数据合规已经成为拟上市企业在IPO过程中被问询的重点问题，跨境电商也不例外。例如，赛维时代科技股份有限公司（下称“赛维时代”）在申请上市过程中，深交所对其与跨境相关的数据接连发起多次问询。

在《首轮问询函》中，深交所重点关注了以下几个问题：

• 跨境企业在开展业务过程中获取用户相关个人信息和商业秘密等用户数据的相关情况；

• 是否已建立完善防泄密和保障网络安全的内部管理制度；

• 业务开展是否符合境内及境外国家数据保护和网络安全等法律法规的规定；

• 报告期内是否存在数据泄露造成跨境企业及客户损失的情形，是否存在跨境企业利用相关个人消费者或企业客户信息进行牟利等违法违规行为，是否存在侵犯个人隐私、商业秘密或其他侵权方面的情形。

在《第三轮问询函》中，深交所在《首轮问询函》的基础上，继续追问如下问题：

• 说明 Google 趋势的获取方法、不同周期数据的有效性，跨境企业产品研发时所选择的数据集及周期，数字化分析方式的具体运用及效果；

• 说明智能调价的原理和具体操作方法，相关决策数据来源、周期及有效性，人工复核的参与情况，智能调价对销售的影响，结合选择各个系列的产品举例说明。

同样的，深圳市三态电子商务股份有限公司（下称“三态股份”）在上市过程中，也在《首轮问询函》及《第二轮问询函》中均被关注到相同或类似的问题。

跨境电商出海的重点区域是美国地区和欧盟地区，因此，跨境电商在境外不可避免要受到欧盟GDPR和美国CCPA等相关个人信息监管法规的约束。而随着国内《个人信息保护法》《数据安全法》的出台，上市监管部门对于个人信息和数据安全更加关注，因此，在国内外数据法规的双重约束下，跨境电商在IPO过程中必将面临更加严格的数据合规考验。

跨境电商的数据合规与其业务类型密切相关，根据业务类型的不同，跨境电商可划分为跨境出口电商和跨境进口电商。而跨境出口电商可根据销售平台的不同进行分类，也可根据销售产品进行分类。

一般来说，跨境出口电商可根据销售平台的不同分为“基于第三方电商平台类型”和“基于自建独立站类型”。

一般来说，国内的“大卖”基本都依附于亚马逊、Ebay、Shopee或lazada平台进行商品的跨境销售。如果是基于第三方电商平台的跨境出口电商，他们在销售端、推广端和设计端都会涉及到相关数据的收集。

在销售端，跨境出口电商的商品主要通过三种方式进行销售：第一，通过第三方电商平台负责仓储、物流、发货等流程；第二，通过国际物流公司将商品发至跨境企业自营的海外仓，并通过当地的物流公司进行商品的终端配送；第三，通过国内仓直接配送至消费者。因此，如果终端用户是个人，订单注明的收货地址及经第三方电商平台加密后的用户虚拟邮箱信息外，跨境出口电商通常无法直接获取个人用户其他的信息（B2C模式）；如果终端用户是企业，跨境出口电商除可通过第三方电商平台获得收货地址、虚拟邮箱外，还可获取企业主的其他信息，例如对接人真实姓名、联系方式、邮箱等信息（B2B模式）。

在推广端中，跨境出口企业主要通过第三方平台站内推广工具进行宣传，期间鲜少涉及数据的收集、使用。

基于第三方电商平台进行销售的跨境出口电商衍生出来的数据合规问题还在于多账号运营的合规风险，涉及注册店铺所有人的个人信息如何得到有效保护的问题。因此，多账号运营模式中，跨境出口电商企业在个人注册店铺后，如须使用该店铺，应与该店铺所有权人签订店铺租赁协议；如店铺是通过中介机构进行交易的，须核实店铺所有权人身份，并与店铺个人、中介机构三方签订租赁协议。值得注意的是，如跨境出口企业利用个人身份进行开店并从事店铺交易业务的，将可能因涉嫌买卖个人信息触犯刑事犯罪。

