网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　来源：南方都市报

　　2018年5月1日，推荐性国家标准《信息安全技术个人信息安全规范》（以下简称“规范”）正式实施。这部贯彻《中华人民共和国网络安全法》（以下简称“网安法”）中个人信息安全要求的重要配套标准，从2016年4月开始起草，历经两年终于得以正式实施，从收集、保存、使用、共享、转让、公开披露等个人信息处理活动方面，填补了国内个人信息保护在具体实践标准上的空白。

　　据悉，共有33位拥有政策制定、技术标准、企业实践等各领域经验的专家参与了规范的起草。起草过程中有哪些争论？规范实施后预期将达成什么效果？目前企业实践的情况如何？针对这些问题，南都记者分别专访了三位起草人：北京大学互联网发展研究中心高级顾问洪延青、中国电子技术标准化研究院安全审查部技术总监何延哲，阿里巴巴集团法务部法律研究中心副主任顾伟，详述这部重要配套标准出台背后的故事。

　　诉求

　　标准绝不会比欧洲更严格

　　规范的出台早在计划之中。

　　2017年底，南都个人信息保护研究中心发布了《2017个人信息保护年度报告》。报告显示，逾八成平台的隐私政策透明度“不合格”，且个人信息保护不力的问题在各行业普遍存在，形势可谓严峻。

　　对于个人信息保护形势严峻的现状，阿里巴巴集团法务部法律研究中心副主任顾伟认为原因有两个，一个是直接法律缺位。“我国没有专门的个人信息保护法，整体个人信息保护规定还比较零散。”

　　北京大学互联网发展研究中心高级顾问洪延青也有同样的感受。他认为，2017年6月1日起正式实施的《网络安全法》中，关于个人信息保护的第四十条至四十五条只是原则性规定，“相比其他国家动辄一大本，中国的6条规定太少了”。因此，早在网安法实施之前，规范就作为首个细化的配套标准被提上了日程。

　　在制定规范的过程中，起草人先对O E C D、A PE C隐私框架、欧盟《通用数据保护条例》（G D PR）、国际标准化组织（ISO）以及美国个人信息保护相关法律法规等一系列立法和标准进行了通盘梳理，尽可能多地把可用内容“堆砌”出来，再结合中国自身情况不断提炼、精简。

　　规范和欧美标准相比哪个更严格？洪延青分析，起草团队的明确诉求是：规范可能会比美国做得稍微严一些，但是绝不会比欧洲严，而且会与欧洲拉开一定的距离。“当然，国内法律法规是基本底线。”顾伟强调。

　　“个人信息保护不力的另一个原因，是整个互联网行业还没有脱离野蛮生长时期。”顾伟指出，大多数互联网企业都是初创公司，发展历史较短，内部数据治理制度还不完善。“随着国家对个人信息保护更加重视，以及行业本身成熟度不断提升，企业才逐渐认识到了问题，然后去应对。”

　　除了客观环境的影响，企业主动合规的意识也很重要。中国电子技术标准化研究院安全审查部技术总监何延哲提到，有些企业虽然有技术、有能力，但是对个人信息保护不够重视；还有一些机构、组织、企业技术薄弱，甚至不具备技术队伍，达不到规范要求，这就需要专门的技术企业帮助。

　　博弈

　　用实践与理想版本做碰撞

　　南都记者了解到，在规范起草的开始阶段，不同背景的起草人有不同的分工。比如洪延青、何延哲主要负责整个框架的拟定，“在思路、架构、内容上直接大量参与”；顾伟则负责“企业落地无障碍”“与国际接轨”等方面，用企业积累的实践经验“跟规范的理想版本做碰撞”；起草团队甚至一度计划“从理想角度和实践角度各出一版”。但是到了后期，所有内容都“融合起来了”。

　　尽管起草团队在大方向上保持一致，却也难免因为每个人的背景和立场不同，在一些细则上发生博弈。

　　在最终出台的规范附录D《隐私政策模板》第5项“您的权利”中写道：“当您从我们的服务中删除信息后，我们可能不会立即从备份系统中删除相应的信息，但会在备份更新时删除这些信息。”这句看似简单的条款背后，曾发生过一次让顾伟印象深刻的争论。