引言

目前一些企业在销售上采取线上直营+分销的销售策略，在这一过程中，企业或运营有多个网页、APP、小程序等，这将会产生诸多需要注意的数据合规问题。现我们摘取在实践过程中的一些咨询问题，进行总结，以供分享。

我司目前运营的B2B网站、天猫商城、微信小程序商城、手机APP是否可以统一使用一份隐私政策？

关于隐私政策能否通用，总体上隐私政策逻辑近似，因此可以使用同一模板，但应根据具体的使用场景，结合该场景下敏感的个人信息处理场景进行调整。如经销商订单系统网站不涉及付款，这与天猫商城的情况存在差异，则涉及个人信息处理的情形也不尽相同，此时在隐私政策收集个人信息的目的部分则应注意加以区分。

我司主要从事日用消费品生产和销售（包括直营和分销），为实现经销商管理，运营有一B2B网站供经销商下订单（但不涉及付款），请问这一过程是否存在个人信息相关风险？

由于该系统页面为经销商订单用途的信息收集渠道，而这一过程中涉及的数据可能包括个人信息及非个人信息。因此贵所在判断风险时，应当首先对个人信息进行识别。

从风险角度来看，除目前信息收集方面的主要合规风险除获得授权同意外，则在于是否满足个人信息收集的三要件，即正当性、合法性和必要性，其中主要涉及的可能会是必要性问题。因此我们认为，贵司应评估收集的个人信息是否为提供经销商下单服务所必需。当然，如果并非个人信息，则不在考虑范畴。

前述网站是否需要做网络安全等级保护的备案？

从等保必要性角度来说，《网安法》第二十一条明确，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务。《数安法》第二十七条也明确，在网络安全等级保护制度基础上开展数据处理活动并履行数据安全保护义务。因此，可以认为，等保备案属于强制性的义务。

从实践的角度来看，等保主要是根据不同的信息系统，按单个系统逐个进行等级测评、定级和实施的。目前具有网络联网功能和用户个人信息收集等功能的单独联网系统，都在办理网络等级测评、定级及备案的适用范围内，如人事系统、财务系统、官网、APP、小程序等等。故该网页作为一个单独的联网的信息系统，是应当要做等保备案的。

如未进行等保备案，则可能的风险有哪些？

对于不履行网络安全保护义务所可能导致的风险，根据《网安法》第五十九条规定，网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

此外，从实践来看，获得等保备案的企业，在自证已经尽到网络安全法规定的网络安全保护义务的举证上，也更加的便利。否则，一旦发生个人信息泄露和网络安全风险事件等，该等义务很难通过企业的日常存证来举证完成。