众所周知，这几年跨境电商的竞争越发激烈，跨境行业已不是早年的蓝海市场。在红海竞争中，亚马逊、Ebay、Shopee或lazada平台的客户流量越来越稀缺，导致市场推广的费用增加。为此，越来越多的跨境电商开始自建独立站，吸引私域流量。如果是自建独立站的跨境出口电商，他们在销售端、推广端和设计端都会涉及到相关数据的收集。

在销售端，跨境出口企业商品主要通过二种方式进行销售：第一，通过国际物流公司将商品发至跨境企业自营的海外仓，并通过当地的物流公司进行商品的终端配送；第二，通过国内仓直接配送至消费者。如终端用户是个人，跨境出口企业可获取个人用户收货地址、电子邮箱等相关订单信息（B2C模式）。如终端用户是企业，跨境出口企业除可通过个人用户收货地址、电子邮箱等相关订单信息外，还可获取企业主的其他信息，例如对接人的其他相关信息（B2B模式）。

在推广端中，跨境出口企业的宣传方式包括通过自媒体（Google、Meta、Instagram等）进行宣传，此时会涉及收集粉丝昵称、位置、手机设备型号等；通过广告联盟（自建淘宝客、第三方淘宝客）进行产品推广，会涉及消费者以及淘宝客个人信息的采集。

在策划端中，跨境出口企业会通过站内工具、第三方趋势分析、热词检索进行新品/爆品设计，涉及对公开数据的抓取和再利用。

跨境出口电商除可根据销售平台的不同分为“基于第三方电商平台类型”和“基于自建独立站类型”外，跨境出口电商还基于销售产品的不同，也会涉及不同数据类型的收集。

对于提供非科技类产品/设备的跨境出口电商来说，通常不涉及信息的采集；对于提供科技类产品/设备的跨境电商而言，就会涉及收集消费者个人身份信息、个人生物识别信息、个人健康生理信息、个人教育工作信息、个人财产信息等。例如，睿联技术由于跨境销售视频监控摄像机产品，因此，在该企业上市过程中，监管部门便重点关注产品后是否涉及数据出境问题：发行人主要通过跨境电商销售视频监控摄像机产品，同时发行人通过官网进行产品销售。请发行人说明是否掌握重要数据或掌握100万人以上个人信息；报告期内是否存在数据泄露造成发行人及客户损失的情形，是否存在发行人利用相关个人消费者或企业客户信息进行谋利等违法违规行为，是否存在侵犯个人隐私、商业秘密或其他侵权行为。

在跨境进口电商的销售端下，跨境进口企业通过采购境外产品并在境内通过淘宝、京东、苏宁或者自营平台销售，他们在销售端、推广端和设计端涉及相关数据的收集情况如下：

在销售端，跨境进口企业通过采购境外产品并在境内通过淘宝、京东、苏宁或者自营平台销售，存在向境外主体提供境内个人的姓名、联系方式、邮箱等信息。

在推广端，跨境进口企业的宣传方式包括：第一，通过自媒体（微博、小红书、抖音等）进行宣传，会涉及收集境内消费者的位置、手机设备型号等；第二，通过广告联盟（自建淘宝客、第三方淘宝客）进行产品推广，会涉及消费者以及淘宝客个人信息的采集。

实际上，随着跨境电商成为经济增长不可忽视的重要组成部分后，跨境电商也带动了中介服务机构的兴起。这些中介服务机构在服务过程中，也存有大量的数据信息，跨境服务商对数据的利用权限可能涉及将数据提供给第三方服务商、境外服务商、客户等。

以支付企业为例，跨境电商的第三方支付业务开展流程中往往会涉及到敏感个人信息的处理，例如用户的金融产品使用习惯和消费习惯数据，并结合既有的平台数据对用户进行分析并形成用户画像，基于用户画像针对用户开展金融营销活动，为用户提供推荐其可能感兴趣的商品或者金融服务。

根据上文的分析，可以看出跨境电商在各个环节均涉及对数据的相关处理，将前述跨境电商业务开展所涉数据类型按照数据生命周期环节划分，可分为数据收集、使用、传输等重点环节。具体而言：

