编辑导读：昨日，《个人信息保护法》正式生效。《个人信息保护法》的实施，意味牺牲个人信息换体验、大数据杀熟的时代已结束，大数据时代、数字世界，有法可依了。产品经理需要对其仔细研究，对产品设计也提出了新的需求。本文作者对此进行了分析，与你分享。

2021年11月1日，《个人信息保护法》正式生效。

这部法律于2021年8月20日通过，于2021年11月1日起施行。这是数字世界的基本法。

2021年10月29日，微信 8.0.16新版本发布，大范围更新了隐私政策、个人信息和权限等功能，也是为了满足《个人信息保护法》的基本要求。

2021年10月31日，苹果公司给国内开发者发送邮件，说明苹果已积极为我国11月1日实施的《个人信息保护法》做好准备。

《个人信息保护法》的实施，意味牺牲个人信息换体验、大数据杀熟的时代已结束，大数据时代、数字世界，有法可依了。

《个人信息保护法》，每个产品人都建议认真看看，这对我们开展产品设计工作，提供了最基本的指导。

下面就《个人信息保护法》一些内容，结合产品设计案例，分享给大家。

希望对你开展产品工作有帮助。也欢迎大家分享给身边的朋友。

1、遵循知情、同意原则

个人信息处理者（平台、组织或个人）在取得个人的同意后，方可处理个人信息。基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。

所谓知情，是指获取用户任何个人信息时，都需要告知用户获取哪些信息？用途是什么？通过什么方式获取？

比如需要用户授权手机地理位置，需要明确范围（地理位置）、用途（定位与导航）、方式（授权）。

所谓同意，是指需要用户主动点击同意、主动勾选，而不是产品界面默认。

2、信息处理发生变更的，需要用户重新同意

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

比如业务调整，对用户的信息收集、使用有变化导致隐私政策有变化时，需要重新告知用户并取得同意。

3、个人有权撤回其之前的同意

基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

也就是用户之前同意了，用户可以反悔，容许用户“任性”。

这和容许用户退货一样，双11冲动买了很多东西，现在后悔了可以退。

4、不能因拒绝授权而暂停服务

个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务。处理个人信息属于提供产品或者服务所必需的除外。

比如，不能因为用户不授权地理位置权限，就拒绝为用户提供点餐功能。

不能因用户不登录，就不能查看APP中的资讯、商品等内容。

但是，用户不授权相机权限就不能拍照，这是可以的。因为拍照需要要相机权限。

5、个人信息处理规则应公开，方便查阅和保存

个人信息处理者通过制定个人信息处理规则的方式告知用户的，处理规则应当公开，并且便于查阅和保存。

比如，个人中心或产品其他地方，能查阅用户协议、隐私政策、授权协议、信息处理规则等内容。

6、多个平台处理用户信息时，独立约定各自权利和义务

两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务。

比如，在借款时，有多方平台提供服务。这时需要各平台提供各自的协议。

7、多个平台处理用户信息时出问题，承担连带责任

个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。

用户也像平台那样，非常清楚的知道哪个服务是哪个主体提供的。

同时，多个平台联合对用户提供产品和服务，如果有盈利，共享收益。所以出问题承担连带责任，也是合理的。

没有只享受收益不承担责任的事。

8、不能大数据杀熟

个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

这就是明确说，不能大数据杀熟。

9、需要提供关闭「个性化推荐」的功能

通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

这就是说，所有做个性化推荐的产品或服务，都需要提供关闭「自动推荐」的功能。

比如抖音，应该提供「个性化推荐」关闭的服务。类似这样。

微信已在最新的8.0.16新版本中，提供了「个性化广告推荐」关闭功能。

10、不敢处于什么目标，未经用户同意，不能公开用户信息

个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。

用户的信息只用于业务开展，不向其他个人或主体显示。

比如，中奖后，如果没有取得用户同意，不能公开宣传。

公示用户活动参与信息，要打掩码。三方服务上报信息，不要用敏感信息。

11、未成年保护从严

个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。

个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。

如果你的产品或服务，对未成年开放，那对于未成年的信息处理，尤为注意。

需要专门有一套隐私协议、个人信息处理规则。

12、可查阅、可复制、可转移

个人有权向个人信息处理者查阅、复制其个人信息。

个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。

微信已在最新的8.0.16新版本中，提供了「导出个人信息」的功能。

方便你导出数据，进行查阅、转移。

13、可更正、可补充、可删除

个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。

指定情况下，如产品已暂停服务，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除。

个人信息，需要提供修改、更新入口，修改或更新后，平台需要做好核对。比如更换手机号。

用户可进一步补充个人信息，这个很好理解。

这些情况下，平台需要对用户信息进行删除，或用户可要求平台删除：

1）处理目的已实现、无法实现或者为实现处理目的不再必要

2）个人信息处理者停止提供产品或者服务，或者保存期限已届满

3）个人撤回同意

4）个人信息处理者违反法律、行政法规或者违反约定处理个人信息

5）法律、行政法规规定的其他情形

14、平台有「举证倒置」的义务

处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

今天我通过某中介买房，付了个首付，第二天就接到装修公司、贷款公司、家居公司的各种电话。我怀疑是你中介，泄露了我的信息，但我没有证据。但是中介公司，请你证明你没有泄露。如果你证明不了，你将承担赔偿责任。

非常赞的一个措施，这将极大降低消费者的举证难度。对各消费平台是非常大的震慑。

15、规范数据跨境流动

关于「个人信息跨境提供」具体内容，大家可自行查看。

对于数据跨境流动，这点非常严格，因为涉及国家安全。如果是国际化产品，这点要尤其注意。

16、关于处罚，比垄断有过而无不及

情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款。

2021年4月，阿里因为二选一，被处以2019年中国境内销售收入的4%，约182亿人民币的罚款。2021年10月，美团同样因为二选一，被处以2020年中国境内销售收入的3%，约34亿人民币的罚款。个人信息安全出严重问题，处上一年度营业额5%以下罚款。以上，只是《个人信息保护法》中的部分内容，多数和产品设计有关。希望对你有帮助。欢迎分享给身边人。

#专栏作家#

岳老三，微信公众号：产品笔记（ID：cpbiji），人人都是产品经理专栏作家。7年产品工作经验，前网易、陌陌高级产品经理。任何商业进化的方向是效率的提升，喜欢用产品思维挖掘事物本质。相对擅长产品分析、产品设计、逻辑思维等。

本文原创发布于人人都是产品经理。未经许可，禁止转载

题图来自unsplash，基于CC0协议