日前，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》（以下简称《规范》）正式发布，该《规范》将于2018年5月1日实施。《规范》中重点对个人信息控制者在开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动中应遵循的原则和安全要求作了详细的阐述。

明确定义“个人敏感信息”保护

基于网络安全法中对个人信息的解释，《规范》首先对个人信息进行了更加详细和清晰的定义，并将个人敏感信息单独区分开来，作了明文规定，“一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息“。在作为国家标准发布的这部《规范》中得到重视和体现，那么个人敏感信息保护的重要性也就不言而喻。

我们认为，个人敏感信息也是数据的一种表现形式，其安全防护可以遵循数据安全防护的原则，因此，个人信息控制者需要重点解决敏感信息在“采集保存”、“内外传输”以及“访问使用”过程中的相关安全问题。通过建立个人敏感信息的安全保护能力评价模型，世平敏感信息风险评估系统能够在信息全生命周期内进行敏感信息的梳理、安全检测、安全加固和安全管理制度建设等动作，直观的了解个人敏感信息的安全现状，实现个人敏感信息的智能防护。

“个人信息控制者”安全能力需提升

针对个人信息控制者而言，《规范》对其所应具备的信息安全防护能力也进行了要求。要求个人信息控制者“建立适当的数据安全能力，落实必要的管理和技术措施，防止个人信息的泄漏、损毁、丢失”； “应当建立自动化审计系统，监测记录个人信息处理活动。”……

数据安全能力和防护水平的高低，从个人信息收集、保存、使用、共享、转让等环节中能够得到体现，除了在安全管理制度上加以约束之外，技术手段的管控也是个人信息控制者不可或缺的。针对组织机构业务系统终端和网络传输过程中的个人信息违规获取行为，世平信息的数据泄漏防护系统能够提供实时的阻断、预警、审计等处置操作，降低信息泄漏风险，提升个人信息管控能力。

从2017年6月1日正式施行的《中华人民共和国网络安全法》中对个人信息保护的明确要求，到现如今《信息安全技术个人信息安全规范》国家标准的发布，公民的个人信息安全已经逐步实现“有法可依，有规可循”。政策的约束，制度的管理，加上智能化信息安全技术的创新，公民的个人信息安全也将会得到越来越有效和全面的保障。