《中华人民共和国个人信息保护法》（下称“个保法”）正式出台后，后续的标准细则如何制定备受关注。9月10日，中国信通院数据安全研究所研究员葛鑫在第七期南都数字经济治理论坛上分享了她的观察。

葛鑫表示，企业如何将个保法确立的“告知-同意”核心规则落地十分值得关注。《信息安全技术 个人信息告知同意指南》（下称《指南》）从如何告知、如何获得同意以及如何适用不同场景三方面提出了具体要求，目前正在送审阶段。

据了解，个人信息保护领域的标准主要由全国信息安全标准化技术委员会（下称“信安标委”）负责制定，其中个保法相关标准由信安标委下设的大数据安全标准工作组制定。

“网络安全法出台之后，整个个人信息保护相关的国家标准的制定情况是非常详实和扎实的。”葛鑫介绍，国家标准的推进情况分为三大类：安全要求类、实施指南类以及检测评估类。

个保法确立了“告知-同意”的核心规则，但具体怎样去告知、怎样进行同意，一直困扰着实务界，而饱受公众诟病的一揽子授权、强制索权等，都跟“告知-同意”的感受相关。

因此，葛鑫在会上着重介绍了《信息安全技术 个人信息告知同意指南》的制定情况。

她透露，在编制《指南》的过程中，重点考虑了三个方面：一是如何进行告知。“也就是明确什么情况下需要告知，什么情况下不需要告知，如何实现告知，告知的主要内容是什么，如何增加告知的友好度？”

葛鑫进一步解释，大多数情况下，公众对隐私政策的使用感和体验感并不好，而且隐私政策属于一般性告知，还需要让用户更加切实和充分地了解告知的内容。因此，她认为，对于位置信息等敏感个人信息，应该采用增强式告知和弹窗式告知，把告知以层次化的方式“实现一般和特殊的结合”。

二是如何获得同意，也就是一般同意、单独同意、书面同意等模式在各种业务场景下如何叠加分配的问题。“同意是作为一个合法性事由存在的，对于企业证明自己履行了合规义务十分重要”，她表示，因此《指南》对于企业如何证明同意、如何实现撤回同意等方方面面都进行了细化落实。

三是结合业务场景，如何实现不同场景下的告知和同意。葛鑫透露，《指南》考虑到企业的实现程度，在附录中规定了多类业务场景下的如何实现告知同意。不过，她也提到，目前对于处理未成年人个人信息、智能家居场景下和公共场所下的告知同意，仍然存在一些疑惑的地方，需要企业在共同努力推进。

个保法第五十五和五十六条规定了个人信息保护影响评估所适用的情形以及主要的评估内容。

作为企业代表，中国电信翼支付安全总监焦伟直言，以往企业参照的合规依据仅限于网络安全法、推荐性国家标准、部门规范乃至监管部门的执法案例，个保法出台丰富夯实了开展个人信息保护工作和个人信息影响评估的法律依据。

不过在葛鑫看来，企业仍然缺乏一个具体的指引。《指南》则从一个方法论的角度上告诉了企业个人信息保护影响评估的原理和实施流程。

“从个保法‘以风险为路径’的特点来考虑，在信息类型上突出了敏感个人信息，在信息主体突出了大型互联网‘守门人’的角色，因此在管理操作方式方面建立一个影响评估制度十分重要，所以我们建议企业对这个标准进行适度地关注。”她说。

焦伟则指出，对于企业来说，落实个保法不能仅仅只是企业法律合规和安全部门动起来，必须全员行动。比如管理层要清楚个保法明确了双罚机制，了解企业可能承担的违法后果；法务、信息安全部门要与业务团队一道，站在传统安全三性保护的基础上切实理解对于个人权益保护的要求；产品和技术经理要更新自己的知识储备，将个人信息保护、数据安全转化为设计产品和应用的基线标准；合规团队也应该开展全员的意识宣贯工作，让法律法规能潜移默化的影响每个人的行为准则；而每位员工作为职业人和用户的双重角色，需要换位思考如何保障用户和自身的哪些合法权益。

“我认为，当务之急应该推动定期开展个人信息保护影响评估这项工作的落地，识别业务活动处理的个人信息和个人敏感信息范围，判断我们处理用户个人信息的基于数据全生命周期的行为是否符合个保法的要求，确保企业处理个人信息的流程制度和主张权利，可以比照个保法对于处理者的一般义务规定要求落地执行，确保个人信息相关的信息安全事件、侵害用户合法权益的案例只停留在潜在风险分析评估阶段，确保企业的合规成本支出只是停留在对标环节，而不是应对监管处罚或个人维权。”焦伟说。

出品：南都个人信息保护研究中心

采写：南都记者蒋琳

编辑：李玲,蒋琳

更多报道请看专题：个人信息保护法来了
第七期数字经济治理论坛—个人信息保护法解读与展望

本文作者

李玲

3.65亿

南方都市报记者