個人信息保護法頒發(fā)后，一些創(chuàng)業(yè)的兄弟們對這塊合規(guī)存在一些疑慮，從我個人角度給大家做一下簡單的解答，完全是我基于這十多年的復雜工作經(jīng)驗給出個人理解，非官方答案，供大家參考。

不得過度收集個人信息

首先先明確一下，什么是個人信息？其實用戶在互聯(lián)網(wǎng)平臺里的一切圍繞：

姓名、出生年月日（年齡星座）、身體數(shù)據(jù)（身高體重三圍）、身份證、地址（公司或家庭各種收貨地址）、手機號、賬戶密碼、郵箱等都是個人信息。

這句話的重點不是“不得”而是在于“過度”，頒布了法律后對于企業(yè)正常的用戶信息收集仍然是可以收集和使用的，但是相比原來野蠻發(fā)展期，肯定要多了一系列的標準，可以收集哪些？怎么樣使用？

正常的業(yè)務里大家都懂，如果超出這個范圍，那對于企業(yè)最好的合規(guī)方式就是應當去建立一個“用戶個人信息使用”相關的告知書，告知書中應該明確標注以下幾點：

1.平臺收集了哪些個人信息；
2.對應收集到的這些個人信息的目的、用途以及使用范圍（會否提供給第三方）；?
3.如果禁止這些個人信息的收集和使用，對應會產(chǎn)生的后果；?
4.最好還要補充一下平臺是如何保護這些個人信息的舉措；
5.要明確提供出修改、禁止、禁用授權的相關入口及解決方法；

建議把這些信息在經(jīng)營平臺明顯處主動公示，同時把它作為“用戶許可協(xié)議”的附件，添加到用戶須知的流程

不得非法買賣提供公開他人個人信息

收集都很慎重了，不能買賣肯定是自然的，不用說都知道買賣他人信息從始至終都是違法的，只是以前這個應該歸屬到《刑法》中 ：

“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”（2009年頒布）后面改為“侵犯公民個人信息罪”（2015年頒布）范疇。

原“非法獲取公民個人信息罪”規(guī)定：
《中華人民共和國刑法修正案（七）》：第二百五十三條規(guī)定“國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。竊取或者以其他方法非法獲取上述信息，情節(jié)嚴重的，依照前款的規(guī)定處罰。單位犯前兩款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規(guī)定處罰。”?

“侵犯公民個人信息罪”規(guī)定：
《中華人民共和國刑法修正案（九）》：十七、將刑法第二百五十三條之一修改為：“違反國家有關規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。
“違反國家有關規(guī)定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規(guī)定從重處罰。
“竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規(guī)定處罰。
“單位犯前三款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規(guī)定處罰?！?

而現(xiàn)在這個直接歸類到了《個人信息保護法》。

不得進行大數(shù)據(jù)殺熟

大數(shù)據(jù)殺熟并不是一項法律標準，而是“個人隱私”信息濫用的其中一個場景，10塊錢的東西不管賣給誰都應該10塊，而不能通過濫用個人信息，算出來這個人比較“有錢”經(jīng)常出入高檔場所，所以賣給他20塊?。ú荒茏詣踊瘺Q策，也不能在價格上區(qū)別對待）

沒立法之前只能罵這個企業(yè)太損了、沒有道德，現(xiàn)在是以法律來保護公民權益，其實本質還是對個人信息保護的場景延伸！

這個延伸不止于此，基于大數(shù)據(jù)畫像的精準廣告推薦、短視頻平臺的基于興趣的內容推薦，其實也都會存在“大數(shù)據(jù)自動化決策”這個邊界區(qū)，如果有這樣的業(yè)務也一定要特別獲取一次授權。

公共場所安裝圖像采集等設備應設置顯著提示標識

以前說人臉的使用 ，可能大家想到的場景都是公共場所在大街上拍照是否構成侵犯“肖像權”的問題。

未經(jīng)本人同意，不得以營利為目的使用公民的肖像，這里來界定“肖像權”，互聯(lián)網(wǎng)快速發(fā)展，只通過記錄數(shù)據(jù)但是沒有直接盈利是否侵犯呢？這塊一直存疑的。

今年315的時候我們也跟著媒體曝光商家利用人臉識別來分析客戶的這條不正當?shù)纳虡I(yè)鏈條，這個問題也是無法對應法律來處理的，《個人信息保護法》的推出，其實把這里會更明確了：

公共場所安裝圖像采集、個人身份識別設備必須放置明顯“標識”告知你在收集人臉信息，同時收集的個人圖像、身份識別信息只能用于維護公共安全的目的，不能用作其它用途！

其它問題

除了上述我們提及到的“人臉”加入了《個人信息保護法》外，其實圍繞這個用戶的相關信息可不只如此，個人的生物指紋、就醫(yī)的醫(yī)療檔案、銀行卡賬戶、數(shù)字貨幣賬戶、個人的出行數(shù)據(jù)（打車飛機酒店）應該都納入了個人信息范疇。

所以以后不管怎么做產(chǎn)品，按照我說的流程，基礎的個人信息內容通過平臺“隱私許可條款”進行公示，讓用戶主動勾選許可條款進行授權的獲取。

非常規(guī)的數(shù)據(jù)、涉及到過于敏感的，建議在業(yè)務使用之前單獨再提示一次需要獲取XX數(shù)據(jù)、用于XXX用途才能完成這項業(yè)務的使用，讓用戶主動授權并選擇是否繼續(xù)使用，一定會成為一個標準流程。

除了這些，用戶的“被遺忘權”也要提起重視。

按法律法規(guī)要求互聯(lián)網(wǎng)平臺必須要提供“注銷”賬戶的入口及流程，按正常的情況很多企業(yè)沒注意到可能是通過“邏輯刪除”的方式刪除，數(shù)據(jù)庫里還存著客戶資料，這塊如果真的細究肯定還是違規(guī)的！

那很多人想到的可能就是那我“物理刪除”是不是就合規(guī)了？其實也不是！因為這個還關聯(lián)了網(wǎng)安相關法規(guī)要求，你要留存日志的，如果一個人在你平臺犯罪完跑了，還注銷了賬戶 ，那你一樣不合規(guī)。

所以最好的方式有兩種，用戶注銷時邏輯刪除半年后再物理刪除，還有一個辦法就是用戶注銷時先創(chuàng)建一個用戶刪除賬戶的日志，把用戶的賬戶邏輯刪除，但是用戶的敏感操作日志作為日志數(shù)據(jù)留存。

但不管哪一種也都要告知日志會存儲X年，用于XXX用途。

個人如何保護自己的隱私

之前就給好幾個媒體的采訪上表達過：

1. 建議廣大網(wǎng)民盡可能少地在第三方平臺提供自己的隱私信息；
2. 如果某些APP只是臨時使用，建議用完后刪除或卸載APP應用之前，先在平臺注銷自己的賬號；
3. 安卓用戶盡量從大一點的應用市場來安裝APP，不要安裝第三方不明來源的APP；
4. 對于長期使用的APP，要有好的密碼習慣，定期對常用APP的密碼進行更改；盡量不要在公共網(wǎng)絡使用不明來源的wifi；

其它的就真的要靠法治來維護了，對于這之外的問題歡迎留言探討，有問必答，對于有完整安全合規(guī)訴求的企業(yè)，也可以通過選擇我們KNOWSAFE的服務，我們可以為你量身建立完整的安全方案。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/