客戶檔案管理制度第一章總則1.1目的為統(tǒng)一客戶信息口徑，降低因人員流動、系統(tǒng)割裂造成的客戶資產(chǎn)流失風險，確保營銷、交付、財務、法務四大序列在同一套“可信數(shù)據(jù)源”上高效協(xié)同，特制定本制度。1.2適用范圍本制度覆蓋公司所有與客戶發(fā)生直接或間接接觸的部門，包括但不限于銷售、渠道、解決方案、交付、運維、客服、財務、法務、審計、信息安全、HR及外包團隊。1.3基本原則（1）一戶一檔：同一法人主體或同一自然人僅允許存在唯一主檔案。（2）誰產(chǎn)生、誰負責：客戶信息的首次錄入人對其真實性、完整性、時效性負終身責任。（3）先評級、后共享：敏感等級未標識的數(shù)據(jù)禁止跨部門流轉(zhuǎn)。（4）用必有痕：任何查詢、導出、變更、刪除動作必須留痕，且日志保存不少于36個月。（5）最小可用：員工僅可獲得完成本職工作所需的最小數(shù)據(jù)集。第二章客戶檔案定義與分類2.1客戶定義客戶指已簽署合同、已下單、已付款或已產(chǎn)生銷售機會，且經(jīng)公司正式編號的主體，包括企業(yè)客戶、個人客戶、政府及非營利組織。2.2檔案范圍（1）主數(shù)據(jù)：客戶編號、主體名稱、證件類型、證件號碼、稅號、注冊地址、辦公地址、法定代表人、注冊資本、成立日期、行業(yè)、規(guī)模、來源渠道、首次接觸日期、歸屬團隊。（2）聯(lián)系數(shù)據(jù)：聯(lián)系人姓名、職務、決策角色、手機號、郵箱、微信、生日、愛好、禁忌、溝通偏好、親屬關(guān)系。（3）交易數(shù)據(jù)：合同、訂單、報價、發(fā)票、回款、退款、保證金、履約進度、驗收報告。（4）交互數(shù)據(jù)：拜訪記錄、會議紀要、郵件、通話錄音、在線客服記錄、投訴、滿意度。（5）風險數(shù)據(jù)：訴訟、失信、經(jīng)營異常、輿情、欠費、評級下調(diào)、黑名單來源。（6）增值數(shù)據(jù)：客戶價值評分、交叉銷售模型、流失預警分值、推薦產(chǎn)品包。2.3分類維度（1）主體性質(zhì)：A企業(yè)、B個人、C政府/機構(gòu)。（2）合作階段：0線索、1商機、2簽約、3交付、4售后、5終止。（3）數(shù)據(jù)敏感級：L1公開、L2內(nèi)部、L3機密、L4絕密。（4）數(shù)據(jù)形態(tài)：結(jié)構(gòu)化、半結(jié)構(gòu)化、非結(jié)構(gòu)化。第三章角色與職責3.1客戶數(shù)據(jù)Owner（CDO）由事業(yè)部總經(jīng)理擔任，對客戶資產(chǎn)損益負責，擁有最高審批權(quán)，可凍結(jié)、解凍、合并、注銷客戶主檔案。3.2客戶數(shù)據(jù)管理員（CDA）每部門設1名專職CDA，負責數(shù)據(jù)質(zhì)量巡檢、權(quán)限回收、異常整改、培訓考試，每月出具《客戶數(shù)據(jù)健康度報告》。3.3客戶主數(shù)據(jù)錄入人（CDE）一線銷售或渠道經(jīng)理擔任，需在首次接觸客戶后2個工作日內(nèi)完成L1-L2級信息錄入，5個工作日內(nèi)補齊L3級信息。3.4客戶數(shù)據(jù)使用人（CDU）交付、財務、法務等人員均為CDU，須在使用前提交《數(shù)據(jù)使用申請單》，經(jīng)CDA審批后方可開通權(quán)限，使用完畢自動回收。3.5信息安全審計部（ISA）每季度進行穿透式審計，對超權(quán)下載、批量導出、異常登錄、未加密傳輸?shù)刃袨槌鼍吡P單，罰金從當事人季度獎金中扣除。第四章客戶編碼規(guī)則4.1編碼結(jié)構(gòu)共18位：C+行業(yè)碼2位+年份2位+序列8位+校驗2位+合作階段1位+敏感級1位。4.2示例C011912345678AB2L，表示企業(yè)客戶、互聯(lián)網(wǎng)科技行業(yè)、2019年建檔、序列12345678、校驗AB、合作階段2（簽約）、敏感級L（機密）。4.3編碼唯一性由主數(shù)據(jù)平臺（MDM）自動生成，人工不可修改；若發(fā)現(xiàn)重復，MDM自動觸發(fā)合并流程并郵件通知相關(guān)CDE。第五章采集與錄入標準5.1采集渠道（1）官方：客戶官網(wǎng)、年報、招股書、政府公示。（2）第三方：鄧白氏、企查查、天眼查、啟信寶、LinkedIn。（3）自采：拜訪記錄、展會名片、招投標文件。