✦没有隐私政策。收集★◆、使用用户个人信息，但根本未制定或未在网站或App中公开隐私政策◆◆★■，网站或App界面中无法找到隐私政策，或者隐私政策链接无效，或者文本不能正常显示。简言之■◆◆◆★，就是没有隐私政策。

　　不过★★■，人们没有想到，尽管有资本的簇拥和光环的加持，墨迹天气这样一个拥有广泛用户、备受大众看好的互联网科技企业，自2016年12月16日递交上市申请，在艰苦跋涉近3年之后，还是没有过发审委这一关。发审委对墨迹天气提出了四方面的质疑，其中第二方面直指数据方面的合规性，尤其是收集和使用用户个人信息方面是否合法合规：

　　首先，关键词“国内法◆■★★★”表明，我们将主要在中国大陆法律制度框架下探讨数据合规问题◆■★◆★，而不是在其他国家或者地区（例如■◆■★◆■：美国、欧盟）的法律规则框架下讨论。这也绝不是说我们会完全忽视来自其他地区的规则★◆◆★■、案例以及数据合规的经验教训。例如◆◆◆★■◆，欧盟于2018年5月25日正式实施的GDPR就是一个我们国内企业非常值得重视的规则，特别是哪些涉及跨境业务的数据企业。这样做的原因在于，一方面，本书写作的目的主要是为国内数据行业的从业者服务★■■◆，为在中国境内生存发展的企业服务。一个企业（或者个人）如果要在中国的法规制度环境下生存发展，首先要考虑对中国法律、法规的遵从。其次，在主张网络主权的原则下，目前全球各国数据监管规则各成一统，数据合规体系互不兼容，跨法域讨论这个问题将使问题非常复杂。

　　根据前面的讨论知道◆★，所有同特定个人相关联的信息都是个人信息◆◆◆。而个人信息中，在特定场景下★◆◆■★◆，能够对个体造成伤害的信息是隐私信息★◆◆◆。因此，单纯地讨论隐私信息保护不仅仅太狭隘而且缺乏可操作性■■。因此，本书倡导的是全方位的个人信息保护。当然，我们并不是主张将所有的个人信息都用保险柜锁起来，这显然不可能。我们主张的是对能够造成伤害的个人信息，以及相关场景，重点保护起来。

　　但是也需要注意，在我国的法律框架下，个人同意原则不是绝对的。根据《个人信息安全规范》第5.4条（g）项和第（h）项，当根据个人信息主体要求签订和履行合同所必需和用于维护所提供的产品或服务的安全稳定运行所必需时，个人信息的收集可不经过信息主体的同意◆◆◆★★，规定了征得个人信息主体同意的例外（对于个人信息的使用、分享和处理则仍然受到知情同意原则约束）。

　　其次★■◆◆◆，关键词★■■“个人信息”表明★◆★，我们接下来主要关注的针对个人信息（以及个人信息相关的隐私信息）的数据合规问题。现行法律法规和国家标准将数据进行了如下划分：个人信息、重要数据和其他数据。监管部门对不同类型的数据有着不同的监管要求和规则◆■★■◆◆。在本书中★■，如无特别说明，所称的数据仅指个人信息■■◆。这绝不是说，我们认为对机构信息（例如：企业信息）的保护不重要。毋庸置疑，对企业（或者机构）的信息保护也是非常重要的。但是，由于我们能力精力有限，无法在这本书中展开，因此暂不讨论。

　　发审委的灵魂发问，显示出监管部门对墨迹天气获取■◆、使用◆★■■★★、管理、流转用户数据合法■★★★■■、合规性的深切担忧。虽然这不是证监会在IPO审核中第一次关注数据问题★◆，但因数据问题而导致IPO被否，墨迹天气却是开了先河★◆◆。监管部门对爬虫公司的集中整肃■■■★，墨迹天气在IPO路上铩羽而归★★◆★★◆，极大地震动了行业◆■■■★★。主要是因为在此之前的数据行业普遍存在两大误区，第一个误区是，只要不涉数据黑产◆■★★★，其他都是小事■◆；第二个误区是，只要做到独善其身，风险与我何干？然而◆◆★★★◆，在事实面前◆★■◆★，人们必须接受的是★★★，在新的《网络安全法》的框架下以及监管和执法机构新常态的立法和执法趋势下，数据合规必须涵盖企业数据的全生命周期和数据收集和使用整个链条上的全部利益相关方◆◆■★■。除此之外，企业还应制定和实施全面的数据合规政策，亦需要对数据的接收和输出进行相应审计并签署相应的协议。

