在数字时代，我们每天都在与数据打交道：注册一个新App、扫码点餐、刷脸进小区、甚至只是浏览一则新闻——这些看似平常的操作背后，都悄然留下了一串串关于我们的信息足迹。姓名、手机号、身份证号、地理位置、消费习惯、社交关系、生物特征……海量的个人数据正以前所未有的速度被采集、存储、分析与流转。然而，当便利性成为技术推广最响亮的口号时，“用户信息能不能收集”“该不该这样收集”“收集之后如何保护”，却常常被有意无意地搁置一旁。

数据安全不是抽象的技术命题，而是关乎每个人尊严、自由与基本权利的现实议题。2021年《个人信息保护法》正式施行，明确将“知情—同意”确立为信息处理的首要原则。这意味着，任何组织或平台若想获取用户信息，必须以清晰、易懂、显著的方式告知收集目的、方式、范围及使用规则，并获得用户自愿、明确、单独的同意。可现实中，“默认勾选”“一揽子授权”“不授权即无法使用”的强制逻辑仍屡见不鲜。某出行平台曾因在用户未开启定位权限时仍持续读取后台位置信息被通报；某教育类App被查出在未明示的情况下，将学生人脸图像上传至云端用于行为分析——这些并非孤例，而是系统性漠视合规底线的缩影。

更值得警惕的是“过度收集”的惯性思维。许多应用索取的权限早已远超其核心功能所需：手电筒App索要通讯录，天气软件申请访问相册，计算器要求开启麦克风……这种“宁可多拿、不可少要”的做法，本质上是将用户数据视为可无限攫取的资源，而非受法律严格保护的权利客体。一旦数据在冗余环节中暴露、留存或泄露，轻则导致精准骚扰电话泛滥，重则引发仿冒身份贷款、电信诈骗甚至人身威胁。2023年某快递公司数据库遭入侵，超40万用户收发件信息外泄，后续衍生的钓鱼诈骗案件波及数百人——数据一旦失控，伤害便不再局限于虚拟空间。

而比“乱收集”更隐蔽的风险，在于“懒保护”。一些企业将《隐私政策》写成冗长晦涩的法律文本，用“可能”“包括但不限于”“相关技术手段”等模糊表述稀释责任；另一些则在数据存储上敷衍了事：敏感信息未加密、访问日志无审计、第三方SDK无管控、离职员工权限未及时回收……当安全投入被视为成本而非底线，当数据治理让位于增长指标，所谓“防护体系”便只剩一层薄纸。事实上，真正的数据安全不是堆砌防火墙或购买商业软件，而是将“最小必要”“目的限定”“全程可控”嵌入产品设计之初（Privacy by Design），落实到每一次代码提交、每一项功能上线、每一位员工培训之中。

用户亦非只能被动承受。提升数字素养，是捍卫自身信息权益的第一道防线：养成定期审查应用权限的习惯，对异常索权保持质疑；善用系统级隐私设置，关闭非必要定位与广告追踪；谨慎授权人脸识别、语音唤醒等高敏功能；发现违规收集行为，及时通过12377网络违法和不良信息举报中心或向网信部门投诉。每一个清醒的选择，都是对数据滥用的有力制衡。

数据如水，既能载舟，亦能覆舟。它本应是优化服务、提升效率的润滑剂，而不该成为刺探隐私、牟取私利的窥探镜。当一家企业把“不收集”作为默认选项，把“删不了的数据”主动提供删除通道，把“用户能否真正理解”作为条款起草的衡量标准——它才真正读懂了《个人信息保护法》字里行间的重量，也才真正配得上用户的信任托付。

别忽略数据安全，因为那不是服务器机房里的冷光代码，而是千万人真实生活的映射；用户信息不能乱收集，因为每一条被随意抓取的数据背后，都站着一个有温度、有边界、有权说“不”的具体的人。