互联网时代下的个人信息保护——与数据合规律师对谈

互联网时代下的个人信息保护——与数据合规律师对谈 - 少数派

Matrix 首页推荐

Matrix 是少数派的写作社区，我们主张分享真实的产品体验，有实用价值的经验与思考。我们会不定期挑选 Matrix 最优质的文章，展示来自用户的最真实的体验和观点。

文章代表作者个人观点，少数派仅对标题和排版略作修改。

---

我国《个人信息保护法》已生效了半年多的时间，我们在互联网生活发生了怎样的变化？本期节目特地邀请到了两位在红圈律师事务所专门从事数据合规工作的律师，分别从个体用户、平台企业、监管机构等不同视角去分享我们当下互联网时代的个人信息保护话题。App 会通过哪些手段收集我们哪些数据？平日里我们又可以通过哪些方法来加强个人信息保护？个人信息保护与数字经济发展的关系又该如何平衡？本期播客会有较为全面和深入的探讨。值得一提的是，本期节目曾获小宇宙播客首页「编辑精选」推荐，欢迎大家的收听。

敬请注意：篇幅所限，本文并未收录节目中交流的所有话题和细节，我们鼓励感兴趣的读者完整收听节目，你可以根据每小节标题后标注的对应时间点来定位。此外，播客内容仅代表主播个人观点，并不代表其所在机构及网站立场，也不构成任何法律意见或建议。未经授权，请勿转载或以其他方式使用节目或本文的内容。

《机智的律师生活》 是一档律师生活观察类播客，目前播客节目下已有「执业观察」「留学日记」「职业规划」等栏目，分享一些法律人们关心的话题和领域。

🎧 收听方式：小宇宙 | Apple Podcast | 喜马拉雅

• Megan：某红圈律所数据合规律师
• Joe：某红圈律所数据合规律师

数据合规律师做些什么（01:37）

David 数据合规律师可以算是从欧盟通用数据保护条例（GDPR）生效以来新兴的行业领域，那么数据合规方向的律师大致都处理哪些业务？

Megan  数据合规在国内也算是新兴的领域。从 2017 年《网络安全法》生效以后，我国一直到 2021 年才出台了《数据安全法》以及《个人信息保护法》。到去年为止，我们的网络安全和数据保护的法律的框架才算比较成型。

我其实会把业务分为最主要的两块：

第一块是企业自己日常的合规。越来越多的企业会去关注到他们日常运营中数据合规的要求，特别是一些收集个人信息比较多、用户量比较大的企业，是会非常重视的。

另一块是跟监管机关打交道。比如企业遇到了监管执法的调查，或者说企业因为上市计划，面临着数据合规的风险筛查和整改，或者说是从去年《网络安全审查办法》出台以后，要求企业到国外上市需要做网络安全审查，这一块需求会越越来越多。

Joe 结合一些项目或是客户的需求，可以从横向和纵向几个不同的角度来看：

数据和各个部门法之间关系密切，如果是和知识产权相关，需要关注数据权益权属据怎么去主张；如果是竞争法相关，就需要去关注数据在平台竞争过程中扮演的角色。

另一方面是如何帮助企业怎么去制定一套成体系化的数据合规的方案，或是我们从外观来看怎么去做更好的个人信息保护的界面等。现在有很多大量的跨国企业在全球范围内做个人信息和数据的安全转移，需要去设计方案，而且方案落地也是非常值得关注的。

第三块就像刚才提到说我们如何去「应对」——其实「应对」不太好——我们更好的运用方法叫「拥抱」和「配合」监管对于数据安全的一些顾虑。企业要进行资本运作，或者企业要拓展市场，要使用一些新兴技术，怎么去打消或者是更好的去向大众说服我们这一套数据方案是没有问题的，怎么去自证合规，是需要从法律角度和技术相结合给一套相对而言比较好的一个解释，这也是我们能够做的一些事情。

David 市面上做数据合规的团队，大致会从两种团队会演变过来，一种是从知识产权团队，另一种就是做竞争法的，也就是反垄断律师。知识产权团队做数据合规可能更偏向于客户类型，因为知识产权会接触很多高新技术或者互联网企业，因为客户导向也会比较早的去介入到数据合规中去。竞争法这块，因为平台经济下的数据收集和使用会有伴随一些竞争问题，从而一并进行处理。