　　为了能够更好地理解隐私信息，首先需要理解什么是个人信息。关于个人信息★★，人们往往有一个认识上的误区★■■，即认为个人信息等同于个人隐私（信息），个人信息保护等同于隐私保护★◆■■。其实不然◆★◆。所谓个人信息是指所有同特定个体相关联的信息的总和。其中既包括非敏感的个人信息（例如：一个人的名字），也包括非常敏感而受到法律重点保护的个人信息（例如★◆■★：身份证号★◆■、家庭住址等）。由此可见，个人信息是一个非常广泛的概念，远远大于隐私的定义和外延。

　　✦骚扰采集。对于用户可选提供的系统权限，在用户拒绝后，每当重新打开App或进入相应界面■★■，会再次以（例如）弹窗等形式提示用户缺少相关权限★★■◆★，干扰正常使用。

　　除了以上两个最主要的要求以外★★★◆★，安全保密性原则还可能衍生出其他的各种要求。例如，最小存储期限要求，即存储个人数据不得超过处理目的所必要的权限■★■。优先匿名化要求在保密性原则要求下，进行个人信息处理★★◆◆★◆，在不影响个人信息处理目的必要限度内，应当优先对个人信息进行去识别化、匿名化处理，降低个人信息处理风险。限于篇幅★■★■■，我们将不再一一讨论★■。有兴趣的读者可以参阅《信息安全技术个人信息安全规范》。

　　数据处理场景、目的等的不同决定了获取用户授权同意的不同方式■★◆★■◆。2013年工信部颁布的《指南》将信息区分为个人一般信息和敏感信息。所谓敏感信息，是指一旦遭到泄露或修改，会对标识的信息主体造成不良影响的个人信息★★◆，如身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。个人一般信息则是指除个人敏感信息以外的个人信息。2014年最高人民法院出台的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》，确认了对“敏感信息”的收集和使用必须得到信息主体的事前明示同意的规则。《信息安全技术-个人信息安全规范》沿袭了《指南》和《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》★★★◆★，继续将个人信息分为一般信息和敏感信息★■★，进一步延伸了上位法“同意”的内涵，规定对于一般信息只需要“授权同意★★★◆★★”，对于敏感信息则需要★★◆◆“明示同意◆★”★◆◆★■，明示同意包括主动点击、主动勾选等方式。

　　综上，各行各业关于数据的全面合规、主动合规的时代已经到来。数据合规不再仅仅是一句政治正确的口号，而是所有企业、所有数据从业者必须严肃面对的课题，必须将合规内化于心、外化于行。

　　从上面的讨论可以看到◆★■，不同法律法规对于什么是◆★★■★■“个人信息”的定义不尽相同。对这些不同定义的★★■★“个人信息”取一个并集就可以看到一个大概基本的规律：凡是跟个人相关联的信息都是个人信息，都要纳入法律框架内讨论。如果某信息还没有被某法律条文采纳无外乎两个可能性。第一、该信息的泄露不大容易对个人造成伤害，但这并不能否认该信息仍然是个人信息的本质■★◆★★。第二、该信息泄露所能产生的伤害还没有被社会广为认知，那可以预期未来的法律规范一定会将其纳入其中。

　　安全保密性原则意味着个人信息的收集者■■★★★★、控制者应当履行个人信息安全保护义务，采取必要措施★■■◆，保障个人信息处于安全保密的状态中，避免可能发生的个人信息的泄漏、意外灭失和不当使用。《网络安全法》第四十条规定★◆★■■◆，网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。同时，第四十二条规定◆★◆■，网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损■◆★◆、丢失。在发生或者可能发生个人信息泄露、毁损◆◆■◆、丢失的情况时★◆■，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。简单地说■★■◆★，人们在合法获取数据◆◆■◆■★、并享受其收益的同时，立刻肩负起安全保密的重大责任。安全保密性原则的主要要求如下：

　　《网络安全法》及配套规则均要求，网络运营者通过网站■◆★◆◆■、应用程序等产品收集使用个人信息，应当公开收集、使用规则，明示收集、使用信息的目的■★★◆★◆、方式和范围。根据上述要求，我们可以推导出，公开告知意味着■■★★：（1）必须主动告知◆★■★◆◆；（2）告知应当明确具体、简单通俗、易于访问。以上是公开告知原则的正向要求，为了便于理解◆★◆◆■，下面，我们结合具体业务场景来看看哪些行为构成违反公开告知原则呢★■★◆？实践中，通常情况有如下几种情形★◆◆■◆★：

