经营者

切实落实“告知—同意”规则

明示处理个人信息的目的、方式和范围，并提供便捷的撤回同意方式。经营者不得采取一揽子授权、强制同意等方式处理消费者个人信息；未经消费者同意，经营者不得向消费者推送商业信息。

不得过度收集消费者个人信息

收集使用个人信息应具有明确、合理的目的，并限制在对个人权益影响最小的方式和实现处理目的的最小范围，不得过度收集消费者个人信息。经营者不得以消费者不同意处理其个人信息或撤回同意为由，拒绝提供产品或服务。

严格限制对敏等多感个人信息的处理

敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年的个人信息。

法律对其设置了特殊处理规则，即二十八条第二款中规定“只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。”

禁止“大数据杀熟”等行为

经营者不能利用自身掌握的消费者经济状况、消费习惯以及对价格的敏感程度等信息，对消费者在交易价格等方面实行歧视性的差别待遇，也不能在未获得消费者授权的情况下通过用户画像来开展精准营销。

互联网平台需当好个人信息保护“守门人”

提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者应按照国家规定，建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务。定期发布个人信息保护社会责任报告，接受社会监督。

消费者

积极学习《个人信息保护法》

通过对《个人信息保护法》等个人信息保护相关法律的学习，了解个人信息和敏感个人信息的处理规则、自身在个人信息处理活动中所享有的权利、个人信息处理者应当承担的义务以及个人信息权益受到侵害时的救济方式等，进一步提升个人信息保护的意识和能力，用法律武器来指导消费实践。

养成“非必要不提供”的良好习惯

消费者在接受服务时，要仔细阅读隐私协议等涉及个人信息的条款，明确经营者处理个人信息的方式、范围、目的和依据等，考量经营者处理个人信息理由的充分性和消费者提供个人信息的必要性，建议只在确属必要的情况下才向经营者提供个人信息或者进行授权。

对授权或者提供的个人信息持续跟踪

消费者接受个人信息条款或者向经营者提供个人信息后，还应随时关注经营者个人信息条款是否进行修改，经营者是否有保障个人信息安全的能力，经营者是否存在非法处理个人信息行为等。

当消费者不同意经营者继续处理其个人信息时，要积极行使“撤回同意”权利，要求经营者停止处理或及时删除其个人信息。

注意销毁带有个人信息的单据和资料

消费者要保护好带有个人信息的单据和资料，防止因随意丢弃、使用不当等造成个人信息泄露。如妥善处理未脱敏的快递单据等带有个人信息的单据和资料，使用完后应及时销毁，或是涂抹掉关键信息后再丢弃；

在向他人提供身份证等重要证件的复印件时，最好显著标识此复印件的用途；一些带有个人敏感信息的电子数据，如证件照片等，建议用完即删或者采用加密方式进行存储。

主动拿起法律武器维护合法权益

消费者应积极行使对经营者进行个人信息处理活动的监督权。当自身个人信息权益受到侵害或者发现经营者存在违法处理消费者个人信息行为的，要主动向个人信息保护管理部门或者消费者协会进行投诉、举报，提供案件线索和相关凭证，维护自身及其他消费者的合法权益。