法务合规总览
最后更新:2026-06-05
徐州芒旭软件科技有限公司(以下简称“芒旭软件”)作为企业级 AI 智能运营平台,深刻认识到数据合规和法务规范的重要性。我们建立了覆盖全业务链路的合规管理体系,确保平台运营符合中国法律法规要求,并基于实际数据处理活动持续优化合规措施。
一、适用法律法规体系
| 法规名称 | 施行日期 | 适用领域 | 本平台对应措施 |
|---|---|---|---|
| 《个人信息保护法》(PIPL) | 2021.11.01 | 个人信息处理全流程 | 隐私政策、数据主体权利、同意管理;具体依据PIPL第13条(合法性基础)、第17条(告知义务)、第23条(第三方共享单独同意)等 |
| 《数据安全法》 | 2021.09.01 | 数据分类分级与安全保护 | 数据分级管理、安全评估、应急响应;对重要数据(如知识库内容)实施目录保护 |
| 《网络安全法》 | 2017.06.01 | 网络运行安全与信息安全 | 等级保护、日志留存(不少于6个月)、安全事件报告;实名制认证要求 |
| 《互联网信息服务算法推荐管理规定》 | 2022.03.01 | 算法推荐服务管理 | 算法备案、推荐透明度、用户选择权(可关闭个性化推荐) |
| 《生成式人工智能服务管理暂行办法》 | 2023.08.15 | 生成式 AI 服务管理 | AI 内容标识、使用声明、安全评估;对话数据留存不超过180天 |
| 《儿童个人信息网络保护规定》 | 2019.10.01 | 不满14周岁儿童信息保护 | 儿童隐私保护政策、年龄验证机制 |
| 《数据出境安全评估办法》 | 2022.09.01 | 数据跨境传输管理 | 数据本地化存储,出境前进行安全评估 |
| 《电子商务法》 | 2019.01.01 | 电子商务活动规范 | 消费者权益保护、电子合同管理、订单数据保留10年(会计法要求) |
| 《反不正当竞争法》 | 2019.04.23 | 市场竞争行为规范 | 合法采集公开信息用于市场分析,不涉及商业秘密 |
| 《广告法》 | 2018.11.29 | 广告内容与发布 | 内容效果数据真实性保障,避免虚假宣传 |
| 《AI安全治理框架》 | 参考标准 | AI系统安全与可审计性 | AI编排决策日志保留2年,确保可解释性与审计追溯 |
二、合规管理架构
2.1 组织架构
- 数据保护负责人(DPO):统筹数据合规管理工作
- 法务合规部门:负责法规跟踪、风险评估、合规审计
- 信息安全部门:负责技术安全实施与安全事件响应
- 各业务模块合规接口人:负责本模块的合规执行
2.2 九大业务模块合规覆盖
本平台包含 9 大业务模块,每个模块均基于实际数据采集点落实具体合规措施,以下详列数据处理活动、数据类型、采集方式、保留期限、第三方共享情况及法规依据:
| 模块 | 数据处理活动 | 数据类型 | 采集方式 | 保留期限 | 第三方共享 | 合规措施与法规依据 |
|---|---|---|---|---|---|---|
| 官网管理 (website) | 访客浏览行为追踪、Cookie与LocalStorage、联系/询价表单、报价申请表单 | 行为数据、技术数据、个人信息(姓名、联系方式) | Cookie/追踪脚本、表单提交 | 浏览行为2年、Cookie 1年、表单数据3年 | 否(不共享第三方) | Cookie同意管理(PIPL第13条同意);访客数据匿名化;表单数据用于商务沟通(PIPL第13条合同履行) |
| 智能内容 (cortex) | AI内容生成记录、内容发布与传播数据 | 业务数据(生成内容、传播量) | A I 调用、追踪分析 | 生成记录永久(用户可删除)、传播数据3年 | 是(AI内容生成记录共享给LLM服务商) | AI内容标识、人工审核;第三方共享需单独同意(PIPL第23条);合规依据《生成式AI管理暂行办法》 |
| AI 引擎 (ai) | AI对话内容、内容发送至LLM处理、模型用量统计 | 个人信息(对话内容)、业务数据(发送文本)、技术数据(用量) | API调用 | 对话内容180天、LLM处理完即删除、用量统计1年 | 是(对话内容及发送内容共享给LLM提供商) | 基于用户同意(PIPL第13条);数据安全法要求重要数据不出境;用量统计用于监控与计费(合法利益) |