　　从上面的讨论中■★◆，也许能够获得两个有趣的发现。第一★★、个人信息跟隐私之间似乎没法给出一条恒定不变的边界。几乎所有的个人信息，在一定的场景条件下◆★■◆★◆，都有成为隐私信息的可能性，并因为泄露给个人造成伤害。第二★★★◆、个人信息成为隐私信息是需要场景条件的，随着场景条件的变化，隐私信息的定义也会随着场景条件的变化而变化。但是■★，万变不离其宗的是◆★■■：伤害★■◆★！也就是说★◆◆■★★，如何判断某项个人信息，在某场景条件下◆◆，是否构成隐私信息？其判断的核心标准是：该信息的泄露是否构成对个人的伤害■◆■？我们认为，这才是判断隐私信息的最主要标准★◆★◆★。为讨论方便起见■◆★■，我们称其为“伤害”原则★■★◆★。

　　✦主动公开的程度不够。现行法律法规要求，收集收集身份证号码◆★◆★★■、银行卡号、生物特征识别信息等个人敏感信息时，应以显著方式同步告知收集目的、使用规则、安全保护措施等■■。有的App收集人脸信息前未展示单独协议或进行显著特殊说明，在用户点击◆◆“继续”后■◆，App在无任何提示的情况下便开始采集用户的人脸信息。再比如，有的App嵌入了收集用户个人信息的第三方SDK★■，但未通过隐私政策或其他显著方式向用户明示第三方SDK的个人信息收集行为◆◆。

　　授权同意原则也称为选择同意、授权同意原则，是可控性原则的核心。《网络安全法》规定，未经被收集者同意，不得向他人提供个人信息。选择同意原则赋予个人对其数据的决定权◆★◆■◆：（1）信息主体有充分的选择权，可以同意，也可以拒绝◆■★■；（2）信息主体在这个过程中应当做出真实的意思表示、没有被强迫、诱惑或欺诈；（3）信息主体做出的同意必须是“无歧义★◆”和“清晰★★◆◆”的同意◆■★◆■◆；（4）用户同意的本质是一种授权行为■■■◆◆。用户随时可以撤销已经给出的授权，这种撤销方式应当与授权方式具有相同的便捷性（具体论述见“自由撤回原则”）。以上是个人同意的正向要求◆■■■。

　　前面提到，从纯理论的角度看◆■■◆★■，任何关于个人的信息都是个人信息。但是在实践中★◆★■◆■，依赖于不同的应用场景，不同的法律法规，却有不同的定义◆■★■。但是大方向一致，侧重点各不相同。例如，《中华人民共和国网络安全法》第76条规定，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名◆■◆★★、出生日期◆◆★★■、身份证件号码◆■◆、个人生物识别信息、住址、电话号码等。《电信和互联网用户个人信息保护规定》第4条规定★■，个人信息指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期■◆◆◆★、身份证件号码◆■、住址、电话号码◆★◆■★、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。《信息安全技术公共及商用服务信息系统个人信息保护指南》第 2 条规定★◆■★★，个人信息是指可为信息系统所处理，与特定自然人相关■◆■、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。根据2017年最高人民法院、最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定，公民个人信息包括直接识别的公民个人信息、间接识别的公民个人信息和“反映特定自然人活动情况的各种信息”。

　　实践证明■■★★，个人信息保护■◆★■★■，仅仅通过“透明”是不够的。透明性使个人能够全面了解数据如何被收集和处理◆■，从而使个人对数据处理活动产生信任◆■★。再透明的数据收集与处理也需要征得被采集人的同意。即使被采集人同意■★■◆■★，也要允许在未来的某一天★★★■■，在任何条件下，他可以后悔■■，并以任何理由（或者无理由）终止数据的采集和处理。因此，数据被采集方对数据的可控性就变成了一个非常重要的原则。所谓控制力就是赋予个人并在必要时挑战这些处理行为的权利，这种控制力并非个人对个人数据的绝对控制权★■■★◆◆，而是为了达到个人信息保护与数据开发之间进行权衡★★★◆。可控性原则包括如下几个方面★◆：

　　理解了个人信息后，再讨论一下什么是隐私信息★★◆■◆■。所谓隐私信息必须首先是个人信息■★。如果某信息是公共信息（例如：北京大学在海淀区的地址），这怎么能说是隐私信息呢★★◆■★★？他是张三的隐私还是李四的？因此，隐私信息一定是个人信息的一个子集★◆◆★★。但是，是不是所有的个人信息都是隐私信息应该严加保护呢■◆◆★★★？显然也不是。如果所有的个人信息都是隐私信息■■◆★◆，那么人们的正常生活就要受到严重的打扰（例如：所有人都得带上面具才能上街）。由此可见，隐私信息一定是个人信息★■★◆，但是个人信息却不一定是隐私信息■◆■◆■★。那么，如何判断某个人信息是否属于隐私信息呢？这个判断的边界到底在哪里？

