用户信息安全和隐私，是每个公司的红线。

但是大多数公司的产品，为了利益，都在红线边缘疯狂试探。基本每天，都有关于用户信息安全和隐私的新闻。9月11日，包括《和平精英》、《天天酷跑》等14款游戏存在超范围采集用户信息，被国家计算机病毒应急处理中心通报。9月12日，李开复先生在公开发言中提到“我们早期帮旷视科技从美图、蚂蚁金服等合作伙伴拿到了大量的人脸数据”，蚂蚁金服随即澄清“蚂蚁集团从未提供任何人脸数据给旷视科技”，李开复先生不得不微博道歉。9月14日，工信部向社会通报了，包括蛋壳公寓在内的23款侵害用户权益APP给予下架，因未按要求完成整改。时至今日，用户信息安全和隐私保护（数据安全和隐私保护）的重要性，已经提到了前所未有的高度。用户信息安全和隐私保护包括：收集、存储、分析、应用四个方面。而用户信息收集最容易出问题、也最显性可见的部分，也是产品经理接触最多、参与最深、甚至就是产品经理定义的部分。产品经理在产品设计中，尤其要注意。稍不注意，埋下天雷。

一 最常用的6大用户信息保护原则这里总结了关于用户信息收集层面的6大指导原则，供参考。1、用户知情原则获取用户任何个人信息时，都需要告知用户获取哪些信息？用途是什么？通过什么方式获取？比如需要用户进行实名认证，需要明确范围（姓名+身份证号）、用途（反洗钱）、方式（用户填写）。

比如需要用户授权手机地理位置，需要明确范围（地理位置）、用途（定位与导航）、方式（授权）。

所有的信息收集，都需要遵循这个原则。

如果有些用户信息收集不可见，比如cookies或设备号等，需要在隐私相关协议中说明。

2、用户主动同意原则用户知情，还不行，还需要用户主动确认。所谓主动确认是指需要用户主动点击同意、主动勾选，而不是产品界面默认。那些默认勾选相关协议的，都是有风险的、不合规的。

3、信息收集最小可用原则对于用户信息收集的范围，有个规定：最小可用。也就是为了业务开展，只能最小化收集最必要的信息。但现实情况是，多数公司和多数产品，都在最大化收集用户信息。大家经常说：这些信息不知道做什么用，先存下来再说。下次说这句话、做这个事时，要谨慎。

4、隐私原则是指用户的信息只用于业务开展，不向其他主体显示。

中奖用户公示，要打掩码。三方服务上报信息，不要用敏感信息。不用共享数据，需要共享数据才能开展业务的，比如债权转让，做好明确说明并让用户授权。更不要买和卖用户数据，重罪。

5、可关闭原则用户授权后，是需要允许关闭授权的。

用户注册账号后，是需要允许注销账号的。

总之，让用户操作可以。

6、未成年保护原则对未成年的保护，最为重要。对影响未成年身心健康的打击，最为严厉。禁不良、防沉迷、可退款，对于儿童/青少年产品，是最低要求。我们看到，现在视听、直播、游戏、娱乐平台，无一例外都增加了青少年模式，禁用部分功能。

并且还会越来越严。

二 个人信息和个人隐私信息范围哪些属于用户个人信息和个人敏感信息？大家可能对其范围比较模糊。按照官方定义：指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。本定义出自于GB/T 35273-2020《信息安全技术 个人信息安全规范》。个人信息具体包括但不限于：

个人信息举例

个人基本信息

个人姓名、生日、性别、民族、国籍、家庭关系、地址、个人电话号码、电子邮箱等

个人身份信息

身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等

个人生物识别信息

个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等

网络身份标识信息

个人信息主体账号、 IP 地址、个人数字证书等

个人健康生理信息

个人因生病医治等产生的相关记录，如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等，以及与个人身体健康状况相关的信息，如体重、身高、肺活量等

个人教育工作信息

个人职业、职位、工作单位、学历、学位、教育经历、工作经历、培训记录、成绩单等

个人财产信息

银行账户、鉴别信息(口令)、存款信息（包括资金数量、支付收款记录等）、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等，以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息

个人通信信息

通信记录和内容、短信、彩信、电子邮件，以及描述个人通信的数据（通常称为元数据）等

联系人信息

通讯录、好友列表、群列表、电子邮件地址列表等

个人上网记录

指通过日志储存的个人信息主体操作记录，包括网站浏览记录、软件使用记录、点击记录、收藏列表等

个人常用设备信息

指包括硬件序列号、设备 MAC 地址、软件列表、唯一设备识别码（如IMEI/Android ID/IDFA/OpenUDID/GUID/SIM 卡 IMSI 信息等）等在内的描述个人常用设备基本情况的信息

个人位置信息

包括行踪轨迹、精准定位信息、住宿信息、经纬度等

其他信息

婚史、宗教信仰、 性取向、未公开的违法犯罪记录等这个人信息里面，包括个人敏感信息，这部分需要更加注意安全和保护。

个人敏感信息：是指一旦泄露、非法提供或滥用可能危害人身或财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。本定义出自于GB/T 35273-2020《信息安全技术 个人信息安全规范》。个人敏感信息具体包括但不限于：

个人敏感信息举例

个人财产信息

银行账户、鉴别信息(口令)、存款信息（包括资金数量、支付收款记录等）、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等，以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息

个人健康生理信息

个人因生病医治等产生的相关记录，如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等

个人生物识别信息

个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等

个人身份信息

身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等

其他信息

性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通讯录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等

三 细思恐极的短片这是一个关于个人信息的短篇，比较接近我们的生活了，细思恐极。

用户信息安全和隐私保护，到了不得不重拳出击的时刻。

关乎我们每个人。

对于用户信息安全和隐私保护，要记住：但凡你认为可以讨巧的、可忽略了，往往就是会让你中招的。你可以核对下，你参与或负责的产品，是否满足了上述6个原则。