公司律师顾问

无论是美国封杀Tiktok还是十三届全国人大常委会第二十二次会议审议的《个人信息保护法》草案，都表明个人信息已成为当今社会重要的资源，促使企业认识到在用户数据信息背后潜藏着巨大商业价值。

然而，现实中以往关于个人信息的定义尚不明确，保护的范围也未形成共识，企业在搜集和使用用户信息方面缺乏一定的合规指引，造成大量用户信息被滥用甚至被泄露。为了长久维系企业的用户信任、更好遵循法律法规，企业需在未来建立完善的用户信息收集、使用和保护体系。

第一，合法、合理收集和使用个人数据。

用户数据在信息网络化时代属于企业重要的隐形资产。首先，企业收集、使用数据信息要建立在付出劳动且遵守诚信的竞争基础上，不能采用非法方式收集。

其次，企业收集相关数据信息时，向消费者公开收集、使用规则，并向消费者明示收集、使用的目的、方式和范围。再次，企业应按照《消费者权益保护法》与《网络安全法》的要求，遵循合法、正当、必要的原则，做到必要信息才收集、无关信息不收集。

最后，企业在收集数据信息时应当引入固定的信息收集模式。如大方向上应当采用征得明示同意、处理方式的授权前提，其中包括平台授权+用户授权的两个层面（参考：新浪诉脉脉案）。虽然该模式还未形成一种普遍的原则与规范，但也是值得企业在发展过程中考虑和注意的因素。

第二，加强对数据信息的管理，如确定网络安全负责人，进行网络日志的备份和留档记录。

在上文提到的新浪诉脉脉案中，尽管法院支持了新浪的诉求，但也对新浪进行了批评。新浪作为一家拥有5亿用户的专业用户信息分享的网站经营企业，在与脉脉的合作期间，没有留存任何脉脉在整个经营过程中抓取新浪用户信息的任何日志和记录，使案件在审理过程中产生许多的争议，于是法院认为新浪对用户的信息保护力度较弱，在数据管理方面存在瑕疵。

针对此问题，扬远律师建议企业在对用户信息进行保管、共享的环节中，签订保密监督条款，做到有迹可查、有责可追的风控措施。

第三，企业应在对数据信息进行分类保护，全面构建数据安全和管理体系。

具体来说，企业所有的商业数据信息和个人信息不应该“一刀切”式的允许或者禁止使用，而是要区分可使用、可交易的数据信息和不可使用、不可交易的数据信息，根据相关数据信息的属性、所属领域和类别等多方面对其分类，再根据具体的类别给予相应的保护。

在已发布的《个人信息保护法》草案中设有专节对处理敏感个人信息作出更严格的限制，规定只有在具有特定的目的和充分的必要性的情形下，方可处理敏感个人信息，并且应当取得个人的单独同意或者书面同意。

第四，制定数据信息泄露的应急预案。

如针对企业的数据信息保护体系定期开展应急演练，检验和完善预案，提高实战能力，不断加强员工的应急安全意识和应急响应的熟练程度。在重要活动期间进一步加强数据安全监测和分析研判，加强数据安全事件的防范和应急响应，其中，核心网络和重要信息系统的重点岗位应保持24小时值班，及时发现和处置数据安全事件隐患。

扬远法律视角：

回归立法层面，2020年5月28日表决通过《民法典》一大亮点就是针对保护个人信息进行了专门规定，成为个人信息保护法律制度的顶层设计。《民法典》总则编第一百一十一条规定，“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”

当前，在我国的司法实践中，公民因个人信息遭到侵犯而提起民事诉讼的案件，在绝对数量上较少。但随着《民法典》的生效，加上人们对个人信息保护的重视，用户对企业不当的搜集和使用个人信息的做法势必会产生“反抗”，这种“反抗”不仅仅是针对新兴商业模式下的互联网企业，传统企业也将面临消费者数据泄露的挑战。

扬远律师在此提醒，如何合法收集、妥善管理企业用户信息，已成为时下必须纳入探讨的范畴。