功能和信息一一对应，先说功能再说信息。监管：不能多个功能对应同一个信息→为了清晰

《个人信息安全规范》

隐私政策一揽子获取基本业务功能，监管逻辑；扩展业务对应的，单项授权；扩展业务且敏感，弹窗提示授权

实际业务偷懒就都做弹窗授权，隐私政策可以写扩展业务功能，但不能免除在使用时再授权——就高不就低

例：京东app

隐私政策分必须授权/可以选择

3、业务功能与所收集个人信息类型一一对应

写法上应以功能为基础，说明其需要的信息类别。

避免出现一类个人信息对应多项业务功能的情形

建立清晰的对应关系，便于主管部门监督检查和用户维护权益

4、基本业务功能与扩展业务功能的区分

《个人信息安全规范》的思路变化

从区分一般信息/敏感信息到区分业务功能/扩展业务功能，中国法与GDPR在这一点上的区别

获取授权同意的三个层次：

隐私政策获取基本业务功能的授权

开启功能时获取扩展业务功能的一般个人信息的单项授权，

开启业务功能时弹窗提示获取敏感信息的单项授权——就高不就低，实际简化为两个层次