2017年6月1日起，《网络安全法》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《两高解释》）等多项法律规范开始正式实施，为公民个人信息安全保驾护航。个人信息保护显然日趋严密，在此情况之下，互联网企业合乎规范的收集、处理、使用个人信息，已经成为企业发展不容忽视的问题。

一、个人信息分类管理

《网络安全法》规定，个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。《解释》在上述规定的基础上，进一步明确“公民个人信息”包括身份识别信息和活动情况信息，即“刑法第二百五十三条之一规定的‘公民个人信息’，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”

《解释》在“身份识别信息”基础上，新增“个人活动情况信息”，从而扩展了个人信息的范围。此外，《解释》还对个人信息保护的梯度做了规定，其中行踪轨迹信息、通信内容、征信信息、财产信息属于第一梯度；住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息属于第二梯度；第三，其他公民个人信息属于第三梯度。同时，《网络安全法》第二十一条规定，网络运营者应当按照网络安全等级保护制度的要求，采取数据分类、重要数据备份和加密等措施。

可见，互联网企业在履行网络安全保护义务的过程中，数据管理应当分门别类，区分重要信息、一般信息，对于那些同个人利益紧密相关的信息，加大保护力度，在收集、分享、利用的环节有所不同。

二、制定隐私政策、采取同意规则

《网络安全法》第四十一条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

1、企业需制定隐私政策，保障知情权

根据《网络安全法》之规定，企业收集个人信息，应当公开收集规则、收集目的、收集方式、收集范围。国际上通行的做法是在其官方网站上公布相应的收集和使用规则，该类规则通常名为“隐私政策”。关于隐私政策的内容，《电信和互联网用户个人信息保护规定》第九条明确要求企业应当告知用户收集、使用信息的目的、方式和范围，查询、更正信息的渠道以及拒绝提供信息的后果等事项。以蚂蜂窝自由行APP公布的隐私政策为例，其隐私政策便包括了上述内容。“隐私权是每个人的重要权利，蚂蜂窝公司非常重视用户个人信息和隐私的保护。在使用蚂蜂窝公司的网站、产品和服务前，请您务必仔细阅读并透彻理解本《隐私政策》。”

2、企业收集个人信息，需经被收集者同意

根据《网络安全法》之规定，企业收集个人信息，应当经过被收集者同意，这是企业收集个人信息合法与否的关键所在，只有经过用户同意，企业才可以收集个人信息。但是，该法并未明确区分明示同意和默示同意，通常而言，企业制定的隐私政策以默示同意的方式取得用户同意，比如“一旦您选择使用或继续使用，即表示您认可并接受本《隐私政策》现有内容及其可能随时更新的内容，同意我们按照本《隐私政策》收集、使用、披露、储存和分享，或以其他方式运用您的相关信息。”互联网企业需要注意的是，默示同意的方式需要满足格式条款的要求。只有个别信息，需要明示同意的方式，比如《征信业管理条例》规定的，征信机构收集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息，应取得被收集者的书面同意。

3、收集信息合法、合约

《网络安全法》第四十一条规定，网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息。首先，互联网企业收集用户信息，应当符合法律规定，对于法律明文禁止收集的信息不得收集，比如《征信业管理条例》规定的，禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息。其次，互联网企业收集用户信息应当与自身业务相关联，并且不得突破企业与用户之间的约定，这也从侧面印证了隐私政策、用户协议的重要性。

4、用户实名制

《网络安全法》第二十四条规定，网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。

如上所述，用户的注册是企业获取信息数据的主要来源之一，为此，企业必须建立实名验证机制。

三、合法提供信息

《网络安全法》第四十二条规定，未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。《解释》第三条规定，未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的“提供公民个人信息”，但是经过处理无法识别特定个人且不能复原的除外。可见，企业提供个人信息，以不得提供为原则，以提供为例外，企业非法提供个人信息，不仅面临行政责任，而且还存在刑事风险。企业合法提供个人信息，只有两种途径，一是经过用户同意，一是经过匿名化处理。

1、信息处理、加工

个人信息经过处理后无法识别特定个人且不能复原的，互联网企业可以将之公开或者提供给其他第三方。目前来看，互联网企业只能根据现有技术实现匿名化的效果，也就是说，企业应采取必要的匿名化措施，为追求匿名化效果付出努力。

2、信息分享

匿名化处理可以说是兼顾个人信息保护与数据利用，由于个人信息具有的价值性，企业可以对其进行运用、挖掘，为了避免信息利用侵犯个人信息，企业对外分享数据可以通过合作协议的方式，对第三方信息利用、处理方式作出约定，明确第三方责任，从而避免风险。

四、合法获取信息

《网络安全法》第四十四条规定，任何个人和组织不得窃取或者以其他非法方式获取个人信息。《解释》第四条规定，违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。

互联网企业之间的合作，特别是以购买、收受、交换的方式获取公民个人信息，直接面临刑事风险。首先，为防范风险，企业获取信息，应当审核第三方是否有权提供个人信息；获取信息是否取得被收集者同意。并且，在互联网信息时代，这种同意应当留下痕迹，加以保存。其次，《网络安全法》第四十一条规定，网络运营者不得收集与其提供的服务无关的个人信息。因此，企业获取信息，应当与其服务内容相关。

五、信息安全

《网络安全法》第四十一条规定，网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

企业收集、获取信息之后，在储存、加工、处理的过程中，应当采取技术措施或者必要措施，确保信息安全。此外，在发生潜在危险时，企业应当立即采取补救措施。在这一系列的过程之中，企业应当制定相应的规章制度，比如风险预警、防范规章，针对责任人员制定定岗安全制度，定期组织技术培训，数据备份等等。

综上，《网络安全法》、《解释》出台实施之后，个人信息保护监管会愈发严格，互联网企业不规范的地方也会日益显现，为了确保自身操作的合规性，互联网企业应予以密切关注。