中国发布的《信息安全技术 个人信息安全规范》的修订版将于2020年10月1日起生效。修订后的新规定侧重于确保个人信息控制者为处理个人信息而获得的同意是自主作出的、具体的和知情的。

此外，还增加了新的要求，以加强对使用新技术（如用户画像和人工智能）处理的个人信息的保护。同时，与欧盟类似的的合规措施也被引入。

本文重点介绍了本次修订的主要的变化，并阐述了我们的观点。我们建议在中国处理个人信息的公司熟悉新的标准，并及时采取措施以符合监管要求。

背景

《规范》修订要点

我们的观察

在没有统一的国家层面的个人信息保护法的情况下，2016年11月颁布的《网络安全法》是中国保护网络上处理的个人信息的主要立法。

为贯彻《网络安全法》的原则要求，国家市场监督管理总局、国家标准化管理委员会于2017年12月首次发布了《信息安全技术 个人信息安全规范》（“《规范》”）。

《规范》对个人信息控制者处理个人信息提出了详细的要求（单击此处查看文章）。

《规范》是推荐性国家标准，因此严格地讲其要求不是强制性的，违反也不一定会引起法律责任。然而，该《规范》可以指引监管机构对个人信息处理活动进行监管，因此可作为《网络安全法》和其他法律法规中个人信息保护规定的执法所参考的基准。

《规范》的非强制性性质也反映出监管机构采取分阶段的渐进式立法策略，即与利益相关者一起测试相关要求，并为未来的强制性立法和标准铺平道路。