本政策是《采虹聚合商城隐私政策》的配套制度文件,依据《个人信息保护法》等法律法规及 GB/T 35273《信息安全技术 个人信息安全规范》等标准制定,阐述大连采虹智合信息科技有限公司(以下简称「公司」)在采虹数字化采购与供应链生态中,建立并运行个人信息保护管理体系的原则、组织、措施与责任机制。
一、保护原则
- 合法正当必要:处理个人信息应有明确、合理的目的,与采虹 ERP 进销存、聚合商城交易、云池选品、通道同步、采购台协作、智能客服等功能直接相关,并采取对个人权益影响最小的方式;
- 公开透明:通过隐私政策、个人信息说明、注册协议等便于访问的方式,清晰说明处理规则;
- 质量保证:保证个人信息准确、完整,提供更正渠道;
- 安全保障:采取与处理风险相适应的技术与管理措施,防止泄露、篡改、丢失;
- 权责一致:明确内部岗位责任,对违规处理行为追究责任。
二、组织与职责
2.1 管理架构
公司设立个人信息保护负责人,统筹采虹 ERP 租户端、聚合商城用户端、控制台运营端的数据合规工作,并与产品、研发、运维、客服、法务等部门协同。
2.2 主要责任
- 制定并更新隐私政策、本政策及个人信息处理文档;
- 开展个人信息保护影响评估(PIPIA),对 AI 客服、跨租户订单流转、通道数据同步等高风险场景重点评估;
- 组织安全培训与应急演练;
- 受理用户权利请求与投诉,并在法定时限内响应;
- 配合监管检查与审计。
三、个人信息分类与分级
结合采虹业务特点,我们将个人信息按敏感程度与业务场景分类管理:
| 类别 | 典型字段 | 保护等级 | 主要场景 |
| 身份与账户 | 手机号、密码哈希、微信 OpenID | 高 | 登录、注册、门户认证 |
| 企业资质 | 统一社会信用代码、营业执照 | 高 | 企业认证、供应商入驻 |
| 交易履约 | 收货地址、订单明细、物流 | 中高 | 聚合商城下单、退换货 |
| 财务票据 | 发票抬头、税号、银行账户 | 高 | 开票管理、对账、代付 |
| 行为与偏好 | 浏览、收藏、询价记录 | 中 | 采购台、极速订货、推荐 |
| 设备与日志 | IP、UA、操作日志 | 中 | 安全审计、故障排查 |
| 客服会话 | 咨询内容、附件 | 中高 | AI/人工客服 |
高等级信息实行更严格的访问审批、加密存储、脱敏展示与日志审计。
四、全生命周期保护措施
4.1 收集
- 默认关闭非必要权限;敏感信息单独弹窗说明目的并取得同意;
- 租户商城门户、聚合首页、注册页等入口显著链接隐私政策与用户条款;
- 禁止以默示、捆绑方式收集与服务无关的信息。
4.2 使用与加工
- 订单数据仅用于履约、售后、开票及依法留存;
- 云池与通道同步仅传输授权范围内的商品与订单字段;
- 统计分析优先使用去标识化、聚合数据;
- AI 客服模型训练若使用对话数据,将进行脱敏或取得单独同意。
4.3 存储
- 核心业务数据部署于符合要求的境内云基础设施;
- 数据库访问白名单、最小权限账号、定期备份与恢复演练;
- 租户数据逻辑隔离,防止跨租户未授权访问。
4.4 共享与委托
- 建立第三方 SDK/服务商清单与数据出境(如有)评估机制;
- 合同明确处理目的、期限、安全措施及违约责任;
- 向供应商租户共享买家信息限于订单履约必要范围。
4.5 传输
- 全站 HTTPS;API 鉴权、签名与防重放;
- 控制台与租户/终端站点间接口采用密钥与租户标识双重校验。
4.6 删除与匿名化
- 用户注销、法定保存期满或处理目的达成后,执行删除或匿名化;
- 备份介质中的过期数据按制度定期清理。
五、用户权利保障机制
我们在产品内提供以下机制落实用户权利(详见《隐私政策》):
- 个人中心:查阅与编辑资料、收货地址、发票信息;
- 订单与售后:导出订单、申请退换货、查看代付与开票记录;
- 账户安全:修改密码、绑定/解绑手机、注销账户;
- 客服与邮件:行使复制、删除、解释说明等权利的人工通道。
对无法通过自助功能实现的请求,我们将在身份验证后 15 个工作日内处理。
六、员工与第三方管理
- 全体员工签署保密协议,岗位权限与职责分离;
- 运维与开发人员访问生产数据需审批留痕,禁止私自导出;
- 对支付、短信、云存储、AI 等受托方开展安全评估与年度复审。
七、安全事件应急响应
我们建立安全事件分级与应急预案。发生或可能发生个人信息泄露、篡改、丢失时,将立即启动处置、溯源与加固,并依法向主管部门报告及按法规告知受影响用户,告知内容包括事件概况、可能影响、已采取措施与补救建议。
八、多角色协同说明
采虹生态内存在三类主要角色,个人信息保护责任划分如下:
- 平台(采虹智合):对聚合商城账户、平台级日志、控制台配置及统一认证承担个人信息处理者或受托处理者责任(视具体场景而定);
- 供应商租户(采虹 ERP 租户):对其店铺商品、报价、发货及所接触的用户订单信息,在授权范围内作为独立或共同处理者履行保护义务;
- 终端用户 ERP:通过通道对接云供方时,双方通过协议约定同步字段范围与安全要求。
用户在聚合商城向特定供应商下单时,该供应商为完成交易所必需的信息处理亦受本政策框架及双方公示规则约束。
九、合规审计与持续改进
公司定期开展合规自查、漏洞扫描、渗透测试(必要时)及制度修订。新产品、新功能(如新的 AI 能力、跨境通道、支付方式)上线前须完成个人信息保护评估。
十、政策修订与效力
本政策与《隐私政策》《个人信息说明》《用户服务条款》共同构成个人信息保护规则体系。冲突时,针对具体处理活动以更专门、更新且合法有效的文件为准。
重大修订将通过平台公告等方式通知。本政策自 2026 年 7 月 5 日起生效。
大连采虹智合信息科技有限公司
制定并发布:2026年7月5日
版本:V1.0