无论是数据还是个人信息的处理，均可能包括收集、存储、使用、加工、传输、提供、公开、删除等，参与其中任何一项或多项活动，即构成“处理”，需遵守关于各类规定中就“处理”提出的合规要求，而依据处理对象的不同、具体处理活动，还需遵守相应的规定。

1.合作涉及处理个人信息

如果处理的数据中包含个人信息，那么需要考虑关于个人信息处理的规定，比如根据《个保法》第五条、第六条，对个人信息处理应该具有必要性，应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。而根据《个保法》第十三条、第十七条，处理个人信息前，还应当履行“告知-同意”流程，即以显著方式、清晰易懂的语言真实、准确、完整地向个人告知处理者的名称、联系方式、处理目的、处理方式，处理的个人信息种类、保存期限、个人行使本法规定权利的方式和程序等事项，并取得个人的同意，除非符合法定无需告知、同意的情形。

若个人信息中还有敏感个人信息，那么根据《个保法》第二十八条第二款、第二十九条，依法只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下方可处理，处理者还应在处理前取得个人的单独同意。告知时，在一般个人信息的告知项基础上，还应根据《个保法》第三十条，一并向个人告知处理敏感个人信息的必要性以及对个人权益的影响。处理前，根据《个保法》第五十五条，敏感个人信息处理者需要进行个人信息保护影响评估，并对处理情况进行记录。

2.合作涉及处理公共数据

根据《公共数据资源登记管理暂行办法》第三条，各级党政机关、企事业单位依法履职或提供公共服务过程中产生的具有利用价值的数据集合构成“公共数据资源”。如果银行保险机构拟合作的相对方包括党政机关、提供公共服务的企事业单位，且拟合作的数据全部或部分来自该等单位，那么不排除相应数据构成“公共数据资源”。这类数据源自监管职能的履职或提供社会公共服务，受到《数据安全法》《个人信息保护法》《公共数据资源登记管理暂行办法》《公共数据资源授权运营实施规范（试行）》等规定的规制，在合作时需要符合统一的授权运营管理机制安排，相应规定正在稳步推进中。银行保险机构与前述单位进行数据相关合作，将可能因此受到一定限制，提供数据的单位并不必然可以直接决定是否合作以及合作中的具体数据处理方案。

多个主体参与处理时，处理需要被区分为独立处理、共同处理和委托处理，取决于特定处理活动的决定权在哪一方，还是双方、多方。独立处理，则合作方各自独立履行合规义务，独立承担责任；共同处理，则共同履行合规义务，共同承担责任；委托处理，则由委托方履行义务、承担责任，受托方需要严格履行委托方要求，否则在超出约定范围或违约时可能承担相应的责任。

除了影响责任判定以外，处理分工的认定还因影响后续处理活动的判定，进而对合规依据的适用性有重要影响。

1.影响后续处理活动的判定

举例而言，若合作双方为独立处理，则当合作方A将其控制的信息交给合作方B时，可能构成“提供”，A作为提供方应当履行关于“提供”的特殊义务，如提供个人信息，那么向个人告知接收方的名称或姓名、联系方式、个人信息的种类、处理目的和方式，并应当取得个人的单独同意；涉及向外部提供敏感级及以上数据的，根据《数安管理办法》第三十四条，应当取得数据主体同意。

若合作方A与B之间是A委托B处理，是否需要按“提供”一样进行告知，实践中有争议，按当前更普遍的意见，不需要这样告知。理由在于，受托人不属于“处理者”，处理行为由委托人承担后果，所以不负有就受托事项进行告知与取得单独同意的义务，委托人A也就不具有对外披露具体受托人的义务，但委托人应当就其将某些事宜将进行委托处理的情况告知个人信息主体。同时，委托人有义务对受托人的个人信息处理活动进行监督；并应在事前按照《个保法》第五十五条进行个人信息保护影响评估，并对处理情况进行记录。受托人则需要按照约定进行个人信息处理，并在委托结束后向委托人返还或者删除个人信息，不得擅自转委托处理。

2.影响合规依据和合规义务

数据合作模式若选择为委托处理， 根据《数安管理办法》第三十条、第三十四条的规定，银行保险机构应当明确所涉数据外部使用和处理的条件、场景、方式。此外，还应当对委托处理的协议落实特定的合同要素，包括约定委托处理的目的、期限、处理方式、数据范围、保护措施、双方的数据安全责任和义务，以及受托方返还或者删除数据的方式等，对数据处理活动进行记录和审计，可对外公开披露的数据除外。银行保险机构还应当要求受托方在未取得其同意时，不得转委托其他主体处理数据，不得对外共享数据，不得加工、训练、挪用数据，或者采取其他形式处理数据以谋取合同或者协议约定以外的利益。

