专家解答：数据应用与安全合规的平衡之道——“最小化原则”到底是什么？
去年的3.15晚会，曝光了个人信息非法获取和714高炮，而近一年来，随着国家监管的力度不断加大，大数据行业雷声阵阵直到现在也未能消停，不断有爬虫业务的大数据公司被列入调查名单。

由于疫情的影响，今年的3.15晚会延期播出，是否依然存在数据领域问题的曝光暂未可知，但是，作为数据分析与应用领域的先驱企业，华策数科始终秉承着对行业的“守正”之心，数据的合法合规使用始终是我们非常重视的问题，数据应该如何合规的采集?个人信息保护是否有法可依？数据公司应该如何合规发展？

带着这些问题，我们请来了华策数科首席法律专家马强，为我们解答相关问题。

提问1：数据的价值众所周知，但数据却也是一把双刃剑，用得好可以让我们生活快捷方便 ，用不好则会让我们个人信息暴露、财产遭受损失。去年整治行业的乱象让整个行业都趋于冷静，重新思考数据应用过程中的合规性问题。
那么，在数据的收集和应用上，是否有相关法律法规可依？

专家解读：目前，国际上统一认定的数据法案主要是欧盟的GDPR即《通用数据保护条例（General Data Protection Regulations）》。我国《刑法》、《网络安全法》及两高的司法解释中有部分相关规定，但并没有完整的个人信息保护的法律法规，不过今年我国将制定《个人信息保护法》、《数据安全法》，通过对个人信息保护的共性问题和合法利用问题统一的顶层设计，完整、系统的将个人信息的保护与利用进行厘定，对个人信息的保护及数据的合法利用无疑具有突破性意义。

司法实践中，已经有些判例引用了国家质量监督检验检疫总局和国家标准化管理委员会联合发布的各种信息安全标准做为判案依据，为司法提供了良好的技术支持，对整个数据行业更加有指导价值。

国家以立法为基，行政为辅，技术先行，构建了具有中国特色的多方面个人信息保护机制，这是我们个人信息真正得以保护的基础。

提问2：在运用数据的过程中，应该坚守什么样的原则和底线？

专家解读：自从欧盟的GDPR正式实施起来，“最小化原则”被公认是个人信息采集和利用的底线。GDPR里有两处明确提及，将最小化原则定义为“充分、相关以及以该个人数据处理目的之必要为限度进行处理”。结合国内外的数据行业经验和我国立法现状和趋势，我们可以用“三最”来理解“最小化原则”：最明确的“用户同意”、最少化的信息要素采集、最安全的存储和传输。

提问3：关于用户同意，有用户授权就可以了吗？怎么理解“最明确”，能否举例说明？

专家解读：用户同意在我国《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》以及即将颁布的《个人信息保护法》中都是个人信息采集、处理的合法基础。但这并不是简单授权即可，因为概括性的授权是不被监管认可的。


从2019年开始，中央网信办、工信部、公安部、市场监管总局联合披露和下架了多款APP，其中既有过度收集用户个人信息的问题，也有隐私条款内容不达标的情况，不少持牌的小贷、银行等金融机构被惩处。

根据《App违法违规收集使用个人信息行为认定方法》、《信息安全技术 个人信息安全规范》等规范性文件和国家标准，收集个人信息的时候一定要说明收集方式、范围；对用户身份证号、银行账号、行踪轨迹等敏感信息更要特别说明，这种说明应该以显著的形式确保用户知悉。各类以数据为核心的大型企业根据这些规定持续的更新隐私政策，中小型公司也应该引起重视，调整自己的个人信息收集和保护策略。
联系我时，请说是在深圳便民网看到的，谢谢！