《信息安全技术个人信息安全规范》于2018年5月1日起施行

        中国国家标准化管理委员会发布《信息安全技术个人信息安全规范》（GB/T 35273-2017，下称“《规范》”），并于2018年5月1日起施行。

        《规范》虽属于推荐性国家标准，但从2017年7月，网信办、工信部、公安部等联合开展的隐私条款专项工作主要是以《规范（征求意见稿）》为评审依据，同时近期针对个别企业的执法动向也表明，《规范》事实上作为行政执法的评审依据等等情况来看，企业应当认真看待《规范》，并参考《规范》的相关要求开展本企业相关信息安全技术的个人信息保护工作。

        《规范》中的主要亮点包括：

        1、《规范》首次定义了个人信息相关的部分法律术语。例如，《规范》明确了“明示同意”，即个人信息主体通过书面声明或主动做出肯定性动作，对其个人信息进行特定处理做出明确授权的行为。肯定性动作包括个人信息主体主动作出声明（电子或纸质形式），主动勾选，主动点击“同意”、“注册”、“发送”、“拨打”等。这有利于企业实务规则的建立，同时在发生纠纷时，企业的合理抗辩也较容易被采纳。

        2、《规范》明确了个人信息收集、保存、使用、委托处理、共享、转让、公开披露的具体要求、个人信息安全事件处置的程序。这为企业制定个人信息收集规则提供了较为明确的指引和具体规则，可操作性较强。

        3、《规范》还提供了“个人信息示例”、“个人敏感信息判定”、“保障个人信息主体选择同意权的方法”、“隐私政策模板”等，供企业参考。