5.2字段填寫規(guī)范（1）企業(yè)名稱：與營業(yè)執(zhí)照完全一致，括號使用中文全角。（2）稅號：15-20位，去除所有空格，轉(zhuǎn)大寫。（3）手機號：國際區(qū)號+手機號，去除所有分隔符。（4）郵箱：統(tǒng)一小寫，禁止填寫免費個人郵箱作為對公聯(lián)系郵箱。（5）地址：省-市-區(qū)-街道-門牌，每級用“|”分隔，便于后續(xù)地理分析。5.3紙質(zhì)原始單據(jù)必須掃描成PDF，文件名=客戶編碼_資料類型_YYYYMMDD，分辨率≥300dpi，上傳至ECM系統(tǒng)，紙質(zhì)件封存7年。5.4時效要求T+0完成掃描，T+1完成OCR識別，T+2完成人工復核，T+3完成MDM入庫，逾期每日扣罰當事人當月績效0.5%。第六章數(shù)據(jù)質(zhì)量管理6.1質(zhì)量維度完整性、準確性、一致性、唯一性、及時性、有效性、可追溯性。6.2質(zhì)檢算法（1）完整性得分=已填字段數(shù)/應填字段數(shù)×100%。（2）準確性得分=與權(quán)威數(shù)據(jù)源比對一致字段數(shù)/抽檢字段數(shù)×100%。（3）一致性得分=跨系統(tǒng)字段值一致數(shù)/比對字段數(shù)×100%。6.3質(zhì)檢頻次L4級客戶每日全量掃描；L3級每周隨機20%；L2級每月隨機10%；L1級每季度隨機5%。6.4清洗流程（1）系統(tǒng)自動：空值填充、格式標準化、重復提示。（2）人工復核：CDE收到《數(shù)據(jù)整改工單》后2個工作日內(nèi)完成修正。（3）二次質(zhì)檢：未達90分再次下發(fā)，連續(xù)3次未達標，CDE權(quán)限降級為只讀。6.5質(zhì)量考核事業(yè)部月度經(jīng)營分析會通報排名，末位團隊負責人需在48小時內(nèi)提交整改報告，連續(xù)兩次末位，扣減當季利潤分享5%。第七章分級授權(quán)與權(quán)限模型7.1RBAC模型角色（Role）與權(quán)限（Permission）多對多，角色再與用戶（User）多對多，支持動態(tài)繼承與臨時授權(quán)。7.2權(quán)限顆粒度（1）功能級：增、刪、改、查、導入、導出、打印、分享。（2）字段級：手機號、身份證號、銀行卡號默認脫敏，僅顯示前3后4。（3）行級：按客戶歸屬團隊、區(qū)域、行業(yè)、價值分位隔離。7.3授權(quán)流程申請人→直屬上級→CDA→ISA抽檢→MDM生效，全程電子流，平均耗時不超過4小時。7.4臨時授權(quán)項目制交付最長15天，到期自動回收；逾期不歸還，系統(tǒng)強制下線并郵件抄送CDO。7.5權(quán)限回收員工離職、轉(zhuǎn)崗、降級、外派當天，HR系統(tǒng)在18:00前觸發(fā)自動回收腳本，確保“人走權(quán)消”。第八章存儲、備份與加密8.1存儲架構(gòu)（1）在線庫：MySQL8.0主從+分庫分表，保留13個月熱數(shù)據(jù)。（2）近線庫：ClickHouse列式存儲，保留25個月溫數(shù)據(jù)。（3）冷備庫：AWSS3GlacierDeepArchive，保留10年，99.999999999%持久性。8.2備份策略全量每日02:00執(zhí)行，增量每15分鐘binlog同步；RPO≤15分鐘，RTO≤30分鐘。8.3加密要求（1）傳輸：TLS1.3，禁止SSLv3、TLS1.0/1.1。（2）存儲：AES-256-GCM，密鑰托管在KMS，輪換周期90天。（3）脫敏：動態(tài)脫敏UDF，支持正則、哈希、掩碼、令牌化四種算法。8.4災備演練每半年進行跨可用區(qū)切換演練，模擬數(shù)據(jù)庫主節(jié)點整體宕機，要求30分鐘內(nèi)恢復，演練報告提交董事會風險管理委員會。第九章共享、交換與開放9.1內(nèi)部共享（1）銷售與交付：通過API網(wǎng)關(guān)訂閱，QPS限流500，支持GraphQL按需取字段。（2）財務對接：使用SFTP推送加密CSV，字段順序與金蝶云星空保持一致。（3）法務對接：訴訟信息以JSON格式Webhook推送，Token有效期1小時。9.2外部交換（1）征信：僅可輸出客戶編號、名稱、失信狀態(tài)，其余字段全部脫敏。（2）物流：對接順豐、京東API，僅共享收貨地址、聯(lián)系人、手機號令牌。（3）銀行：采用銀企直聯(lián)，XML報文加密，每日對賬文件回傳MD5校驗。