跨境电商在各个业务环节中都有收集数据的可能，例如：

跨境电商在销售业务中，可能涉及到的数据：用户ID、邮箱、收货人姓名、收货人地址、收货国家、商品名称、商品数量、商品金额、购买时间、购买站点、退换货等数据。

跨境电商在物流业务中，主要包括物流运输地址、发货人及收货人的姓名、地址、电话以及法人客户的工商营业热照等数据。

跨境电商在产品设计业务中，可能从搜索引擎网站上获取的公开数据，例如赛维时代：Google趋势为跨境企业从Google网站上获取的公开数据，其系Google通过对一段时间内的关键词搜寻量进行统计。跨境企业在进行产品研发时所选择的数据集来源于自身积累的关键词、不断增长的自有产品标签以及分类属性库而建立的核心关键词库。

跨境电商在推广、服务业务中，可能涉及到的数据：个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址、位置、工作单位、教育经历、工作经历等数据。

跨境电商在收集前述数据后，分别应用于处理用户订单、物流信息，以完成商品的销售及运输，以确保商品发货正确且准确及时地送达到消费者手中；应用于在商品推广以及品牌管理中，市场消费趋势分析、挖掘平台消费者需求等场景。

数据传输实际上包括普通的传输以及数据跨境访问。数据的访问方基于特定需求，访问位于另一法域的系统服务器，读取其数据库中的部分或全部数据并进行一定的自动化处理。另外，数据传输还包括为了维护销售业务、客户关系、数据分析而将开设店铺账号的公司收集的客户信息上传给主体公司。在数据运用于产品研发、设计与选品决策、推广和服务流程中，境内跨境电商还可能将个人信息处理业务外包给境内或境外公司，委托其他服务商分析其用户数据等。

对于数据的收集、运用与价值发掘，在全球范围内主要的国家和地区大体呈现鼓励、激励态度。但是在数据的规范与治理方面，各个国家有不同的规则与制度，监管的风险重点可能也有所不同。对于跨境电商这类高度依赖大量的境内外数据信息的企业，应当提前熟悉国内外不同的数据规则的规范与监管要点，防止“合规点”变为威胁企业生存发展的“风险点”。

不论收集、使用或访问的数据来源于何处，了解各个国家和地区的主要数据法律渊源是开展数据合规的前提。

若数据来源于我国境内数据则应遵守我国境内的数据保护规则，我国境内收集、使用、传输数据主要由《网络安全法》《数据安全法》和《个人信息保护法》调整和约束。

对于来自于欧洲市场的数据，数据活动主要应当遵守《通用数据保护条例》（GDPR）、即将生效的《数据治理法案》（DGA），以及正在进行中的《数据法案》（Data Act）、2022年10月通过的《数字市场法案》（DSA）等。

对于来自于美国市场的数据，数据活动主要应当遵守《儿童在线隐私保护法》（COPPA）、《联邦贸易委员会法》（FTC）、《加州消费者隐私法案》（CCPA）、《美国数据隐私和保护法》（ADPPA）等。当然各个州也有自己不同的实践，《华盛顿隐私法》（参议院法案5062）、《犹他州消费者隐私法案》（SB 227）、《康涅狄格州数据隐私法案》（SB 6）、《科罗拉多州隐私法案》（SB 21-190）和《弗吉尼亚州消费者数据保护法案》（SB 1392）等。

对于来自日本市场的数据，数据活动主要应当遵循《日本个人信息保护法》（APPI）。

对于来自俄罗斯市场的数据，数据活动主要应当遵循《俄罗斯联邦个人数据法》，该部法律于2022年7月进行了大面积修正。

不论收集、使用或访问的数据来源于何处，注重各个国家和地区对数据的分类、定义与内涵都是首要的。主要国家或地区对个人信息的规定大多以GDPR为参照，相关规定也接近。

我国不同的阶段对个人信息的定义略有不同，当前阶段主要采取的是“相关说”，具体以《个人信息保护法》为准。根据《个人信息保护法》第2条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”《个人信息保护法》第28条规定：“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”

