怎么合规运用个人数据？

数据安全法、个保法等一系列法律，给数据应用指出了方向，也给非法应用拴上了枷锁。各类公司，不能再随便处置数据，特别是个人数据了。

必须获得授权

无论通过什么方式获得个人数据、或为了个性化服务加工数据，都必须得到这个自然人的授权。

自然人向银行申请贷款就是一个合规的例子。最初，这些信息，都是客户主动提供的，客户填表、去公司开收入证明、去打印征信报告、去公积金中心打印公积金记录。后来，银行为了提供更好的客户体验，经过客户授权，主动去外部调阅征信报告，抵押情况等等，减少了客户需要主动提交的材料。这种两种方式，银行都是取得了客户的授权的前提下获得外部数据的，并且征信机构、政府机构与客户的协议里面也有向银行提供数据的条款，因此这种做法是合法合规的。

不合规的例子不少，我们接到各类房产、商铺、贷款营销的电话应该就是。很多不知名的公司，从不知道什么渠道获得了个人数据，定制话术推销、甚至诈骗。

个保法中，更明确了指出了自然人授权的方式。第一，要明确用途和方向，比如我使用百度app，百度app给我的协议里面，就告诉我，我的搜索信息将被用于分析广告用途，为了做好广告，还会被推荐给第三方。第二，必须双方授权，除了百度会要求我授权，接受数据的第三方也需要我的授权，才能加工这些信息。

要注意的是，所有含糊的从“合作机构”处获得数据的说法，都是不合法的。

非个性化服务需要做好匿名

如果获取数据时候已获得授权，后续为了非个性化的服务进行数据加工，则加工过程本身不需要再次获得授权。

比如，某家公司利用自己所有客户的数据，统计各地区客户消费金额偏好，这类数据加工的结果是统计值，无法反推出每个客户的具体情况，那么这样是合规的数据利用方式。

又比如，两家公司分别拥有客群的消费特征、收入情况，当两家公司联合运用数据建模，分析每个收入子客群的消费偏好时，只要确保事先将建模数据匿名化，那么对方公司就不能获得对方客户的隐私信息，就能保证数据运用是合规的。

特别需要注意的是“匿名化”并不是只是隐藏客户手机号、身份证、姓名等关键信息，对年龄、住址、收入、工作单位等可以反推真实身份的信息也要变形，确保变形后的数据不再能定位到具体自然人。

隐私保护

总的来说，进行个人数据分析的前提是保护隐私。法律法规的到来，让我们能在尊重自然人隐私的情况下，营造一个清朗健康的商业环境。