| 知识库 (kb) | 文档上传与知识库内容、文档向量化嵌入 | 业务数据(文档、向量) | 用户上传、AI向量化 | 永久(用户可删除)、向量与源文档同步 | 是(向量化嵌入可能共享给第三方AI基础设施) | 访问控制、数据加密;第三方共享需签署协议(数据安全法);合规依据PIPL第13条合同履行 |
| 受众枢纽 (nexus) | 会员注册信息、用户画像与行为标签、用户旅程追踪 | 个人信息(姓名、手机等)、行为标签、旅程数据 | 表单、AI分析、追踪 | 注册信息账户存续期+3年、行为标签2年、旅程追踪2年 | 否(不共享第三方) | 明确同意(PIPL第13条);用户可关闭个性化推荐(算法推荐管理规定);画像数据去标识化 |
| 企业办公 (office) | 商机联系人信息、订单与合同数据、渠道合作伙伴信息 | 个人信息(联系人)、财务数据(金额)、业务数据(合作信息) | 表单录入、CRM系统 | 商机5年、订单10年(会计法要求)、渠道合作期+3年 | 否(不共享第三方) | 最小必要原则;订单数据会计法保留;渠道数据合同履行(PIPL第13条) |
| 灯塔优化 (beacon) | 竞品公开数据监测、算法推荐与个性化规则、用户行为数据采样分析 | 业务数据(公开信息)、算法规则、行为数据(脱敏) | API采集、AI学习、追踪 | 公开数据1年、规则存续期、行为采样1年 | 否(不共享第三方) | 仅采集合法公开信息(反不正当竞争法);算法备案(算法推荐管理规定);行为数据脱敏后用于分析(PIPL第13条合法利益) |
| 运营指挥 (orchestrator) | AI编排决策日志 | 技术数据(决策记录) | API日志 | 2年 | 否(不共享第三方) | 可审计性要求(AI安全治理框架);日志用于故障排查与合规审计 |
| 系统管理 (system) | 用户认证与登录凭证、邮件/短信通知记录 | 个人信息(账号、密码、手机号)、操作日志 | 表单、API调用 | 账户存续期、通知记录180天 | 是(认证凭证共享给身份验证服务商;通知记录共享给短信/邮件服务商) | 实名制(网络安全法);第三方共享需签订数据处理协议并获取用户同意(PIPL第23条) |
三、合规制度体系
- 隐私影响评估(PIA):新功能上线前进行隐私影响评估,重点评估个人数据处理场景
- 数据保护影响评估(DPIA):高风险处理活动(如AI对话、用户画像)前进行专项评估
- 数据保留与销毁策略:根据各模块实际保留期限(180天至永久)建立自动清理机制,到期数据匿名化或安全删除
- 第三方共享管理:对存在第三方共享的模块(智能内容、AI引擎、知识库、系统管理),签署数据处理协议,确保第三方符合同等安全水平,并获取用户单独同意
- 定期合规审计:每半年进行内部合规审计,覆盖所有业务模块的实际数据处理活动
- 员工培训:全员年度数据安全与隐私培训,重点强化AI数据处理规范
- 供应商管理:第三方服务商数据安全评估与协议,要求其遵守PIPL、数据安全法等
- 事件响应:数据泄露等安全事件的应急响应预案,24小时内启动调查并通知监管
四、法务文档体系
本合规中心提供以下法务文档,构成完整的合规披露体系,每份文档均基于实际数据采集点撰写:
- 《隐私政策》— 个人信息处理全面说明(涵盖所有模块的个人数据采集点)
- 《服务条款》— 服务使用约定
- 《Cookie 政策》— Cookie 及类似技术使用管理
- 《数据安全说明》— 安全措施与事件响应
- 《AI 使用声明》— AI 技术透明度披露(对话数据、内容生成等)
- 《数据主体权利》— 用户权利行使指南
- 《知识产权声明》— 版权与商标保护
- 《第三方服务说明》— 数据共享对象、目的及保障措施
- 《儿童隐私保护》— 未成年人信息保护
- 《数据出境说明》— 跨境传输合规(如有)
五、合规负责人
数据保护负责人(DPO):
联系邮箱:privacy@example.com
联系电话:0516-87722111(建议填写)
办公地址:江苏省徐州市XXX(建议填写)
合规投诉与建议请发送至:compliance@example.com
如您对数据处理有疑问或希望行使数据主体权利,请通过上述方式联系我们,我们将尽快回复。