　　以上是对隐私的纯学术讨论◆◆■■★。接下来，再看看我国相关法律法规的具体规定◆◆◆★。例如，《中华人民共和国民法总则》第一百一十条规定，自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利。法人、非法人组织享有名称权、名誉权■◆★、荣誉权等权利★★★★■。同时★■，第一百一十一条也明确地规定，自然人的个人信息受法律保护。这表明，个人信息受保护的权利（或称个人信息权）正逐渐被法律确认为与个人隐私权不同的新型权利。

　　分级分类管理要求。《网络安全法》第二十一条规定，国家实行网络安全等级保护制度◆◆■■★。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务★■，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任★■★◆◆；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施◆★■◆◆■；（三）采取监测■★、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月■★■；（四）采取数据分类■★★◆◆◆、重要数据备份和加密等措施；（五）法律■◆■、行政法规规定的其他义务。

　　在回答这个问题前，我们首先思考两个例子◆■◆◆■■。名字是隐私吗？在幼儿园老师的课堂上，这显然不是隐私。老师和其他小朋友需要知道你的名字才能跟你友好地玩耍■★。因此，在幼儿园课堂上这不仅仅不是隐私◆■■，甚至是一个必须要暴露的信息◆◆，否则正常的学习生活无法继续。但是，离开幼儿园的大门★★★，这可能就是非常敏感的隐私信息。为什么？因为，天真善良的小朋友，可能因为马路对面拿着冰激凌的怪蜀黍能够准确叫出他名字而被拐走◆★。再考虑一个例子。人脸是个人隐私吗？在学校课堂上在公司会议室里，这显然不是隐私，这是别人识别你的重要信息。这不但不是隐私，而且是必须暴露的信息◆★。如果人人都带着面具◆◆，我怎么知道坐在会议桌对面的那个人是谁？正常的会议、教学★◆★◆、沟通交流如何继续？但是，一旦离开这个场景环境★◆■◆，人脸可能就是非常敏感的隐私信息。该信息一旦落入不法分子之手，我们的银行账户就存在被盗刷的风险。

　　实践中构成违反个人同意原则的情形包括：（1）未经同意就开始收集个人信息，如App首次运行★■◆◆、提示用户阅读隐私政策前就开始收集个人信息；（2）用户明确拒绝后，仍收集个人信息，如用户不同意被收集地理位置信息时仍然收集；（3）实际收集使用的个人信息超出用户授权的范围；（4）利用用户信息和算法定向推送新闻、广告等，未提供终止定向推送的选项★◆★；（5）未经用户同意，私自调用可收集用户个人信息权限；（6）在未打开或使用App时，App后台调用用户个人信息◆◆；（7）未经用户同意私自更改用户设置的权限，包括App更新时将用户设置的权限恢复到默认状态★■■■◆；（8）用户明确拒绝App收集个人信息请求★■◆■，App仍频繁征求用户同意，干扰用户正常使用★◆；（9）违背与用户约定，不按隐私政策中的收集使用规则收集使用个人信息。

　　与“最小够用”相关的两个术语叫：最少够用信息■■★■★、最少够用权限■■■◆◆★。什么时最小够用信息★★■、最少够用权限范围呢★◆◆◆★？所谓最少够用信息是指保障某一服务类型正常运行所最少够用的个人信息，包括一旦缺少将导致该类型服务无法实现或无法正常运行的个人信息，以及法律法规要求必须收集的个人信息。所谓最少够用权限范围■◆◆★，是指用于收集某一服务类型最小必要信息且需要个人信息主体主动授予的智能移动终端操作系统权限。例如，在法律要求网络用户实名制要求下■■★★◆，微博收集个人姓名及身份证号码即为够用★★◆■■，外卖送餐时必须掌握订餐者的姓名住址及电话号码以保证配送正确■■，地图导航软件需要用户的物理位置,这是功能性要求◆★◆◆★★,可以满足；但如果要用户提供姓名和身份证号,就属于不必要了。最少够用原则的对立面是◆■◆■★“过度收集”。实践中，过度收集通常有如下几种情形■◆■：

