网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　“让企业专门把所有备份找出来挨个删除，操作性很差，成本也很高，基本无法实现。”顾伟认为，从保护个人权益的角度来说，在线无法访问已经达到了目的，“不能为了保障个人权利，给企业施加过度的压力”。

　　最后讨论下来，决定后台不用“即时删除”用户个人信息，而是允许企业在每次备份更新的时候再一并删除，从而形成了现在的条款。

　　类似的争论在起草过程中还有不少。但在顾伟看来，规范的出台让国内企业对怎样才算做到个人信息保护合规，有了一个公认的、清晰的判断标准。洪延青也强调，规范主要起到引导作用，让企业法务在建立内部合规体系时，有一个条款清晰的公共产品可以引用。

　　何延哲则表示，网安法比较简单，偏重原则性和框架性，而规范可以在细节上作网安法的天然补充。“规范在设计时做到了"一个问题一个措施"，内容涉及方方面面、各行各业，希望规范能作为个人信息保护领域的核心和基础标准，得到广泛的应用。”

　　创新

　　打破受诟病的“一揽子协议”

　　三位起草人分别对南都记者表示，规范除了对网安法的原则性规定提出了细化标准，也有不少创新的提法和实施要点。

　　洪延青指出了规范的四个创新点：一是通过区分核心和附加功能，打破了被诟病已久的“一揽子协议”。也就是说，即使用户同意了隐私政策，也不意味着一并打开了附加功能；二是收集个人敏感信息需要做到增强式告知；三是对个人信息控制者内部的规范建设提出了明确要求；四是提出了个人信息安全影响评估的要求。

　　从实施要点的角度，何延哲提到，规范不仅首次对个人信息和个人敏感信息做了区分，还在对个人信息的处理上做了限制和规范。比如，规定了间接获取个人信息的合法性，使得数据交易有了参考标准，能有效遏制黑灰产等非法数据流通；又例如，进一步规范了个人信息的使用限制，即只有当企业的数据用途更改后超出合理关联的目的时，才需重新申请用户授权，“规范在频繁授权对用户造成打扰与维护用户合法权益之间取得了平衡”。

　　“个人信息保护光靠管理是不够的，一定要搭配技术支撑，才能更好地保护。”何延哲举例说，规范要求对个人敏感信息加密、在大屏幕上、网站上公示信息时进行去标识化处理；要求公司员工权限最小化，在数据被批量导出时引发报警机制，从而有效防止内鬼；还有建立个人信息清单，“稍大一点的企业应建立专门的数据管理系统，记录数据的生命周期”。

　　规范不只对企业有极大的指导意义，顾伟认为，它对用户也很有价值，而且两者的侧重点不太一样。

　　他指出，对用户而言，规范最大的价值在于，对收集、使用、共享、披露等个人信息处理活动需要向用户告知的充分性和完备性有一个较为明确的要求。

　　比如，一般信息怎么告知，涉及到个人敏感信息要告知到什么程度？“之前没有任何一部法律对具体告知细节做出规定，可是用户如果连处理个人信息的目的、方式、范围都不了解的话，怎么可能维护自己的权益？”

　　对企业而言，规范的很多规定其实企业已经在做了，所以顾伟觉得规范的附录可能更有指导意义一些。“合规要看细节，而规范里具体划分个人信息和个人敏感信息的细节规定，起到了定纷止争的作用。”他说，如果让企业自己去把握对个人信息的分级，很难有一个准确客观的标准，因为“业务员的理解跟合规人员的理解肯定是不一样的”。

　　实践

　　企业可自己制定合规体系

　　值得注意的是，规范是推荐性国家标准，不具有强制性。在洪延青看来，规范提出的方案只是符合网安法相关条文的一个“比较好的方案”，但“不是唯一方案”，有能力的企业完全可以根据自己的理解，制定一套自己的合规体系，并向主管监管部门证明其符合网安法。

　　事实上，由于各种网络产品和服务的业务场景模式各异，企业通常会根据自己的实际业务情况选择实践方案。