第 5 / 12 页 接收方与访问方式决定合规路径 同一字段给不同接收方、用不同访问方式,风险结论会变化。 内部部门:看是否超出岗位职责,落实最小权限、审批和日志。外包服务商:通常需要委托处理协议,约定目的、期限、方式和保护措施。第三方公司:可能属于向其他个人信息处理者提供,需要告知和单独同意。境外接收方:可能触发个人信息或重要数据出境合规路径。BI/API:重点检查导出、批量获取、字段级权限、调用日志。 讲解提示:把“谁能看”和“怎么拿到”拆开讲。