根据《个人信息保护法》，公司作为个人信息处理者，必须履行以下关键义务以确保合规：1. **合法、正当、必要与诚信原则**：收集个人信息应有明确、合理的目的，并限于实现处理目的的最小范围，不得过度收集。2. **告知同意**：在收集前，以显著方式、清晰易懂的语言，向个人如实告知：处理者身份、处理目的、方式、种类、保存期限，以及个人行使权利的方式和程序。取得个人单独同意（或在符合法定情形下取得同意）。处理敏感个人信息、向他人提供、公开、用于自动化决策、跨境提供等，需取得单独同意或书面同意。3. **保障个人权利**：建立机制保障个人行使查阅、复制、更正、补充、删除、解释说明等权利，并在法定期限（通常15个工作日）内响应。4. **安全保障措施**：采取必要技术和管理措施（如加密、去标识化、访问控制、安全培训）防止信息泄露、篡改、丢失。制定应急预案，发生泄露时立即补救并通知监管部门和受影响个人。5. **合规管理**：指定个人信息保护负责人（处理达到规定数量），定期进行合规审计。处理重要数据或达到规定数量的公司，需在境内设立主要机构或指定代表。6. **跨境提供规则**：向境外提供个人信息，需通过安全评估、保护认证或订立标准合同等法定途径之一。务必避免“一揽子”授权，区分业务场景获取同意，并留存完整的同意记录与操作日志。