　　9月6日★■★◆■，知名数据企业魔蝎科技◆◆■◆★、新颜科技的负责人被杭州警方相继带走。五天后的9月11日■■◆■◆，公信宝的运营公司杭州存信数据科技有限公司被杭州市公安局西湖分局古荡派出所查封。时隔一天■★◆★◆，9月12日，天翼征信被调查，它是国内首家运营商旗下征信公司。9月26日★◆■，同盾科技也上了名单。此后◆■，这个名单上又多了聚信立、集奥聚合、上市公司51信用卡。齐刷刷地■◆◆，都是数据行业的头部企业。警方的调查均指向一个关键线索★■★：即是否存在未经授权爬取个人信息以及涉嫌违法爬取的个人信息是否被用于变相征信■★◆★、暴力催收等目的。受此影响，鹏元征信■■◆◆、立木征信、白骑士等众多持牌机构纷纷暂停相关业务。一时间，整个行业陷入沉寂，从业者驻足观望■■★★，人人自危。

　　在下列情形中★★★◆■■，信息主体认为网络空间中的个人信息，是不准确、不再相关或侵害其合法权益的，且与公共利益无关的，信息主体有权要求信息业者采取删除、屏蔽★★★、断开链接等必要措施：（1）提供网络平台服务的信息业者接到信息主体通知后，确认平台内相关个人信息与公共利益无关的★★，应当及时采取删除、屏蔽、断开信息内容等必要措施，并协助信息主体通知其已知或应知的其他链接、复制该个人信息的信息业者采取必要措施；（2）提供网络搜索引擎服务的信息业者接到信息主体通知后，确认搜索引擎结果中相关个人信息链接内容与公共利益无关的，应当及时采取删除、屏蔽、断开链接等必要措施；（3）未成年人或其监护人要求信息业者删除■★◆◆★、屏蔽网络空间中该未成年人个人信息的，信息业者应当及时采取删除、屏蔽、断开链接等必要措施。

　　本文为澎湃号作者或机构在澎湃新闻上传并发布，仅代表该作者或机构观点■■★■■◆，不代表澎湃新闻的观点或立场，澎湃新闻仅提供信息发布平台◆★◆。申请澎湃号请用电脑访问■◆★★★。

　　阳光是最好的消毒剂■■。面对数据和数据流转的无形性■★，法律规则特别强调，个人信息保护的首要规则就是：公开透明■◆★◆■，确保数据主体对于数据的收集◆■★■★■、使用有充分的知情权。全国人大常委会2012年12月28日出台的《关于加强网络信息保护的决定》规定■◆★■★★，在收集、使用个人信息时，应当明示收集■★■、使用信息的目的、方式和范围。《消费者权益保护法》第二十九条规定，经营者收集★◆■◆、使用消费者个人信息，应当遵循合法★★◆、正当、必要的原则★◆■◆■，明示收集◆◆、使用信息的目的、方式和范围。《网络安全法》第四十一条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则■★■◆★★，明示收集■★★、使用信息的目的、方式和范围。从上述法律法规的规定，我们可以推导出透明性原则在现实操作中的具体要求如下。

　　就在此时★★■★，另外一个惊雷正在酝酿。2019年10月11日，星期五。微信朋友圈被一篇文章瞬间刷屏★◆◆■，这篇文章的题目是《墨迹科技IPO被否，证监会提出4方面问题》。这源于当日中国证监会发布的第十八届发审委2019年第142次会议审核公告。公告显示，知名气象与生活服务APP★■◆★“墨迹天气”的运营者——北京墨迹丰源科技股份有限公司首发申请上市被否。墨迹天气是一款备受欢迎的天气信息查询软件，可以提供精确到分钟、精确到公里的天气预报服务★★★◆■★，支持百余国家◆■、几十万城市的天气信息查询■★◆★◆，拥有亿级用户★■，我们便是其中之一。资料显示★★，自2010年以来，墨迹天气一共完成了7轮融资， 阿里系、腾讯系、盛大系、创新工场系和险峰系等明星资本赫然在列。根据披露的招股书，墨迹天气在7年时间内狂揽5■■■.56亿装机量，在天气类APP中拔得头筹◆★■，风光一时无两。

　　✦目的模糊。通常是指，在获取数据时采用概括式模糊的语言描述◆◆★★■★，隐私政策所述与实际情况存在明显偏差、错误，甚至出现大篇幅抄袭现象等◆◆■。例如。有的APP申请收集存储权限时，将目的描述为■■■◆◆★“需要您开启存储权限★◆■★■■，以保证存储相关功能的正常使用★■★■”，未具体、明确地说明权限申请目的，属于明显违反目的明确原则的情形。