用户的个人信息有哪些用途？（08:42）

David 结合两位的观察和项目经验，互联网企业拿到我们的数据（匿名化或非匿名化）通常会用在哪些地方？或是怎样通过这些数据去完成怎样的商业目的？

Megan  比较普遍的是互联网的程序化广告。我们的个人信息其实经常会企业拿来做他们作为他们广告营销的重要来源。比如说电商类平台的APP，会根据用户在平台上面所喜好的一些商品、浏览记录，去相对应给你推荐一些比较感兴趣的广告，也可能在后台去对你的做的对于你的数据做一些融合，去跟第三方分享。

除了这种电商类平台之外，也有很多资讯类App，可能会给你推送某一块领域的信息，根据行为痕迹去做跟踪，然后整合和第三方分享，然后引入这个广告。这一块现在仍然是不少 app 的重要收入来源。

Joe 广告确实是现在互联网企业或者一些「数据驱动型」公司主要的营收点。毕竟我国现在互联网用户的付费习惯还没有完全养成，所以在「免费互联网」情况下，这种「羊毛出在猪身上」的做法确实是很多见，而且在前期可能会伴随着大量的资本投入。

说句实在话，企业为什么要收个人信息，最直接的一个目的，只是为了给我们用户提供我们这个 app 的互联网信息服务。比如说本地生活做一些周边推荐。在数据下一层逻辑就是「利用数据」，其实算法最根本的来源就是在于用大量的数据形成一个算法模型，更好地支撑企业的经营和运转。企业如果有一系列非常重要的算法模型之后，就可以拿来盈利了。

互联网广告最终的目的永远都是去了解或者是比品牌方更加了解你的客户是谁、他有什么习惯，这就是所谓的个性化。但个性化的过程中一定会伴随着安全的方案，比如说怎么去标识的，怎么去匿名的等等。各个垂类行业，比如说像金融、医疗、汽车等不同行业对于个人信息的需求量也不一样，但是他们对于个人信息最根本的目的是，我在给你提供服务的过程中，怎么去把个人信息的厚度和价值的增量给做出来。各家企业都有各家企业的不同做法，对于数据而言它的可复制性非常强，流通性非常强，怎么去更好的利用数据的价值和权益方案，那就不一样了。

David 所以其实有两个维度的数据使用：一方面，你的数据本身它就是有价值的，比如你在哪个城市，那么我就给你推一些本地化的服务。另一方面，另外需要企业积累到一定的数据量来进行算法的迭代或优化，来以此来更加高效地让企业去更好地运转，或者说更好地去广告营销。一个是信息本身的价值，另外一个是信息它经过加工处理后带来的这些价值。

互联网平台会通过哪些途径收集用户个人数据（18:02）

Megan  在《个人信息保护法》明确规定之前，很多企业采用的都是「一揽子同意」的方法。伴随工信部、网信办 18、19 年的执法行动，都会去关注这些 app 是否在得到用户同意之后才开始收集和使用个人信息。现在大部分企业也不会在很明目张胆地在你不同意的情况下直接去给你获取权限收集你的数据，会采取比较隐蔽的方式，可能在隐私政策里面写的比较模糊，或是让你一次性同意一系列隐私政策，大部分用户不会细看就点击同意。

但根据《个人信息保护法》的规定，如果需要收集用户比较敏感的个人信息，应该得到单独同意。这一块近期还是会观察到一些变化，典型例子是每次打开 app 希望收集定位信息的话，app 会每次弹窗征求同意。如果说我不同意，其实也可以用这个 app，只是我不授予精确定位的话，他可能也知道我在北京市，推荐的内容就会围绕北京范围内，这已经是一个比较大的改善了。

David 这里涉及大家经常讨论的问题：很多 app 需要点击同意隐私政策才能使用，但是其实一些APP在你未同意隐私政策的情况下也是可以使用一部分功能。比如 app 的游客模式，只能用一些很基础的功能。

Joe 对的，很多 app 往往会在登录的时候让你选采用基本模式还是一个完全模式。基本模式在尽可能少量收集个人信息情况下，同意那些最基础的功能的使用。我观察，很多需要注册或绑定手机号的服务，还是需要你的同意。

Megan  前几年的时候，很多 app 在你自己不知情的情况下，在运行后台抓取你的数据。不仅是超范围，而且是超过频次，然后又是你完全不知情的情况下，在合规性上会有非常大的问题。如果说这一类的 app 在执法行动中被检测发现，工信部和网信办都会有一个通报机制，要求限期整改；如果整改还不通过的话，就有可能会面临下架的风险。

