个人信息保护的三大核心原则 - 保密网

说起个人信息保护，很多人第一反应是"不能乱收集数据"，但真要细说具体有哪些规矩，反而容易搞混。我做了这么多年数据合规顾问，接触过上百家企业，发现最容易被忽略的，恰恰是个人信息保护法里面那几个较为基础的原则。今天就跟大家聊聊，我认为至关重要的三个核心原则。

第一个是知情同意原则。这个听起来很简单，就是收集个人信息之前要告诉用户，并且要获得同意。可在实际操作中，很多企业在这上面栽过跟头。比如有的App在用户注册时，把隐私政策藏在一个小角落里，字体小得几乎看不见；有的直接默认勾选"我已阅读并同意"，用户根本不知道自己同意了啥。这不是真正的同意。法律要求的同意，必须是用户在充分知情的前提下，自愿、明确作出的。什么叫充分知情？就是你得告诉用户，你要收集哪些信息、用来干什么、会不会给第三方、保存在哪里、保留多久。而且同意的方式也得明确，不能是默示同意，更不能是"不同意就不让用基本功能"这种强迫式同意。去年有一家电商平台就因为默认勾选同意被罚了款，其实这种操作在很多互联网产品里都挺常见的，但合规的红线就在那儿。

第二个是目的限制原则。你收集信息是为了什么，就只能用于什么，不能超出这个范围随便用。比如用户注册时提供了手机号，你拿来发营销短信，这就超出初衷了。哪怕是同一个企业内部的"数据共享"，也要看用户当初授权的范围。我遇到过一家做教育的企业，把学员的学习数据拿去分析后卖给了广告公司，结果被用户集体投诉，最后不仅赔了钱，品牌声誉也受到了很大影响。这个原则还有一个延伸，就是你不能"一次收集，无限使用"。信息的保存期限也是有讲究的，用完了就该删掉或做匿名化处理。很多企业觉得数据存着反正不亏，多存几天又不会怎样，但这个做法其实是有合规风险的。数据存得越久，安全责任就越大，一旦出了泄露事件，企业要负的责任也更重。

第三个是较小必要原则。这个原则的意思是，你收集的信息必须跟你提供的服务直接相关，而且只收集达到目的所必需的最少信息。说白了，就是能少收就少收。可实际情况呢，很多企业恨不得把用户祖宗十八代的信息都收上来。下载一个手电筒App要你的通讯录权限，看个新闻还要读取你的位置，这不是合理需求。监管机构这几年一直在抓这个问题，专项行动查处的违规收集信息的App数量相当大。合规的做法应该是：每一项信息收集都要有正当理由，能不用真实身份就不用，能用匿名数据就不用个人信息。设计产品和业务流程的时候，就要把个人信息保护考虑进去，这就是法律里说的"隐私设计"理念。有个很好的例子，某知名社交平台在开发新功能时，会先做一轮隐私影响评估，看看这个功能会不会过度收集信息，如果会，就调整方案。

这三个原则其实是一个整体。知情同意是前提，目的限制是框架，较小必要是尺度，缺一个，个人信息保护的体系就不完整。对企业来说，光是制定一个隐私政策远远不够，更重要的是把这些原则落实到系统设计、业务流程和员工日常操作中。别等到被约谈、被罚款甚至被告上法庭了，才回过头来补课。

现在监管趋势越来越紧，个人信息保护法的执法力度也在不断加强。今年以来的处罚案例，不管是从数量还是金额上看，都比前两年有了明显增长。对企业而言，合规不是成本，而是保护自己的一道防线。把这三个原则理解透了，贯彻到位了，个人信息保护的基本盘就稳了。

不过话说回来，原则归原则，实际操作中往往会有一些边界模糊的情况。比如营销分析和直接营销的界限在哪里？用户画像到什么程度算"超范围使用"？这些问题确实需要结合具体场景来判断。所以建议企业在实际操作中，定期请专业的数据合规律师或者顾问做合规审查，把风险消灭在萌芽状态。毕竟等到监管找上门来，代价往往要大得多。