个人信息保护法实施，互联网平台「守门人」如何避免再次「踏雷」？( 四 )_李静|陈阳|咖啡店|下沉|外卖

“个人信息是很复杂的，大家暂时能够解决的结构化数据有一定规则，非结构性的那些数据，它的隐患可能外部目前没把它监测出来，具体的非结构性数据，需要具体的什么工具什么解决技术，这个需要长期探索。”
另外，从其它一些厂商自己都没注意到的角度来说，上述涉及到相关信息会给到平台当中几十甚至上百个关联方这种情形，用户如果遇到信息泄露很明显的情况，各种排查找不出原因，可以回过头仔细阅读它的隐私政策条款，这些隐私条款可能还有可待商榷的地方，但用户自己确实选择了同意。
4. 守门人3类分法，哪一类根据个信法处理对应需求，难度最大，任务最重？
个信法中提到“大型互联网平台判定条件有提供重要互联网平台服务，用户数量巨大，业务类型复杂”，关于“业务类型复杂”，根据金杜律师事务所的分法，以下3类模式可能被认定为“业务类型复杂”

超级App+小程序，第三方小程序可能存在大量个人信息收集，共享，处理活动。
内嵌多种业务的单一App，比如同时提供外卖，在线旅行，移动出行，社区团购，金融服务等等。
通过多种渠道提供在线服务。不同服务之间可能出现交互，构成体系性的复杂业务网络。

「那哪一类近期根据个人信息保护处理对应需求，难度最大，任务最重？」
据360大数据安全协同技术国家工程实验室专家童磊的看法，按以上维度来分的话，“第三种跨实体的，并且跨品牌的最难，因为涉及到了边界管控和数据交换，因为相关方数量越多，场景就越复杂，数据安全风险就越大，整改成本也越大。”
网络尖刀创始人曲子龙则认为，看似不同的业务属性，实际上从合规角度来讲，“需要的都是从原始的一次性授权，转向分批次授权的转变，用到哪个业务时再申请哪个权限，用户没有使用就不需要对此授权，在自己的业务内这样重新定义权限的使用和获取其实并不难，以微信小程序为例，小程序的开发者本身就是需要向微信申请权限再使用的。
依托先申请授权再使用原则，其实能解决大部分隐私授权问题，而被广泛关注的‘大数据杀熟’、‘个人信息滥用’ 这些问题本身就是违法违规的作恶问题，不存在怎么整改这一说，本身就是必须立即停止不能做的事情。”
四、11月始，如何避免再次“踏雷”从法律层面，除了市面上众多律所根据《个人信息保护法》第五章个人信息处理者义务规定的九大义务：

制定内部管理制度和操作规程；
对个人信息实行分类管理；
采取相应的加密、去标识化等安全技术措施；
定期对从业人员进行安全教育和培训；
制定信息安全事件应急预案；
处理个人信息达到国家网信部门规定数量的义务；
处理境外（有境外业务）企业的特殊业务；
定期合规审计；
对特殊情形的个人信息处理活动事前进行个人信息保护影响评估。

互联网平台守门人要额外谨记上述针对互联网平台“守门人”的特殊对外，对内5小义务：

对外：接受外部独立机构监督；定期发布社会责任报告。
对内：按照国家规定，建立健全个人信息保护合规制度体系；制订平台规则，明确平台内部规范和义务；对平台内部产品或者服务提供者的监督。

从企业层面，据网络安全厂商反馈，360大数据安全协同技术国家工程实验室专家童磊基于自己上述所提的多数平台对自己平台内部产品或者服务提供者的监督治理这个问题，表示360已经有一些成熟的方案和产品实验室凭借多年在行业、企业的实践积累与国家监管机构，包括与网信办，工信部，公安部相关部门开展合作，建立了多个大数据安全技术技术平台，可以解决大部分行业痛点难点问题。