欧盟GDPR采用“识别说+关联说”，即与已识别或可识别的人有关的任何信息都属于个人数据。这样的定义是广泛的，因为在大数据下，几乎所有信息在技术上都可以识别个人。欧盟认为IP地址也属于个人信息，欧盟法院认为当一个人访问一个网站时，网站记录了此人的动态IP地址，如果网站可以合法地从此人的网络服务商处获得额外信息，且这些额外信息与动态IP地址结合后可以识别此人，那么动态IP地址构成个人数据。¹

《美国数据隐私和保护法》（ADPPA）与《加州消费者隐私法》（CCPA）等其他消费者隐私法一致，该法案将“被涵盖数据”广泛定义为 “可识别个人或设备的信息或与个人或设备相关联或可合理地进行关联的信息”，且该信息包括衍生数据和独特标识符，这将包括如cookies和IP地址等数字标记，排除了去识别化的数据、员工数据、公开可用的信息，以及 “完全从多个独立的公开可用信息（这些信息并不显示与个人有关的敏感被涵盖数据）来源做出的推断。”²

《日本个人信息保护法》《俄罗斯个人信息法》规定类似。《日本个人信息保护法》》有列举出“敏感数据”，除了我国列举出的几项，还包括种族、犯罪记录、诊疗配方等。

收集数据等行为在各法域存在共性，即遵循部分通用的法律原则。以我国为例收集使用个人信息需要遵循“告知-同意原则”：

作为跨境出口电商，如果采取基于第三方电商平台的商业模式，消费者个人信息由平台运营商掌握，告知同意规则的约束主体为平台和消费者。但如果是基于自建独立站的商业模式，消费者个人信息由跨境出口电商掌握，那么告知同意规则的约束主体为跨境出口电商和消费者，跨境出口电商必须制定个人信息处理规则的方式。

作为跨境进口电商，在第三方电商平台的商业模式下，消费者个人信息由淘宝、京东等运营商掌握，告知同意规则的约束主体为平台和消费者。在自营网站的商业模式下，消费者个人信息由跨境进口电商掌握，告知同意规则的约束主体为跨境进口电商和消费者，跨境进口电商必须制定个人信息处理规则的方式。

《个人信息保护法》第6条规定的最小必要原则，指的是对个人权益影响最小、限于处理明确、合理的目的中的最小范围。例如《常见类型移动互联网应用程序必要个人信息范围规定》第5条第（六）项规定：网上购物类，必要个人信息包括：（1）注册用户移动电话号码；（2）收货人姓名（名称）、地址、联系电话；（3）支付时间、支付金额、支付渠道等支付信息。

《个人信息保护法》第9条规定的责任原则与安全原则，对个人信息处理活动负责，并采取措施保证安全。例如三态股份IPO被关注的相关问题有：

• 对被授权访问人员，应建立最小授权的访问控制；

• 对个人信息的重要操作设置内部审批流程；

• 对管理人员、操作人员、审计人员的角色进行分离设置；

• 确需授权超权限处理个人信息的，应审批，并记录在册；

• 建立内部管理制度。

在我国，对于违法违规处理个人信息的行为，可能面临以下法律责任：

在欧洲，GDPR对个人数据处理原则以禁止为原则，以合法授权为例外，以告知-同意为基本框架；以被遗忘为原则，以不遗忘为例外。GDPR对于个人主体的数据权利进行了详尽规定，包括查询权、更正权、删除权、拒绝权、自动化决策自决权、被遗忘权、限制处理权、数据可携带权等。

美国的个人数据处理原则为以允许为原则，以附条件禁止为例外，通知即构成收集个人信息的合法性基础；规定了用户有权自愿选择退出数据处理进程。美国重点保护13岁以下的儿童信息，收集的前提是通知并取得儿童父母的“可验证同意”。企业应当受其对数据隐私政策和数据安全承诺约束，否则联邦贸易委员会则可以“不公平或欺骗性贸易行为”为由发起执法行动。

在俄罗斯，新修订的《俄罗斯联邦个人数据法》无需提前通报即可处理个人数据的情形减少，且通报内容有所调整，2022年9月1日起，无需通报即可处理个人数据的情形仅有：1.为保障国家安全和公共秩序而建立的国家个人数据信息系统中的个人数据；2.处理者不使用自动化方式处理个人数据；3.依照在俄罗斯联邦交通安全立法，为确保交通运输综合体的安全稳定运行，保护个人、社会和国家在交通运输综合体中的利益和免受非法干扰所处理的个人数据。³