David 还有一个观察，从去年开始苹果手机并不允许跨 app 去收集个人数据了，而是需要明确点击同意才行。比如说我在聊天软件里面跟人聊一个手机或电脑品牌，另一个电商 app 可能会识别聊天记录来给我推送数码类产品的广告，就是刚刚提到的非常典型的互联网营销的一个小案例。正是因为苹果的政策才发现不少 app「跨站」收集信息的套路。

Joe 这个话题就是能不能在各个 app 之间，基于用户画像来进行广告推荐。这是互联网广告里面比较复杂的一个机制，是多方参与的，app 运营主体仅仅是一方。刚才提到说苹果现在已经要用户来主动开放 IDFA（Identifier for Advertisers，苹果设备的广告标识符）授权，在这种情况下才能够允许去收集使用个人信息，这是一个对消费者个人信息非常重要的保护措施。

前段时间围绕苹果 iOS 隐私政策的一些争议（25:04）

David 谈到苹果，大家前段时间应该有关注到苹果和谷歌公司之间的「论战」，后来 Facebook 也加入其中，围绕苹果隐私政策提出一些不同观点。

Joe Facebook 最主要的观点就在于，如果你是基于所有用户都主动授权来开放的话，基于人的天性考虑，任何人都不希望让广告来打扰我的；但是这样操作，基于整体的社会效益，投放广告的效率是很低的。就比如说我给 David 你推送化妆品的广告；经济效益没法最大化，是不合理的。那么，个人信息保护应不应该是价值保护排名第一位的，这是一个问题。

第二个问题，你用苹果的产品需要付费，苹果是可以直接变现的；但对于 Facebook 这样的社交产品大多是免费模式，切断了 IDFA 授权我的经济收益从哪来？我在免费向苹果手机用户提供免费 app 服务时如何获取经济报酬？是一个非常值得行业深思的问题。

这方面讨论在国内其实也在进行着，这就是为什么我们在认真去分析互联网广告的时候，个人信息保护总是有各种各样的瑕疵，但是在这种瑕疵情况下，我们如何去控制风险，然后保证经济和个人信息保护两个价值是平衡的，是一个非常大的命题，是要经济学家、法学家还有企业家来共同完成的。

如何看待互联网经济发展和隐私保护之间的平衡（26:47）

David 其实在 GDPR 刚被提出来的时候，大家都有一个疑虑，就是说过于严格的隐私政策和法律层面的数据监管是否会阻碍互联网企业的一个发展，也常常拿欧洲和美国的数字经济做对比。

Megan  之前我们在一些案子里面跟客户也聊过，那种比较依赖于程序化广告收益的 app，如果广告不让他们做了，可能企业一半以上的收入都没有了。这其实对于他们是非常重要的。不仅仅是监管今天出了这么一个规定，然后要求全行业都要去严格的来遵守；但是可能对于很多企业而言，背后关系到生死存亡。所以我觉得确实不仅是用户隐私保护的问题，的确是需要平衡。

现在的监管也不是说想把你一棍子打死。就从互联网营销而言，大家其实是想要避免程序化广告非常精确地去抓取你日常喜好的东西，想要避免千人千面这种太过精确的趋势。每个人都担心是不是大数据可能比我自己还要了解我。那么是不是可以通过一个一些比较粗略的标签或用户画像？

我们其实对于用户画像也是有一些规范的，里面就提到说互联网精准营销这种用户画像，就不应该是非常精确的、直接的。所谓直接用户画像，就是说它可能可以定位到你本人。相反，间接的用户画像可能是描述你所在的群体——我并不知道你本人是谁，但可能会知道一个群体标签，比如你是女性、大概年龄段在 25 岁到 35 岁、大概会喜欢什么样子的东西，然后去给你推荐。我觉得相对而言这是一种比较平衡的做法。

Joe 这里涉及很多客户热衷探讨的话题：什么程度上的标签是不会触碰合规红线的？或者说什么样程度精确化的标签才可以去确保我们的个人信息权益是不会受侵犯的？现在企业的标签真的是非常丰富，而且丰富到经常会让我们想象不到的程度。当然标签还会涉及到很多其他问题，比如大数据杀熟，还有一些敏感类的标签，是不是允许企业放进来？

