的概念。同时，各地政府纷纷推动5G基站、IDC、数字新基建产业园等项目的建设。其中数据信息作为一切项目运行的起点，虽看似基础，但其实慢慢的变成了21世纪一种新的资源。网络安全与数据合规，也成为了众多有志在新基建背景下有所作为的公司，所一定得面临的问题。随着数据执法的慢慢地增加，数据相关纠纷数量也呈明显上升趋势，甚至有些公司的上市计划也因为数据问题而被迫搁置。而其中数据收集更是各国关注的重中之重。无论是近期字节跳动旗下的TikTok在海外遭受，还是欧盟通过裁定推翻了欧美之间的《数据传输协议》，是由于用户个人信息的收集而产生冲突。

  个人隐私信息的收集规则虽然根据所处行业的不同，收集信息类型的不同有所区别。但我们只要明确信息收集的核心原则即“用户同意”原则＋“最小化“原则，便可掌握个人隐私信息收集合规的基本框架。作者在本文之后的论述中，通过将个人信息收集方式来进行分类，将上述两个原则融入在具体的合规操作中，以便读者对其本质有更直观，更立体的理解。

  目前，常见的个人隐私信息收集方式共有三种，分别是向用户直接收集、向第三方采购，以及利用互联网爬虫方式来进行收集。其各自的合规要点列明如下：

  保证收集个人隐私信息的最小必要性。例如，收集个人隐私信息的数量和频率应为实现业务需求所必须的最小数量和频率；

  当产品或服务提供多项需收集个人隐私信息的业务功能时，应保证个人隐私信息权利主体可以自主选择。例如，不可通过一揽子协议要求用户一次性同意其未申请或未使用相关个人隐私信息的请求；

  收集个人隐私信息时应取得个人隐私信息权利主体授权同意，其中个人敏感信息还需取得明示同意；[3]

  [1]《民法典》第一千零三十五条 处理个人隐私信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合以下条件： （一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外； （ 二）公开处理信息的规则； （ 三）明示处理信息的目的、方式和范围； （ 四）不违反法律、行政法规的规定和双方的约定。

  个人隐私信息的处理包括个人隐私信息的收集、存储、使用、加工、传输、提供、公开等。

  [2]《网络安全法》第四十一条 网络运营者收集、使用个人隐私信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

  网络运营者不得收集与其提供的服务无关的个人隐私信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当按照法律、行政法规的规定和与用户的约定，处理其保存的个人隐私信息。

  个人隐私信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。

  对用户：要确保“三重授权”：即用户授权平台+平台授权采集方+用户授权采集方；

  内部措施：建立爬取前的审核机制和爬取后的数据处理机制；避免触发侵犯个人信息罪、非法获取计算机信息系统数据罪等刑事责任，或侵犯第三方权益、构成不正当竞争等民事风险。

  随着工业与信息化部发布《关于开展APP侵害用户权益专项整治工作的通知》，已有近百个app数十个平台被点名督促整改，近期的315晚会针对SDK插件窃取用户个人信息也做出了专项报导，几乎每个企业，尤其是科技公司的网络安全数据合规工作亟待进行。本团队将对整个网络安全及数据保护框架进行梳理，希望帮助到企业的相关合规审查，以预防潜在的风险。