在日本，对敏感数据非经明示同意禁止收集和使用；线上交易数据禁止采用概括同意和初步同意的形式等。

在责任法则的规定上，欧洲的GDPR设置了严厉的处罚，以罚款为主：⁴第一类罚款金额是根据GDPR第83条第4款的规定，上限为1000万欧元或者企业上一年度全球营业收入的2%，二者竞合取其高。此类罚款主要适用于如下情况：未遵守儿童同意的规定、未履行设计保护或默认保护的义务、未保存数据处理记录、不配合数据保护机构的监管、末采取数据安全措施、未履行数据泄露通知义务、未进行个人数据影响评估、未要求任命数据保护官、未遵守行为准则和认证要求等；第二类是罚款金额是根据GDPR第83条第5、6款的规定，上限为2000万欧元或者企业上一年度全球营业收入的4%，二者竞合取其高。此类罚款主要适用于如下情况：不符合数据处理基本原则、未获得数据主体的有效同意、违反个人敏感数据的禁止性规定、侵犯数据主体的权利、违反数据跨境规定、对监管机构的调查不配合、不履行监管机构的矫正要求等。根据GDPR第58条第2款的规定，对于显著轻微违反GDPR而不太适合直接予以处罚的行为，欧盟数据监管机构可以采取警告、训斥命令遵从数据主体的权利请求、命令遵守数据处理规则、命令通知数据泄露情况、实施强制性措施、撤销认证、暂停数据跨境等矫正性强制措施。

在美国，联邦贸易委员会FTC拥有对不公平和欺骗性贸易行为进行执法的一般权力，特别是包括有权提出针对某些公司“不公平和欺骗性的商业行为”的执法行动。⁵美国州政府也有权对被指控侵犯数据隐私安全的公司提起执法行动，这些行动通常是在一个或多个州检察长的授权下进行的，他们根据自己的州隐私法（如加州的CCPA）提起诉讼，而各州采取的执法行动因违法行为的性质、违反的法规和州监管机构的权力而有很大不同。

《日本个人信息保护法》规定，当经营者明显违法时，个人信息保护委员会可依法根据具体情况采用必要措施，如要求经营者提交报告或资料、例行抽查、劝告或下达中止违法行为命令等。

《俄罗斯联邦个人数据法》规定了行政责任、刑事责任、民事责任和纪律责任。⁶

当前，对于数据出境的规制措施，不同国家有不同的规定，我国主要以本地储存为原则，以境外传输为例外。

我国对于境外传输的基本要求是要进行个人信息保护的影响评估，《个人信息保护法》第55条：“有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：……（四）向境外提供个人信息。”对于如何做好影响评估，《个人信息保护法》第56条进一步规定：“个人信息保护影响评估应当包括下列内容：（一）个人信息的处理目的、处理方式等是否合法、正当、必要；（二）对个人权益的影响及安全风险；（三）所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。”

在满足了基本的个人信息保护的影响评估后，根据《个人信息保护法》第38条：“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。”因此，跨境电商数据传输的条件在于，或落实了安全评估，或进行个人信息保护认证，又或者与境外接收方订立合同，约定双方的权利和义务。

如果跨境电商企业想以通过国家网信部门组织的安全评估进行数据跨境传输的，跨境电商需要自行判断自己是否属于CIIO，以及处理的数据量是否达到一定数量，并通过相关的申报指南完成数据出境评估申报并取得获批出境的批文。

根据《个人信息保护法》第55条：向境外提供个人信息的信息处理者，应当事前进行个人信息保护影响评估，并对处理情况进行记录。第56条：个人信息保护影响评估应当包括下列内容：（一）个人信息的处理目的、处理方式等是否合法、正当、必要；（二）对个人权益的影响及安全风险；（三）所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。

根据《个人信息保护法》第38条：个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：……（二）按照国家网信部门的规定经专业机构进行个人信息保护认证。（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务……