也有观点认为 GDPR 对于中小企业的数据合规成本过高。对于一些以美国为代表的大型互联网平台对个人数据处理的要求，比如跨境传输，这一部分成本是否需要由企业来承担，可能要区分不同的企业能力。对于中小企业来说，是否有必要基于一个潜在的个人信息风险去完成那么高举动的或者是那么高要求的合规动作，这是一个问题。第二个问题是那么微小的或标准化的合规动作，会不会约束了技术更好的发展？这些都是确实很深刻的命题。

Megan  中国和欧盟其实都有在探索，对于超大型、或者相对大型的平台施加更高的合规义务。我们的市场监管总局关于互联网平台分级出台过相应的部门规章，可能根据它的用户量和在市场上的能力做一个分级，相对更高级别、更大型的平台，施加的合规义务就会更高。欧盟有「守门人」（Gatekeeper）的认定，《数字服务法》和《数字市场法》里面都对这种 Gatekeeper 有更高的合规要求。

聊聊我国目前监管机构围绕个人信息保护的执法（34:47）

Joe 监管部门现在经常会给出一些在合规意见上的指导。像工信部 18 年以来就已经进行了 20 多批次的 app 问题监管治理。现在工信部对于 app 的监管强调一个「生态圈」的理念，不仅仅是监管运营开发者，还可能会延伸到上下游。比如刚才提到的设备生产商，也有很多个人信息收集的权限；内嵌的 SDK、API 第三方厂商，往往会容易触及到无感知收集的问题。

工信部在前段时间设置了一个「双清单」，需要所有大型互联网平台企业将可能涉及的所有个人信息收集、共享的场景，通过清单的方式清晰明确告诉消费者。我觉得这落实了个人信息总量爆发背景下，对于个人信息收集或处理的透明化要求。

接下来是各个垂类行业。比如说金融行业，往往央行等主管部门对于个人金融信息合法合理的使用会进行监管。银保监部门之前宣布要在保险行业内实施全面的个人信息保护的合规要求，这就涉及到很多的头部保险公司、保险行业的服务型企业。还有汽车行业，《汽车数据安全管理规定》去年 9 月颁布，12 月就需要汽车企业报送个人汽车数据处理的安全报告，并且已经开展了一系列的执法密集的动作。各行各业都有抓手，成为了我们个人信息保护的一个非常好的有效方案。

Megan 除了行业监管，还有一些其他的专项执法行动，比如涉及算法的「清朗」行动，应该是今年监管很重要的一块。今年 3 月我们的《互联网算法算法推荐服务的管理规定》也正式生效了，配套的一系列执法行动是今年的重点。所以对于企业而言，可能也得关注每年的专项执法行动。

为什么说 SDK 和 API 是个人信息保护的「重灾区」（38:41）

David 能否给大家介绍一下 SDK 和 API 的基本情况？常常听到这种「接口」会给个人信息保护带来挑战，是个人信息保护的「重灾区」。

Joe SDK 和 API 都是技术术语，其实就是一个技术的开发包，可以简单的理解为一些现有、成套、或比较成熟的一些代码，可以用来实现某种特定功能的小程序包，加载到  app 里面。

SDK 有很多种类型。比如说刚才提到的广告营销场景下，有很多第三方 SDK 是作为广告监测，用来监测投放广告的转化率曝光率等数据，用来验证或结算。还有一些比如支付功能，第三方支付机构已经开发成熟的 SDK 包插入到 app 里面，才能去完成它的支付操作。当然还有非常常见的 Push 推送场景下，应用就更加广泛了。

API 是一个数据调取的管道，对于各个平台、各个品牌之间的数据互传有非常大作用。通过开放 API 接口以及权限，完成两个企业之间个人信息的交互。正是因为 SDK 和 API 很多情况下不受控于消费者个人，大部分情况下你根本不知道 SDK 或 API 在运行，就导致无感知收集的情形非常普遍。

Megan 之所以现在对于 SDK 的监管会被大家关注到，是一些执法调查反映 app 面接入的  SDK 有超范围收集个人信息的情况，但 SDK 超范围收集的责任需要由 app 来承担吗？目前执法机构的处罚里面，其实是对于 app 运营者做出了处罚。

但在《个人信息保护法》中，这种共同处理个人信息的主体称为「共同处理者」，会涉及连带责任。从 app 和 SDK 的这种互动的关系来看，不管是共同去处理信息，还是 app 把信息提供或者委托给第三方去处理，这个 APP本身它其实对于你的个人信息保护都一定是需要承担一定的责任的，这也是我们目前会去关注他关于 SDK 监管的一个法律基础。

