記者從全國信息安全標準化技術委員會獲悉，由該委員會制定和歸口管理的個人信息保護國家標準《信息安全技術個人信息安全規范》（G B /T35273-2017）于日前正式發布，內容涵蓋個人信息的收集、保存、使用、共享轉讓以及安全事件處置等方方面面。該《規范》將于2018年5月1日開始實施。

      近年來，因APP默認勾選、第三方數據采集等問題引發的糾紛頻出，個人信息保護的議題被高密度置于公共視野中。大數據時代，消費者該怎樣保護自己的合法權益，怎樣維護自己的隱私、切實保護好自己的個人信息？

      首先，當然需要消費者提高個人信息的保護意識，其次，則必須談到企業、商家的責任。兩者相比，后者毋寧更為重要，因為即使一個消費者對個人信息安全非常敏感，發現信息泄露之后的維權意識也頗高，但就目前而言，由于面臨維權成本高昂的問題，多數消費者即使遭遇了信息泄露，往往也只能息事寧人。實際上這也是雖然公民信息泄露事件頻發，卻鮮有個人起訴案例的原因。

      要真正重視個人信息安全保護，遏制所謂公民個人信息“裸奔”的現象，從企業和商家入手顯然是一個最優的路徑。

      但是企業和商家對此也許會倍感委屈。在大數據時代，公民不提供足夠的信息會導致一些業務無法開展，也可能影響產業的進步。但究竟哪些信息是必要的；哪些信息不應該被采集；哪些又屬于個人敏感信息，采集之后需要給予額外保護，如此種種，明確的定義和邊界在哪里？缺乏明確的定義和邊界，企業和商家要履行保護公民個人信息安全的責任，又該從何處著手？

      現在，隨著《信息安全技術個人信息安全規范》的出臺，企業和商家的上述困惑已經迎刃而解。

      據媒體報道，該《規范》被定位為中國個人信息保護工作的基礎性標準文件，它從收集、保存、使用、共享、轉讓、公開披露等個人信息處理活動方面進行了詳細規定。比如關于個人敏感信息，《規范》首次定義，是指“一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息”，并由此出發，明確了企業收集此類信息時的前提和義務。

      閱讀這份標準，可以發現其把消費者的知情權和選擇權放在一個很高的位置。無論個人信息的采集、使用還是共享，消費者都應該知道信息會用于哪些方面、可能存在哪些風險，如果關涉個人敏感信息，消費者還應該有拒絕的權利，而且不會因此失去企業所提供的基本服務，否則就不是給消費者選擇而成了“霸王條款”。過去消費者常會遭遇一個糾結的場景，如果不完全滿足企業關于個人信息采集的要求，則意味著失去企業的服務。但現在《規范》明確，“當個人信息主體拒絕時，可不提供相應的附加功能，但不應以此為理由停止提供核心業務功能，并應保障相應的服務質量”。

      個人信息安全規范國標發布意義重大，誠如專家所言，該《規范》對個人信息保護的一些原則性規定進行了細化，突出了可操作性，使法律在這個問題上的落地成為了可能。但也有人擔心，這份國標只是一份推薦性標準，如果缺乏強制力，又能在多大程度上影響企業的作為呢？

      這種擔心或許有一定道理，但同時也要注意到，在整個社會日益重視個人信息安全的背景下，任何一個企業對此輕忽都會付出不菲的代價。現在隨著國標的正式出臺，企業不再如過去那樣擁有一塊天然的免責擋箭牌，明智的企業會作出什么樣的選擇，會不會因此而逐漸學會自律，其實是不言而喻的。

      即使是推薦性標準，本次規范的出臺也會對行業起到良好的引導作用。同時，規范在實施過程中還會為個人信息保護提供豐富經驗，假以時日，這些經驗無疑都是將來個人信息保護立法的重要參考。