2018年5月1日，国家标准《信息安全技术 个人信息安全规范》正式实施，从收集、保存、使用、共享、转让、公开披露等个人信息处理活动方面，填补了国内个人信息保护在具体实践标准上的空白。2019年2月1日，全国信息安全标准化技术委员会发布了《信息安全技术 个人信息安全规范（草案）》（以下简称“规范”），面向全社会公开征求意见。目前公开征求意见阶段已经结束。

本次修订于2018年12月开始，距离2018年5月正式实施刚过半年，可见社会对个人信息保护需求之迫切。规范进一步回应和疏解了公众对个人信息保护的个中焦虑，以“用户有权拒绝个性化推送”的明确态度宣示公民隐私权利的神圣。

本文就规范新增内容中所涉及的三大场景解读如下：

许多人都遇到过这样的情况：安装一款App，却发现所有功能都捆绑在一起，App运营者给出“一揽子协议”，声称不收集用户信息就没法提供服务。面对“一揽子协议”，用户要么只能全盘接受，要么只能退出走人。这样的行为表面上征得了用户的明示同意，实际上却是用“不同意就退出”强迫用户同意。

本次规范划分基本业务功能和扩展业务功能，明确过度收集、强迫收集、捆绑授权个人信息等乱象不符合法律和监管要求，就是为了解决类似的捆绑授权问题。区分两类功能时，个人信息控制者应以一般用户的根本期待、主要需求及认识理解为依据，而不能仅以企业自身的想法为依据。

举例来说，一个影视娱乐App，用户使用它的根本期待与主要需求是观看影视资源，所以联网功能、存储功能可以算是该App的基本业务功能。但如果该App还要求获取用户的地理位置、通讯录等个人信息，并且声称获取这些信息是出于服务需要，这其实就超出了一般用户的认识，属于App运营者按照“自身想法”去划定基本业务功能。

在确定用户对一款App的根本期待和主要需求时，主要依据“个人信息控制者对所提供产品或服务开展的市场推广和商业定位、产品或服务本身的名称、在应用商店中的描述、所属的应用类型等因素。”

那么对于这两种业务功能应分别如何获取用户的同意呢？规范增加了“附录C保障个人信息主体选择同意权的方法”，明确了不同业务功能应用场景下不同的告知和明示同意的方法，还设计了可供经营者参考的交互式功能界面。

去年12月4日，同程艺龙因小程序默认开通会员、未公示用户个人信息收集使用规则等问题，被工信部约谈并要求立即整改。同时，工信部要求腾讯对所分发的应用小程序加强管理。不久前发生的“头腾之争”，抖音发布声明称，新用户无法正常以微信授权的方式登录并使用抖音，也与第三方接入管理有关。

目前，应用程序中接入/嵌入第三方产品或服务的应用场景十分常见，一旦发生合规漏洞，平台商和第三方往往无法明确双方的责任和义务，而数据主体也很难去追究第三方产品或服务提供商的责任。为顺应新技术、新产品形态的发展，本次规范结合了行业良好实践及主管部门的监管态度，提出平台商作为个人信息控制者应当履行一定的合规义务，例如在接入具备收集个人信息功能的第三方产品或服务时，修订草案强调企业应当建议相关的管理机制和工作流程，必要时应建立安全评估等机制设置接入条件，同时与第三方产品或服务提供者通过合同等形式，明确双方的安全责任及应实施的个人信息安全措施。具体如下：

对于这一制度的具体实践，起草专家建议，责任划分的部分需要个人信息控制者和第三方共同决定。“最终的目的是当用户的利益受到侵犯时，必须要有人担起相应的责任。”