David 有点像民事关系中的不真正连带，但其实行政执法思路其实也未必一定要按照民事思维，行政机关在调查过程当中也许就认为 app 运营方应该承担 SDK 合规的一些必要的义务。因为 app 背后的平台企业也都是相对比较有规模、有声誉的，正所谓「能力越大，责任越大」。所以从执法便利性角度，可能也会倾向于找到 app 运营商这种具有更多「公共属性」的角色去承担责任。这里还是有待学理和实务去探讨的。

保护个人信息的窍门（47:46）

David 回到广大用户和消费者，人和人之间的差别还是很大的，不同人对于隐私保护的重视程度肯定有很大不同。如果说我想保护个人隐私或个人信息安全，两位有哪些小技巧可以分享？

Megan  在必要的情况下，我会把个性化推荐按钮关掉。现在一些 app 的个性化推荐按钮不是那么明显，需要从设置中的好几级菜单下去找，结合监管趋势，我觉得关闭个性化推荐按钮会越来越明显和好找。但很多时候关闭了个性化推荐后，仅仅是不给你推送罢了，但实际上在背后还是会分析。

关闭个性化推荐有两种情况。一种是全部关闭，基本上只能通过检索功能使用 app；另一种是不将你的数据用于大数据分析，但软件还是可以基于你的行为做一些推荐，这里面还是有一些「探讨」的空间。

Joe 我们从法律的视角看，关闭个性化推荐好像很简单，但是对于技术而言还是有挑战的：要识别哪些用户、基于什么场景、用哪些个人信息做推荐，有大量技术上需要去落实的方案。所以一定程度能理解企业为什么有的时候做的不够好，但为了推进产品上市，这块工作往后排一排。

对于苹果用户而言，iOS 已经完成了 IDFA 主动授权，隐私保护已经到了一个比较高的水平。对安卓用户而言，可以通过在手机隐私设置中重置你的广告标识符，或者更新 OAID（Android 系统的广告识别符），这样就不能用过去收集的信息跟踪你了，可以处理下你可能不太希望看到的广告，被骚扰的频率也会降低一些。

从 HiQ 诉 LinkedIn 案探讨爬虫技术的正当性（52:23）

David 结合刚刚的讨论，我想起了最近美国新发布的一个判决，是 HiQ 诉 LinkedIn 案。根据国内法院判决的主张，大批量爬取企业数据会有风险被认定为不正当竞争；但美国最新的判决反而会更倾向于认为数据本身是公开的，而爬虫是更高效地完成数据收集的技术手段。

Megan  HiQ 诉 LinkedIn 案已经打了好几年了，中间来来回回。这一次是最高法院认定 HiQ 可以去 LinkedIn 的网页上面爬。我觉得这个案子复杂，不仅仅是一个数据爬虫的合法合规性的问题，也会包括你刚刚说的不正当竞争的问题；HiQ 在提诉讼的时候还涉及到了跟反垄断法相关的问题。

HiQ 认为，LinkedIn 是在「职业社交服务」市场上有支配地位，如果不把它在市场上抓取到的数据授权给下游的话，就有不合理的限制，下游的业务就无法开展。HiQ 还引用了「必需设施」的理念，意思是 LinkedIn 作为一个上游的「必需设施」，有向下游业务开发的义务。

但法院没有支持这些维度的观点，认为首先相关市场的界定就不准确，或者说理由不充分。到最后，法院的判决还是更多基于数据爬取这一行为，认为不违法美国计算机欺诈相关的法律，这和国内通过不正当竞争去裁判的思路还是不一样的。国内法院如果认为数据是企业独有的一种商业资产，那么你去把它爬取下来继续商业运作，或者说变成了商业优势的话，可能是不被允许的。

Joe 这个案子可以反映出来美国对于数据监管的态度。美国到现在还没有出台非常成型的数据跨境限制、安全限制的法律条文，其实就是比较鼓励去数据流通数据跨境和数据交易的，这背后和国家对于数据的政策态度有关。法律可以说是一个平衡的艺术，看平衡的天平倾向那一边。

中美欧个人信息保护有哪些异同（57:57）

David 顺着刚刚提到的，两位觉得我国的个人信息保护体系跟欧洲和美国的相似之处和不同之处还有哪些？两位有没有一些自己的看法？

Megan  去年《个人信息保护法》刚生效前后那段时间，不同业界、学界的机构都有在撰写一些理解和分析，我当时印象非常深的就是有一个国内比较权威的专家写了一篇文章，认为我国的《个人信息保护法》属于「第三条道路」，和美国、欧洲都不同。

