网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　以用户授权同意为例，大多数企业理解的最佳实践方案，是提供一个未勾选的勾选框，用户勾选之后才能点击同意。但也有企业采用的是“最低”的合规方案，即明文表示“点击同意之前，请详细阅读并知悉协议内容”，但不提供勾选框。这两种方案都达到了引导用户阅读相应的授权文件的目的。

　　如果涉及到与人身财产权益相关的个人敏感信息，还有更严格的方案：比如必须把协议从上到下拉到底，或者阅读时长必须达到一定标准，勾选框才会出现，否则用户无法点击同意。

　　“只能说各家业务情况不一样，所以具体的实践方案不一样，这也是正常的。”顾伟解释说，比如航旅纵横是平台，应用场景较为单一，微信是社交平台，淘宝是电商平台……各家采集的数据类型、敏感程度、涉及到权利义务的安排，都有自己的特色，需要基于企业自身的实际情况具体设计授权方案。但“至少规范提供了客观范例，不会偏差太多”。

　　顾伟透露，阿里正在开发的数据安全成熟度模型，国标已经立项，正在加速推进。而个人信息保护不仅是数据安全成熟度的重要指标，也在数据研究成熟度模型里适用。“这一切的核心目的，是让企业探索最适合自己的数据治理实践方案。”他说。

　　不可否认的是，规范是个人信息保护领域较为系统的指引之一，尤其附录展示的很多实践细节让企业有章可循，即使对个人信息保护的认识不多，也可以直接参照范例把握企业政策的走向，从而降低合规成本。正如顾伟所了解到的，“企业（对规范）欢迎居多，因为省了很多事”。

　　这一点也在调研数据中有所反映。何延哲透露，中国电子技术标准化研究院近日对100家企业调研发现，相比之前，有60家企业在个人信息保护合规上做了改进，体现了企业对网安法和规范的重视。

　　顾伟指出，规范更多的还是一个配合网安法出台、指导企业保护个人信息的综合性、统领性国标，有些具体细节还有待其他国标进一步规定。何延哲也向南都记者表示，中国电子技术标准化研究院将于近期发布《个人信息安全规范》标准的实践指南，该指南将为有意按照规范进行改进的企业提供有效帮助。

　　采写：南都记者 李玲 蒋琳 冯群星