基于用户画像作定向推送、个性化展示等个人信息应用场景是个人信息使用的常见方式，也是人们反映的热点问题。这种精准推送或精准营销，让大家不时感觉自己的生活被人窥探，“贴心”反成“惊吓”，引起了部分目标用户的焦虑和反感。同时，北京大学法治与发展研究院高级研究员洪延青在阐述这条规定的设计原因时表示，有时候个性化的信息推送方式会带来偏见等错误认知。“举个例子，不能因为用户搜索了一次飞机失事，App就一直给用户推送与飞机失事有关的新闻。这样的个性化推送会让用户觉得天天发生飞机失事，但现实并非如此。”

针对这种大数据杀熟、滥用定向广告等行为，2019年1月1日正式施行的《电子商务法》第十八条就规定：“电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的，应当同时向该消费者提供不针对其个人特征的选项，尊重和平等保护消费者合法权益”。

与此呼应，规范首次阐释了“个性化展示”的定义，并细化了相应的操作规则。个性化展示是指：“基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息，向该个人信息主体展示信息内容、提供商品或服务的搜索结果等活动。”

对于“个性化展示”的操作规则，规范划分为三种不同的场景，包括“向个人信息主体推送新闻或信息服务的个性化展示”，“电子商务经营者提供商品或者服务搜索结果的个性化展示”以及普遍意义上“向个人信息主体提供业务功能的过程中使用个性化展示”。具体规定如下：

也就是说，精准推送通常以企业给用户贴上的各种标签为基础，用户应该有权更改和选择企业基于哪些标签推送。一方面用户要真心实意地同意App给自己推送，另一方面推送的内容也应该是用户想要的，而不像以前是简单粗暴、强制地推送。

早在去年欧盟《一般数据保护条例》生效之际，一些知名的网络产品已经上线相关的隐私功能，用户可拒绝个性化广告。比如Twitter的“兴趣与广告数据”设置中，用户能查看并自主添加Twitter平时根据用户的行为标记出来的用户兴趣爱好等特征值。目前国内也有今日头条和爱奇艺等部分App向用户推出是否关闭程序化广告的功能。

首先，规范是推荐性的国家标准，国家鼓励采用推荐性标准。如果企业的做法与规范的规定不相符，并不一定就是违反了《网络安全法》关于个人信息保护的相关要求，但需要向监管部门证明符合《网络安全法》，也就是说，如果企业的做法符合了《个人信息安全规范》的要求，则会有效降低违反《网络安全法》的几率。因此，规范是用于《网络安全法》合规的一个重要的参考，实际上给企业的个人信息合规、内部制度建设等提供了大量现成而具体的指引，为行业厘定了边界。

同时，2019年1月25日中央网信办、工业和信息化部、公安部、市场监管总局联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》（以下简称“公告”），决定自2019年1月起至12月，在全国范围组织开展持续时间长达一年的App违法违规收集使用个人信息专项治理行动。其中，公告指出：“全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会，依据法律法规和国家相关标准，编制大众化应用基本业务功能及必要信息规范、App违法违规收集使用个人信息治理评估要点，组织相关专业机构，对用户数量大、与民众生活密切相关的App隐私政策和个人信息收集使用情况进行评估。”也就是说，国家在治理违法违规App时，不仅会依据法律法规，也会依据国家相关标准，对App隐私政策和个人信息收集使用情况进行评估。而本次规范修订正与上述四部门联合开展个人信息专项治理的工作要求相一致，为企业自查及合规整改提供了良好指引。

《网络安全法》规定了我国个人信息保护的基本框架，国家标准《个人信息安全规范》在此基础上为企业完善内部个人信息保护制度及实践操作规则提供了更为细致的指引，自其正式发布以来被广泛应用于各行各业的合规实践中。尽管规范属于国家推荐标准，但在我国尚未出台《个人信息保护法》、且其他法律（包括《网络安全法》）缺乏具体可操作的个人信息保护规则的情况下，其作为监管部门网络安全管理和执法的参考依据的重要性不言而喻，同时相关监管部门似乎也已将规范作为衡量企业个人信息保护水平的重要标尺。建议企业结合《个人信息安全规范》的良好实践指引，逐步提高个人信息保护水平，为其产品与服务保驾护航。