所谓「第三条道路」，我自己的理解是，《个人信息保护法》监管的严格程度可能是介于欧盟和美国之间。GDPR 下企业数据保护方面的合规成本应该说是最高的，美国就像我们刚刚讨论的，其实非常鼓励数据自由流通，没有去设太多限制。

个人觉得，我们国家其实是更希望能够得到一个平衡。过去十多年，特别是移动互联网兴起以来，行业有野蛮生长的趋势；《个人信息保护法》出台以后，相对于以前监管肯定更严，但并不希望互联网企业因为个人信息保护的问题，而在业务拓展上受到很大的限制。

Joe 讲到这个问题，有一个开玩笑的说法。大家说美国在互联网时代构建了互联网高速公路，欧洲通过一部 GDPR 在路上设了非常多的收费站，其实调侃的是欧盟通过大量的执法和处罚，导致了美国跨国企业在欧洲保护个人信息和隐私的成本非常高。说来说去还是那两个价值之间怎么去取舍和平衡的问题。

从立法模式、保护机制上，我们是走自己的个人信息保护道路，有自己的特色。从立法体例上，还是参考了 GDPR 这种统一立法模式。一方面，强调统一的执法和强有力的个人信息保护；但另一方面又在强调，个人数据、非个人数据以及其他各种衍生数据，能作为一种价值或者作为一种资产，作为一种有经济价值的利益。这也是我们之后会去多探讨的问题，

所以我个人觉得，我们的做法是应当保护个人数据的人格尊严价值，这是毫无疑问的；但在人格尊严价值之外，如何更好地调动数据作为一种市场分配的要素，怎么去调用它的经济价值，也很重要。

数据合规会有怎样的趋势与未来（01:01:46）

Megan  企业和监管双方如今都对隐私保护越来越重视。执法确实越来越常态化，越来越深入。现在不仅仅是监管 app 本身，可能对上下游都有去进行很深入的一个监管。此外，可能会在某一个时段特别关注某一块的合规，进而会有一些专项行动。

从企业的角度，我自己的观察也是企业对于个人信息保护的意识在不断提高的，也有在配合监管的。这不仅仅是从日常运营考虑，也是为了长远的发展。像一些企业为了上市，自己就会去特别重视这一块。我在跟客户打交道过程中，也发现客户其实也是很了解的，并不是完全依赖于外部律师来给他们意见，他们其实经常在和监管部门打交道，主动去了解去学习。

Joe 数据合规领域下，法律和科技的融合程度也是越来越高。监管不一定是坏事，不要把应对监管当作一个很可怕的事情，应该考虑用「迎接监管」或「拥抱监管」。在接受某一个部委的行政指导的情况下，这种「软执法」往往能够带动一个行业怎么去正确、更精确地去保护个人信息。我觉得，如果能在接受指导的情况之下，实现自律和他律两者之间的融合，会是一个比较好的个人信息的执法态度。

当然，对于那种非常明显的、毫无感知收集、超范围收集乃至欺骗隐瞒胁迫收集个人信息的行为，是必须要严厉打击的，严重的时候可以直接下架，这毫无疑问。但是对于一些细节情况，我们需要去探讨：比如怎么提高对个人主体的透明度，提高告知程度，如何实现单独同意，以及如何保障企业在个人信息的处理过程中的安全操作，是需要我们监管部门更进一步的。监管部门也需要看看行业他们到底能做到哪一步，这是一个良性的互动过程。

从企业的角度来看，我们会建议客户在产品开发的过程中去融入隐私设计的理念，在每一个环节都考虑怎么去融合，怎么去实现《个人信息保护法》《数据安全法》等一系列法律要求。如果到后期再去整改，这样成本就太大了，不如一开始就去实现。产品开发过程中，除了技术方案、商业方案，还应该要有合规方案。

近年来，个人信息主体主动提起诉讼的频率越来越高，提出的一些权利和行使要求还真的挺有意思的，反而能够去倒逼这些大平台大企业，在一些过去不太注重的环节更加全面地落实个人信息保护的那些要求。

总之，个人信息保护这个话题下，「企业和企业」「企业和个人」乃至「企业和国家」之间并不是一个非常激烈的对抗关系。很多时候，需要去沟通，需要行政指导，需要我们尝试运用个人信息的权利行使去促进行业发展。