值排名前列的电信运营企业。

梧桐大数据是中国移动的大数据品牌，也是中国移动的大数据中心，负责中国移动大数据条线的业务建设、运营以及数据价值经营工作，汇集31省公司及专业子公司数据，拥有集数据、算力、工具、应用、安全为一体的高品质数据服务能力。

项目背景

随着国家加快培育数据要素市场的决策部署，数据资产成为重要的生产要素，个人信息作为数据资产的重要组成部分，蕴藏着巨大的商业价值。

数据要素在流通过程中容易出现有意或无意的泄露情况，近年来，个人信息保护领域公益诉讼案件数量不断攀升，个人信息相关事件频发，2019年立案147件，2020年立案750件，2021年立案2276件，2022年1月至9月立案5188件。从2017年开始，国家层面以“标准先行实践，法律出台”的路径，逐步明确了个人信息保护相关要求。

对企业而言，由于业务场景复杂、涉及角色众多，个人信息保护工作面临诸多痛点，具体来看：

组织层面：中国移动内部分工精细化，有集团公司和各省分公司，企业内部跨组织协同困难，合规管理设计企业内部多部门及供应链上下游合作伙伴，如果缺乏强有力的合规管理组织架构，将不能有效拉通不同组织角色和不同管理事项。

制度层面：复杂场景下实施细则不全面，业务场景复杂，需要合规风险管控的细化标准，各机构对于如何开展个人信息保护政策的理解不一致，导致合规问题处理复杂化；个人信息主体权益作为新型的合规管理内容，现有管理机制不成熟。

技术层面：新型技术手段不够丰富，个人信息保护为多学科交叉领域，需要技管结合进行多维度综合治理，传统的技术手段无法有效应对新型业务场景，数据泄露的方式多样，企业需要不断迭代新技术以应对风险。

运营层面：业务全链条风险管理不充分，快速变化的业务模式和流程导致风险形式多变，企业内部人员缺乏业务层面的合规知识，企业业务人员缺乏风险识别的敏锐度，供应链上下游被攻击会导致经营全链路均面临安全风险。

解决方案

为解决以上难题，中国移动梧桐大数据团队基于科学的业务场景梳理办法，参考相关国家标准模型，以“明确红线零容忍、安全发展统筹兼顾、分类分级差异化管控、务实求效形成常态”为原则，从组织机制、管理制度、技术能力、运营机制四个维度建立个人信息保护体系，保证对于各项业务活动中个人信息保护的全面性、规范性和适宜性，保障大数据安全合规有序地为中国移动转型发展助治赋能，同时推动实现数据要素市场化，将中国移动大数据服务能力赋能各行各业。

基于大数据业务相关的组织架构。中国移动建立集团式-跨单位的覆盖决策层、监督层、管理层、执行层及参与层的个人信息保护组织机构。

中国移动的数据来源于省分公司，大数据中心收集各省分公司的数据进行抽取并统一治理，联合省专公司打造数据产品和能力，对内外赋能。因此，组织机构需要与业务流程相配套，个人信息保护体系要服务于业务发展。在业务层面，中国移动划分数据提供方、数据接收方、数据产品提供方、数据产品销售方等，明确各方在法律、安全等方面的权责利。

在制度规范层面，中国移动基于法律合规需求、业务需求及安全需求三个方向，遵照国家标准，建立覆盖业务场景“两类四层”个人信息保护制度，两类包括个人信息安全和个人信息权益，四层包括总则、办法、规范/指南及记录/模板工具。在实际的个人信息保护工作中，一线工作人员非常需要明确的指南和细则，因此中国移动为业务人员详细解读上层安全管理要求和法律法规要求，与具体的业务流程开展相结合，指引业务人员用好数据，保证数据要素的安全流通。

为进一步提升业务合规范围全覆盖，推动业务合规评估标准化、智能化，提升合规风识别的效率，中国移动构建合规管理数字化支撑能力，强化智能化、自动化风险防控；外化能力输出、赋能整个集团的合规领域数字化转型，建立了覆盖业务全流程的包含基础资源层、模型层、工具层和展示层的四层技术体系。

其中，基础资源层基于大数据平台建立；模型层用到了很多大数据通用模型，包括调用可信模型、数据串通风险模型、数据血缘模型、合规风险评估模型、数据资产价值评估模型等，模型的输入值包括内部系统监控的日志、告警等以及外部上下游合作伙伴的信息、风险评估报告等，进行联合建模；工具层包括安全类工具、合规类工具、大数据类工具、隐私计算、资产评估工具等；展示层是合规大屏。

有了组织、制度、技术等作为数据安全和数据合规工作的基础后，运营机制才是实现数据要素合规的关键。中国移动以大数据业务合规平台为技术支持，以内外部专业团队及人员为人员支持，形成了知识层、工具层和执行层三层交互支撑的“3+2+4”的可持续迭代的合规机制：

• 3大业务合规库：包括重点课题分析报告库、跨行业文件知识库和20类合规事件库。

• 2类合规基线：包括通用合规基线和专项合规基线，通用合规基线适用于中国移动自己开展数据业务开展，涉及到其他行业的特殊场景需要采用专项合规基线。

• 4大运营机制：包括政策分析和解读、合规文化建设、常态化合规监管以及上下游合作方监管，是指引企业做好个人信息保护合规的重要举措。

价值与效果

通过以上个人信息保护体系，中国移动在积极落实个人信息保护义务的同时，切实保障人民合法权益，并为公司和社会实现如下价值与效果：

• 对公司来说：合规促进了隐私计算的应用，增加收入1亿，位列全国同类产品第一；保障公司大数据业务收入超32亿；营造人人合规的企业文化，为中国移动数字化转型保驾护航。

• 对社会来说：践行央企责任，积极落实个人信息保护义务；以中国移动领先技术能力，切实保障人民个人信息合法权益；引领数据生态文明，为政府和各行业个人信息保护工作提供了实践案例和方法理论。

往期推荐