除了上述我国关于数据出境的相关规定外，国外不同国家也有相关的监管规定。具体而言：

在欧洲，GDPR对数据跨境转移严格限制，设置了充分性认定白名单、遵守适当保障措施、公司约束规则、国际协议以及通过“必要性测试”和“偶然性判定”五道关口。⁷

在个人数据跨境传输的政策规制上，美国持开放态度，但在其他重要的非个人数据上，则采取了相应限制，如《出口管理条例》（EAR）对部分关键技术与特定领域的数据出口进行限制。⁸另外，还应当重点关注医疗健康领域的《健康保险携带和责任法案》（HIPAA）、金融服务数据方面的《格雷姆-里奇-比利雷法案》（GLB）等。

在日本，2022年4月生效的修订版的《日本个人信息保护法》（APPI）呈现了如下新的变化：⁹修订了之前APPI仅要求事先取得数据主体的同意方可向境外第三方提供个人数据，而新版APPI要求处理个人信息的经营者在获取数据主体的同意前，应当事先披露信息接收方所在国家及该国的个人信息保护体系、信息接收方采取的个人信息保护措施；采取必要措施确保该境外第三方持续实施了与APPI对个人信息的保护要求相当的保护措施，并能够在数据主体要求的情况下提供关于企业采取的必要措施的信息。¹⁰但上述要求仅适用于个人信息处理者基于事先取得用户的同意而向境外第三方提供日本境内个人信息的场景，而不适用于以下例外：向位于被日本个人信息保护委员会（PPC）认定为具有与日本同等个人信息保护水平的国家的第三方提供用户个人信息的；符合PPC制定的规则中的以下标准：a.基于信息提供方与接收方之间的合同，或者信息提供方与接收方属于同一集团且建立了适用于双方的内部规章、隐私政策等；b.信息接收方已经取得关于个人信息处理的国际体系的认证，如《APEC跨境隐私规则体系》的认证。其中的例外制度与GDPR的“标准合同条款”和“有约束力的公司准则”类似。

在俄罗斯，新修订的《俄罗斯联邦个人数据法》第22条规定了“个人数据处理通报”义务，增加了个人数据的跨境传输的前置通报，意味着运营商要履行两份通报义务，即“个人数据处理通报”义务和“个人数据跨境流动通报”义务，两份通报要分开发送，该部分于2023年3月1日起生效。具体而言：¹¹俄罗斯就个人数据跨境传输目的国分类为充分保护个人数据主体权利的国家和不充分保护个人数据主体权利的国家，名单由俄罗斯通信监督局（RKN）制定。我国于2022年9月23日被列入充分保护个人数据主体权利的国家行列。新规定生效后，不论目的地国类别，在向其传输个人数据前，均应当收集接收方数据处理措施、接收方所在国法律规定、接收方的信息，并且向RKN通报跨境传输个人数据的计划。我国充分保护个人数据主体权利的国家，遵循“通知”模式，在向RKN发出通报后即可开始数据传输；而不充分保护个人数据主体权利的国家，遵循“许可”模式，应当等待RKN审理其通报内容才能进行数据跨境传输。如果RKN对发出方做出禁止或限制跨境传输个人数据的决定，发出方应确保外国接收方销毁其此前接收到的个人数据。

我们建议跨境电商企业如果要做好数据合规，应先梳理内部数据类型以及在收集、使用、共享、转让等各个环节中的数据合规风险点，在清楚自身数据类型以及存在的风险点的基础上，进行业务上的整改，以满足合规的要求，例如，起草数据保护的相关制度文件，包括但不限于与相关员工签署保密协议，从制度层面对客户个人信息进行保护；对员工账号权限进行管理，不同管理权限的员工对应的账号权限也不同，仅能在其工作岗位授权范围内有限地接触客户个人信息，不得越权操作，从业务操作层面对客户个人信息进行保护；针对外部网络安全攻击建立了防火墙、入侵检测、访问控制等网络安全系统，从技术层面对客户个人信息进行保护。除了做好制度、技术等全方位整改外，内部也应做好整改落地的执行方案，包括起草操作指引、进行内部动员宣传、成立执行小组等。