为确保合规，公司应遵循《个人信息保护法》的核心原则：1. 合法、正当、必要和诚信原则：仅收集与业务直接相关的最少必要信息。2. 告知同意规则：以显著方式、清晰易懂的语言，向用户公开处理目的、方式、信息种类、保存期限等，并取得个人单独同意（处理敏感信息需取得单独同意）。3. 目的限制原则：不得超出告知的范围使用个人信息。4. 安全保障义务：采取技术和管理措施防止信息泄露、篡改、丢失。5. 保障个人权利：建立机制响应用户的查阅、复制、更正、删除其个人信息的请求。实务建议：制定内部隐私政策，进行个人信息保护影响评估（特别是处理敏感信息或进行自动化决策时），与数据处理的受托方签订协议明确责任，并定期进行合规审计。