此外，若合作处理的数据中包含消费者个人信息，《银行保险机构消费者权益保护管理办法》（简称《消保管理办法》）关于与合作方处理的要求也将可能被适用。该办法第四十五条规定“银行保险机构应当在消费者授权同意等基础上与合作方处理消费者个人信息，在合作协议中应当约定数据保护责任、保密义务、违约责任、合同终止和突发情况下的处置条款”，明确提出应当基于同意才能处理，且明确了合作协议的应有要素。此处的“与合作方处理”，笔者理解应不仅限于合作处理，在委托处理时仍宜遵守。

1. 数据“共享”应具备必要性

根据《数安管理办法》第二十九条第一款，银行保险机构应当避免非必要的共享，即在合作时对共享的数据要考虑必要的数据范围，以及共享这种方式是否是必要的，是否可否替代为其他模式。此外，还“应当对数据共享使用进行集中安全管控，明确企业级数据共享策略，评估数据共享使用的必要性、合规性、安全性及伦理道德规范的符合度”,即评估维度已经不再局限于法律规定，而是需要将伦理道德也纳入考量。

2. 注意内部设置安全隔离“防火墙”及数据的授权同意

若合作中数据因与第三方合作，在银行保险机构内部的分支机构之间，或总部与分支机构之间，发生流转甚至被打通，虽然各分支机构性质非绝对的第三方，与子公司有差异，也仍需注意数据的分类和隔离问题。根据《数安管理办法》第二十九条第二款就要求银行保险机构应当“建立银行母行、保险集团或者母公司与其子行、子公司数据安全隔离的‘防火墙’，并对共享数据采取有效保护措施”。若合作导致银行保险机构与其母行、集团，或者其子行、子公司共享敏感级及以上数据，除非法律、行政法规另有规定，否则还应当获得数据主体的授权同意。银行保险机构不得以数据主体拒绝同意共享敏感数据而终止或者拒绝单家子行、子公司对其提供金融服务，除非所共享数据属于提供产品或者服务所必需的。

3. 委托处理时注意遵守信息科技外包方面规定

根据《数安管理办法》第三十一条，数据委托处理也被纳入信息科技外包管理范围，如合作所涉数据的处理为委托处理，则需要关注满足科技外包方面如技术选用、第三方合作方面的合规管理要求。实施过程中，银行保险机构要特别注意禁止性的要求，比如不得将信息科技管理责任、数据安全主体责任外包，涉及信息科技战略管理、信息科技风险管理、信息科技内部审计及其他有关信息科技核心竞争力的职能也不得外包。

此外，《银行保险机构信息科技外包风险监管办法》（简称《科技外包办法》）在科技外包方面的要求相对更为细化，比如要求银行保险机构对服务提供商和外包人员要进行网络和信息安全教育或培训，需与服务提供商签订安全保密协议，要求外包人员签署安全保密承诺书。对于科技外包工作要持续监督管控，信息科技外包合同或协议中还需要明确安全保密和消费者权益保护约定内容。

4. 拟合作数据需遵从内部分类分级制度及金融数据的行业标准要求

银行保险机构拟进行合作的数据需要先遵从行业要求及内部分类分级制度判断分类、分级，再进一步判定合作的可行性，以及需要遵守的合规依据范围。举例而言，比如拟合作的数据如果评级为3级数据，根据《J/RT 0223-2021金融数据安全数据生命周期安全规范》，应当在采集、传输、存储等各生命周期均遵守3级数据的特殊要求，如：

7.1.2.i）项要求从外部机构采集3级以上数据要结合口令密码、设备指纹、设备物理位置、接入方式、风险情况等因素对设备或系统真实性进行验证；

7.2.a）项第11）-12）点要求金融机构对3级以上数据内部传输要采取加密、安全通道或安全传输协议，原则上不对外传输，若业务需要，应经过实现审批授权并采取技术措施保障保密性；

7.2.d）项要求金融机构通过物理介质批量传递3级及以上数据时应对数据加密或脱敏，专人收发、登记、编号、传递、保管和销毁，传递中物理介质不离责任人或不理监控等；

7.3.2.f）.h）-i）项，要求金融机构采取措施保障存储完整，3及以上存储要采取加密措施保障保密，保存数据的信息系统宜达到等保3级等；

7.4.10.g)项要求涉及2级、3级数据的委托处理，应对数据加密，并采取数据标记、数据水印等技术降低风险。

除此以外，如果合作涉及处理敏感级及以上数据的业务活动，或者开展数据委托处理、共同处理、转移、公开、共享等对数据主体有较大影响的活动，那么依据《数安管理办法》第二十二条，还可能触发事前的数据安全评估等特殊程序。