2、如何共享、转让、公开披露信息；

3、如何使用Cookie和同类技术；

4、如何保护和储存个人信息；

5、如何管理个人信息；

 6、未成年保护。

对于上述的六大核心条款,既有因《网络安全法》提出的新要求，也有因监管层高度重视的“老问题”，对此，我们将逐一展开分析：

1、告知具体的收集和使用方式

鉴于网络运营者对于信息收集需求和使用的方式各不相同，无法在此一一例举，建议遵循明确告知收集的相关操作路径的方法，提升运作的透明度，以满足《网络安全法》的“合法、正当、必要”原则要求。

2、明确共享、转让的对象

将收集信息并同第三方共享是商业社会必不可少的情景，对于《网络安全法》规定的“他人”应做如何理解，可具体参考笔者发表的《从高德地图的<隐私政策>看互联网个人信息保护》（点击文章名即可阅读）一文。

3、对于cookie和相同技术的使用需说明

Cookie(“小甜点”)这种服务器暂存在设备上的小数据文件，在实现自动识别、轻松访问、判断安全等功能的同时，如同甜点一般获得用户和互联网服务提供者的青睐，然而正如甜点吃多了也有风险一样，Cookie却也存在默默地大量记录用户身份、密码等信息，容易造成个人信息泄露，且用户对收集用途缺少知情和拒绝的权利，因此无论国内外，Cookie的安全管理程度、是否有便捷明确的途径授予用户知情、选择和拒绝的权利等诸如此类问题一向引起监管层的高度重视。然而，一般来说，拒绝使用Cookie收集信息，又势必会影响到用户对产品或服务的体验，目前大部分网络运营者一般通过建议修改浏览器/账户的设置方式，或者是清除软件内保存的Cookie，来满足用户这一方面的安全需要和达到合规要求。同时，为了使Cookie这种隐性收集技术变得透明化、公开化，采取专章对Cookie的概念做出详细解释，并对如何实现提升质量、优化体验进行说明，以及逐一列举用途，成了较为普遍的做法。

4、从严保护和存储个人信息

（1）保护措施需到位

大量的数据安全事件引起了各界的警觉，为防止信息泄露、毁损、丢失，《网络安全法》第四十三条明文规定必须采取技术措施和其他必要措施。现有网络运营者在隐私政策中一般也对于传输加密技术、隔离保存技术、脱敏技术等常用的安全技术措施和使用规范制度、风险评估、培训制度等配套措施，予以详细规定。但企业也需要量体裁衣，根据自身情况且可以做到的技术和制度措施，切不盲目标示，吹嘘夸大企业的能力，而引起行政处罚的后果。

（2）存储和传输需从严

由于《网络安全法》对于关键信息基础设施的运营者，提出中国境内收集和产生的个人信息和重要数据应当在境内存储的强制性要求，而在关键信息基础设施的运营者的范围尚不明朗之前，对产品或服务的定性从严把握，直接强调“个人的信息放置在中国境内的服务器存储和使用”似乎达成了共识。

当然，对于个人信息的跨境转移问题，除了诸如人口健康信息、征信信息、金融信息已经明确禁止外，对于其他的信息，目前尚未有明文禁令，但也没有明确许可。如企业确有跨国传输之需要，除查明相关的法律法规之外，则可考虑在协议中增加诸如“需要跨境传输服务时，运营方会默认为继续使用中国境内的服务器”，“如果涉及向境外传输个人信息的，将明确告知用户的出境目的、接收方、安全保障措施等，并另外征得用户的同意”的规定，以符合我国日益趋严的监管要求。

5、应还权用户，赋予“被遗忘”的权利

“注册容易撤销难”是用户在使用产品或接受服务时普遍面临的问题，其实质是对于用户对数据的处分权的侵犯。为此，在隐私政策的设计和修改时，应还权于用户，使用户对其个人信息拥有一定程度的控制力。笔者建议，明确列出用户的权限，尤其是删除权、撤销权、注销权这三项权利需要做出更加细致的说明、操作指引，比如滴滴明确规定用户可以通过说明退订的方式、通过设备功能开关、解除银行卡绑定等方式撤回授权；支付宝则指出了注销操作路径；京东考虑到了账户注销行为是不可逆的，给予了30日的后悔期。