9.3開放原則“先評估、后共享、可追溯、可撤銷”，任何外部共享須完成DPIA（數(shù)據(jù)保護影響評估），得分<60分禁止開放。第十章生命周期管理10.1階段劃分潛在客戶→活躍客戶→沉默客戶→流失客戶→終止客戶→歷史客戶。10.2沉默標準連續(xù)12個月無合同、無回款、無工單。10.3流失標準連續(xù)24個月無有效交互或客戶主動聲明終止合作。10.4終止流程（1）CDE發(fā)起《客戶狀態(tài)變更申請》→客戶經(jīng)理→CDA→CDO審批。（2）系統(tǒng)標記“終止”后，自動凍結(jié)所有未回款訂單，釋放未使用信用額度。（3）終止客戶數(shù)據(jù)遷移至歷史庫，在線庫僅保留編碼與狀態(tài)，其余加密歸檔。10.5再激活終止客戶24個月內(nèi)可一鍵恢復，原編碼不變，超期需重新建檔。第十一章合規(guī)與隱私保護11.1合法性基礎(chǔ)以“合同履行”“法定義務”“正當利益”為主，營銷場景須單獨取得“明示同意”。11.2同意管理（1）同意記錄：時間、IP、終端、版本、撤回渠道。（2）同意版本：任何隱私政策更新，須重新觸發(fā)同意，舊版本快照保存。（3）同意撤回：客戶可在官網(wǎng)、小程序、客服熱線一鍵撤回，系統(tǒng)T+0生效。11.3跨境傳輸涉及海外節(jié)點，須通過工信部數(shù)據(jù)出境安全評估，簽署SCC（標準合同條款），加密后傳輸。11.4未成年人數(shù)據(jù)一經(jīng)發(fā)現(xiàn)立即凍結(jié)，通知監(jiān)護人，24小時內(nèi)完成刪除或匿名化。11.5數(shù)據(jù)主體權(quán)利支持在線查詢、更正、刪除、限制處理、數(shù)據(jù)可攜帶，平均響應時間≤15個工作日。第十二章審計、監(jiān)控與問責12.1審計范圍權(quán)限授予、數(shù)據(jù)導出、敏感字段訪問、異常登錄、未加密傳輸、非工作時間批量操作。12.2監(jiān)控工具（1）SOC平臺：規(guī)則引擎+UEBA，實時告警。（2）DLP：郵件、U盤、打印、截屏、網(wǎng)絡外發(fā)全通道監(jiān)控。（3）水?。红o態(tài)水印（用戶ID+時間），動態(tài)水?。S機點陣），截屏可追溯。12.3問責梯度（1）輕微：口頭警告+線上考試。（2）一般：書面通報+季度績效扣5%。（3）嚴重：降職降薪+公開檢討。（4）特別嚴重：解除勞動合同+賠償損失+移送司法。12.4申訴通道員工可在收到處罰通知5個工作日內(nèi)向?qū)徲嬇c合規(guī)委員會申訴，委員會7個工作日給出終局結(jié)論。第十三章培訓與考核13.1培訓體系（1）新員工：入職1周內(nèi)完成《客戶數(shù)據(jù)合規(guī)》必修課，≥90分方可開通系統(tǒng)權(quán)限。（2）老員工：每年復訓1次，新增案例、新增法規(guī)、新增系統(tǒng)功能。（3）高管：每半年參加一次沙盤演練，模擬數(shù)據(jù)泄露危機應對。13.2考核方式線上閉卷+情景實操+紅藍對抗，成績納入OKR，占比不低于15%。13.3培訓記錄電子證書+區(qū)塊鏈存證，永久保留，支持監(jiān)管掃碼驗真。第十四章系統(tǒng)接口與集成規(guī)范14.1接口協(xié)議RESTful+OAuth2.0，返回統(tǒng)一JSON，狀態(tài)碼遵循RFC7807。14.2版本策略URL路徑版本號/v{n}，向下兼容最長3個版本，退役提前6個月公告。14.3限流熔斷單機限流：令牌桶算法，默認100次/秒；熔斷：錯誤率>5%觸發(fā)降級，30秒后自動探測恢復。14.4錯誤處理（1）錯誤碼：10位，前4位系統(tǒng)標識，中間3位模塊，后3位序號。（2）錯誤信息：脫敏，禁止返回堆棧。14.5文檔管理Swagger自動生成交互式文檔，示例值必須為虛擬數(shù)據(jù)，禁止出現(xiàn)真實客戶信息。第十五章外包與第三方管理15.1準入評估（1）安全：ISO27001、SOC2TypeII、等保三級。（2）合規(guī)：獲得PCI-DSS、GDPR、網(wǎng)絡安全審查。15.2合同要求（1）數(shù)據(jù)處理協(xié)議（DPA）作為合同附件，明確數(shù)據(jù)用途、存儲位置、刪除時限。（2）違約金：每發(fā)生一次數(shù)據(jù)泄露，按合同金額30%或?qū)嶋H損失雙倍孰高賠償。15.3技術(shù)管控（1）VPN白名單+堡壘機，命令行全程錄屏。（2）開發(fā)測試使用脫敏數(shù)據(jù)，抽樣相似度<30%。15.4