　　在伤害原则的指导下，可以思考一下为什么（例如）手机号和身份证号是需要重点保护的隐私信息。显然不是因为他们绝对不能泄露。如果一个人的手机号绝对不泄露给自己的同事好友◆◆★◆，他们如何给你打电话◆■◆★◆★？同理◆★★◆★■，如果一个人的身份证号码对不泄露给银行◆■■◆★，银行如何为你开户？因此，判断这些信息属于高度敏感信息的标准并不是“绝对不能泄露”。而是说◆★，能够满足无重大伤害原则的场景非常少，范围非常窄◆■◆◆。一个人的手机号■★★，只要逃离你的个人朋友圈，就有可能成为被各种商贩骚扰的工具。一个人的身份证号一旦逃离你授信来的正规银行◆◆◆■■，就有可能为犯罪分子骗贷的工具。由此可以理解，敏感如手机号和身份证号这样的隐私信息其实也是可以泄露的。关键是：在什么场景下，向谁泄露，用于什么目的◆◆★★■■，安全性如何保障，未来用户的控制权如何。由于手机号和身份证号能够放心泄露的场景非常少，范围非常窄◆◆，因此是隐私保护的重点对象■◆。

　　查询原则要求数据被采集的主题对于自己的数据有查询的权利■■◆★★■，有要求纠错的权利。查询原则意味着：（1）信息主体有权查询信息业者处理的其个人信息及其相关事项，相应地★◆★★，数据控制者应当为信息主体查询其个人信息提供便利■★★■◆◆。（2）信息主体发现数据控制者处理的其个人信息存在错误、遗漏时，可以书面通知予以更正★■★◆。数据控制者在收到通知后，应当积极处理，例如，应当对信息主体相关个人信息作出存在异议的标注，在经过核查，确认相关信息确有错误、遗漏的，信息业者应当予以更正；确认不存在错误★■★■、遗漏的◆■■■，应当取消异议标注；经核查仍不能确认的■◆◆◆，对核查情况和意义内容应当予以记载。删除原则要求数据被采集的主题对于自己的数据有要求删除的权利。查询原则意味着：经信息主体同意进行个人信息处理，信息主体撤回其同意或者认为信息业者不再具有本法第三十条规定的个人信息处理的其他合法性依据的，可以通知信息业者删除已处理的个人信息，但法律、行政法规规定不得删除或需要保留的除外。

　　所谓目的特定原则★◆，也称目的拘束原则★◆★◆，是指在收集个人信息时必须有明确的◆■◆★、特定的意图，且实际使用数据时不得偏离在数据收集时披露的目的。以上是目的特定原则的正向要求，为了便于理解■◆■★◆◆，下面，我们结合具体业务场景来看看哪些常见的行为算是构成违反目的特定原则呢◆★★★■◆？

　　除此以外★★■★，上面的讨论还注意到★◆◆■，现有的法律法规条文尤其关注一类特殊的个人信息■★：能够直接或者间接识别公民个人的信息★★■★■◆。最典型的例如：身份证。法律制定者关注此类信息的原因是很好理解的。能够直接或者间接识别公民个人的信息更有可能对个人造成伤害，因此是保护的重点★■■。但是，在实际工作中该原则的可操作性并不令人满意■★■★★◆。什么样的信息能够直接识别特定个体★■◆★■？这似乎比较容易确定◆■。例如：身份证信息。但是，什么样的信息能否间接识别特定个体■◆？这就很难说了。例如：北大、统计学、商学院，男，网络模型，这几个标签独立地看，都不是什么了不起的隐私信息◆★，都无法轻松识别特定各地。但是，这几个标签放在一起■■◆◆，这个搜索范围就非常小了，基本上只可能是熊大★★。这是不是一个特例？答■◆：这不是特例◆■★★■■。从理论上讲◆★◆，只要间接信息足够充分，特定个体总能被识别，或者以很大的概率被识别◆◆■■★◆。那么，这个概率应该多大才叫足够大◆◆，司法上无法给出一个标准。因此★★★◆■★，我们认为，某信息是否属于隐私信息并严加保护，其重点不是“能否识别特定个人”，这个定义还是太模糊。我们认为确定隐私信息的关键仍然是：无伤害■■◆◆★★。而什么又是◆◆★■“伤害◆★■■”呢？我们现有的刑法民法对此有充分的定义。

