网络产品收集用户信息的7大“责任清单”与“避坑指南”

随着网络安全法的深入实施，网络产品服务提供者在收集用户信息时面临越来越严格的法律责任。以下7个要点，以问答形式为你厘清责任边界，避免踩雷。

问1：收集前必须做什么？答：必须明示收集规则，包括目的、方式和范围，并取得用户明确同意。不得以默认勾选或模糊条款代替。

问2：可以“最少够用”吗？答：是的。只收集与产品功能直接相关的必要信息，不得过度收集。例如，一个手电筒APP不需要读取通讯录权限。

问3：信息存储有何要求？答：必须在境内存储，且采取加密、访问控制等安全措施。发生泄露需在72小时内向主管机关报告，并通知用户。

问4：用户有删除权吗？答：有。用户有权要求删除其个人信息，提供者应在法定期限内响应，不得设置不合理障碍。

问5：委托第三方处理合规吗？答：可以，但必须签订协议明确安全职责，并监督第三方行为。委托方仍对用户承担主要责任。

问6：跨境传输有何限制？答：原则上禁止向境外传输个人信息，除非通过安全评估、认证或签订标准合同，并告知用户。

问7：违规后果有多严重？答：最高可罚款5000万元或上一年度营业额的5%，相关责任人可能被禁止从事行业。

记住，合规不仅是法律要求，更是赢得用户信任的基础。从收集到删除的全生命周期管理，是每个服务提供者的必修课。