　　✦目的变动◆★■◆★。隐私政策所声明收集的个人信息/系统权限以及提供的业务功能等，与实际情况不一致■■■，存在隐瞒、冗余◆★、偏差、错误或内容不属实等问题■◆◆■。包括◆★■◆★：实际收集个人信息超出隐私政策所述范围，即未完整告知所收集个人信息类型以及用于实现的功能或目的；实际收集个人信息少于隐私政策所述范围，即声明了实际并未收集的个人信息或实际并未提供的功能；比如用于健康监测的APP需要收集用户的各项身体指标■■，如果该数据进而被分发给一家药品或医疗器械的销售商◆◆★，用于推销，则超出了最初的处理目的。

　　说起个人信息保护，得先从立法说起。时间回溯到2003年■◆★◆，彼时★■◆◆★■，中国社科院法学所研究员周汉华教授等人受原国务院信息化工作办公室委托，开始起草个人信息保护法的专家建议稿★■◆。但此后立法再无实质进展。面对日益猖獗的侵犯公民个人信息的乱象，国家祭出刑法利器。2009年2月28日，刑法修正案（七）出台◆★◆，2015年11月1日，刑法修正案（九）落地。2016年8月，备受国人瞩目的徐玉玉案发生，推动最高人民法院★◆、最高人民检察院于2017年5月8日颁布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》◆◆◆★■。进一步强化涉数刑事犯罪的打击力度◆■◆。

　　综上所述■■★★，个人信息视野下的数据合规的最核心原则就是透明性原则、控制力原则和安全保密性原则◆◆■。其中，透明性原则是核心中的核心，是个人信息合规和数据治理的基石原则。目前所发生的案例和行业乱象，究其根本均是由于不同程度地违反了透明性原则而导致。控制力原则是个人信息合规的应有之义，也是透明性原则的必要补充，这体现在，国内针对个人信息保护的基本立法（例如已经出台的《民法总则》和即将出台的《个人信息保护法》）均赋予了个人作为信息主体在控制力上的权利内容。可以预料的事，随着法律法规的相继出台★◆◆◆◆■，特别是个人作为数据主体在数据权利方面的觉醒，该原则有望得到显著加强。安全保密性原则是个人信息治理的先决原则★◆■◆，如无法确保个人信息安全，后续的任何治理工作也就无从谈起。在信息技术和数字经济的时代，相关算法和技术的创新和进步有望助力各行业以更低成本、更高效率实现这一原则★★★◆◆。现实的法律法规纷繁芜杂，但是万变不离其宗■★◆◆★。透明性原则★◆■、控制力原则、安全保密性原则构建了数据合规的基本架构，是我们在面对个人信息合规时思考问题、解决问题的基本方法论★◆。也只有严格遵循这三个核心原则★■，我们才能在隐私保护、信息主体权利实现和发展★★、促进数字经济之间取得动态平衡，实现持续发展。

　　本地存储（境内存储）要求。例如★◆★■■◆，《网络安全法》第三十七条规定，关键信息基础设施[1]的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估◆★★；法律、行政法规另有规定的，依照其规定。，此外★■■◆■★，《征信业管理条例》第24条■★◆、《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第6条、《地图管理法》第34条、《网络出版服务管理规定》第8条、《网络预约出租汽车经营服务管理暂行办法》第27条亦明确了数据本地化的法律要求。

　　✦捆绑采集★■◆◆◆。在用户安装App时，以捆绑打包形式申请其向操作系统声明的所有权限，用户不同意则无法安装，安装完成后申请的所有权限默认打开。类似地还有■◆，仅以提供附加功能◆★■■、个性化服务、提升用户体验等为由收集某些个人信息/系统权限（此类信息并非实现App基本功能所必要）◆◆◆■★★，同时将该类信息与实现App基本功能所必要的信息相捆绑◆★★★，要求用户一并同意，用户不同意则无法使用App基本功能或所有功能。

　　✦强制采集。App所强制收集的个人信息/系统权限并非其正常运行或实现相关功能所必需★★■◆■◆。例如在线视频App强制索要位置权限，用户拒绝提供位置权限则无法使用App任何功能◆■。部分所收集个人信息与App功能不相关，即不收集该个人信息★■■◆◆★，App也能够正常实现相应的功能◆★◆■★。例如浏览器App申请短信权限◆■。

　　✦隐私政策不完整◆■、不准确。例如，我们经常发现，有的App应用，在你安装或者使用时总是申请各种权限（例如访问通讯录、访问相册等），但是仅通过操作系统弹窗向用户申请系统权限，未通过App额外弹窗提示或在系统弹窗中编辑目的等方式，告知用户权限申请目的★■★★■。

　　事实上★◆，在我国现有的法律体系中，有很多条文同个人信息保护相关，但是非常分散。现有的分散立法有相当一部分是原则性◆★★★■■、宣誓性条款★◆★■■★，并没有对数据治理实践（特别是司法层面）产生直接影响（ 2012年《全国人大关于加强公民个人信息保护决定》 第12条★■、2017年《民法总则》第111条）。又例如，2016年11月7日上午，十二届全国人大常委会第二十四次会议以154票赞成、1票弃权■◆★，表决通过了《中华人民共和国网络安全法》。从严格意义上讲，个人信息保护并非《网络安全法》的立法任务■◆◆，把个人信息保护加进去，是对严峻的个人信息泄露形势疲于应付的结果。《网络安全法》初步构建涉及个人信息保护的框架（第41条、第42条、第43条）及责任体系（第74条）。而事实上◆◆★★，同个人信息保护（含隐私保护）相关的法律法规数目众多★◆，非常分散。对于大多数非法律专业的从业者而言，实在是太复杂繁琐了■◆，难以掌握。面对如此纷繁复杂的法律规范，如何让广大的数据行业从业者理解其中的道理◆■■，并在业务实践中付诸实施？这是本文关心的问题。为此，我们尝试从中抽象出最简单■★◆■，最核心、最基本的原则★★。为讨论方便起见，我们称其为：最基本原则。通过对国内外相关法律规范的阅读研究，我们发现了以下三个最基本原则★◆★■★■：（1）透明性原则■◆★◆◆；（2）控制力原则■★★■；（3）安全性原则。

　　“ 2.发行人通过自主收集及第三方途径获取用户数据及标签，并利用数据进行商业化变现，发行人于2019年7月16日收到APP专项治理组发出的《关于APP收集使用个人信息相关问题的通知》◆■★◆，APP专项治理工作组要求发行人就收集使用个人信息中存在的问题进行整改。请发行人代表说明★■◆★：（1）发行人获取用户数据及标签的过程及方法◆★■■★，是否对用户有明示提示■◆■，用户授权在法律上是否完备，是否明确告知收集信息的范围及使用用途★■★◆，发行人获取用户数据的手段及方式是否合法合规■★；（2）发行人使用用户数据是否合法合规★◆■◆，尤其是商业化变现的合规性，结合相关媒体报道的墨迹天气上传用户隐私等情况■◆★■★，对照《网络安全法》《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法规和司法解释◆★★★，说明报告期发行人是否存在侵犯用户隐私或数据的的情况，是否存在法律风险或潜在法律风险；（3）数据获取◆★◆◆、使用、处理等过程的内部控制制度及执行情况，对数据安全和个人隐私的保护措施与手段，是否出现过个人信息、隐私泄露事件◆■◆★■，是否存在纠纷或潜在纠纷；（4）日益加强的数据行业监管及个人隐私保护政策对发行人业务的影响及相关应对措施■★◆；（5）发行人针对APP专项治理工作组通知指出问题的整改情况及整改效果，是否获得主管部门的认可★★◆，是否面临被处罚的风险。请保荐代表人说明核查依据、过程并发表明确核查意见。◆◆■”

　　实践中，如下情况会被认定为没有满足信息主体的个人参与原则：（1）没有提供删除个人信息，注销用户账号的功能；（2）对于提供在线操作方式◆★、客服电话、电子邮件等方式的★★■，进行相关操作未响应的◆★■■■；（3）需人工处理的，受理后未在承诺时限内（例如，按照《App违法违规收集使用个人信息行为认定方法》无承诺时限的以15个工作日为限）完成核查和处理的；（4）信息主体注销账户应难于注册■★。

　　个人信息保护起点在于个人信息的收集◆◆■◆★◆。信息收集使个人信息脱离了信息主体而由他人掌握★◆★◆◆★。而一旦由他人掌握◆■■◆★■，个人信息失去了信息主体的控制，特别是随着技术的进步，信息采集通常由各类智能终端在用户不知情的情况下自动进行，信息经过反复共享、传播流转以后■■★，用户往往不知道个人信息在何处被何人如何使用★■，更无法判断使用频次，这是一切数据问题的根源★■◆■◆。

　　数据合规的其中一个核心任务就是隐私保护。所谓隐私保护就是对涉及隐私信息的保护★◆■。那么到底什么是隐私信息这就成了一个重要的问题。遗憾的是，这个问题如此重要，但是无论是在学界还是在业界◆■◆，似乎都缺乏一个严谨自洽、并被广泛接受的定义■★■★★★。而本节将尝试从纯理论的角度予以一些初步探讨。首先需要声明一点，本文接下来的讨论将主要针对国内法视野下针对个人信息的合规问题◆■■。这里有两个关键词：“国内法”和“个人信息”。