该规范中，针对个人信息的收集（5.4）、多功能自主选择（7.5）、共享、转让（9.2）等过程中，要事先征得个人信息主体的授权同意。且在收购、兼并、重组、破产（9.3）等过程中，应当告知个人信息主体有关情况，如果变更个人信息使用目的，应当重新取得个人信息主体的明示同意。

规范提出了一系列例外情形。例如5.6关于征得授权同意的例外、9.5关于共享、转让、公开披露个人信息时事先征得授权的例外。但这些例外大多和国家安全、公共利益等相关。

《网络安全法》第22条第二款规定，“网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意”，规范中的明示同意为主，正是希望在保护个人信息的过程中充分尊重个人信息主体的自主性。

在规范5.3中，提到了“多项业务功能的自主选择”。当产品或服务提供多项需收集个人信息的业务功能时，个人信息控制者不应违背个人信息主体的自主意愿，强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。去年年末公布的《App违法违规收集使用个人信息行为认定方法》中，列举了一些过度收集用户信息的行为方式。而此次针对多项业务功能的自主选择，更像是对此的细化，阻断了APP经营者因所提供服务多样而收集过度个人信息。

保证多项功能的自主选择，具体体现在以下几个方面（以下所说请求，均指与个人信息相关的请求）：

第一，不应通过捆绑方式要求用户一次性接收并授权同意所有请求；

第二，通过肯定性动作，作为开启特定业务功能的条件；

第三，关闭或退出特定业务功能的途径或方式与开启同样便捷；

第四，当请求不被同意时，不应频繁征求意见，也不应影响其已自主选择其他业务的正常展开；

第五，不得仅以使用途径外的其他理由强制要求。

三、正确使用个性化展示服务

规范7.5“个性化展示的使用”也是该规范一大特色。个性化展示是指基于特定主体个人信息，向其展示信息内容、提供商品和服务的搜索结果等活动，即定向推送。

首先，要求个人信息控制者要显著区分个性化展示内容和非个性化展示内容；

其次，要求在个性化展示的同时，也要提供非针对其个人特征的选项；

第三，对于新闻信息服务推送，要求可以提供关闭或退出个性化展示的选项，使用时提供删除或匿名化定向推送活动所基于的个人信息选项；

第四，建议通过自主控制机制，保障信息主体自主控制权，保障个性化展示相关性程度的控制权在信息主体。

这一系列规定，力图实现保护个人信息主体权益与数据合理商业利用之间的相互平衡，具有进一步探索价值。

规范9.7中修改了第三方接入管理制度。第三方接入是目前存在于APP开发以及使用过程中遇到的新情况，例如微信中接入的小程序等。在此情况下，第三方与原本个人信息控制者既不属于委托处理关系，也不属于共同控制关系。在规范中，对于相对独立的第三方，新规范放宽了接入管理中的企业责任。一般认为，在收到用户第三方相关投诉或第三方被曝光违法违规收集的新闻、通报后核验其征求授权的方式。除此之外，删去了“妥善留存、及时更新”字样，进一步强化了第三方责任。

规范11.1中增强了个人信息控制者责任。与2017年规范相比，对于个人信息控制者负责个人信息安全工作，应该设立负责人和保护机构的情况中，新增一条“处理超过10万人的个人敏感信息”。个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视待遇等个人信息。在2月份公布的《个人金融信息保护技术规范》中根据重要程度个人金融信息进行C1\C2\C3层级划分，可谓一脉相承。从附录B个人敏感信息判定可以看出，个人敏感信息涉及到个人财产、健康生理、生物识别、身份等信息，企业在此过程中可能会承担更严格的保护责任。综合判断前提下，要警惕非敏感信息经组合或与其他信息关联分析后转变成为敏感信息的可能。

与此同时，11.1（c）（2）修改了原规范中50万人的标准，增加至100万人，这一改变可以看出标准制定者为保障企业经营的谨慎思考。随着互联网运用不断广泛化，个人信息被收集也成为了一种趋势，提高标准的目的是提高技术上的可执行性和科学性。

《信息技术 安全技术 生物特征识别信息的保护要求（征求意见稿）》在其引言部分指出了加强保护生物识别信息的原因，针对近年来社会对个人生物识别信息，特别是面部数据过度收集和滥用引发的关注和讨论。此次规范，细化与完善了个人生物识别信息在收集、存储和共享三大环节的保护要求。5.4（c）规定收集个人生物识别信息前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意。6.3原则上不应存储原始个人生物识别信息，如果要存储，应当采取技术措施处理后方可。9.2（i）个人生物识别信息原则上不应共享、转让。如确实需要共享转让，应当单独明示同意。

针对基于不同业务目的手机个人信息进行汇聚融合时，要开展个人信息安全影响评估，采取保护措施。汇聚融合，是随着技术发展的不断壮大，不同类型服务相互交织过程的新趋势，包括一公司多业务线下融合、最近新兴的“开放银行”合作、多网络服务平台信息开放、共享等。在汇聚融合的情况下：一方面，警惕汇聚融合后，非敏感信息转变为敏感信息；另一方面，也要警惕因汇聚融合可能产生越权使用个人信息，埋下个人信息安全的隐患。

规范9.8中提出个人信息的跨境传输问题，在中华人民共和国境内运营中，收集和产生的个人信息向境外提供的，个人信息控制者应遵循国家相关规定和相关标准要求。对比2017年规范，此处扩大了法律规范制定主体以及相关文件适用范围。从“国家网信部门会同国务院有关部门制定的办法和相关标准”扩大到“国家相关规定和标准”，在数据跨境传输方面保护力度不断加强。

数据价值目前尚未显现出来，但即便如此，个人信息作为数据重要组成部分，原本已经是被保护的重点。《网络安全法》禁止“关键信息基础设施”运营商个人和“重要”数据方面向国外传输数据（例外情况除外），可以看出亦要保护数据跨境传输。一项研究发现，如果限制本地公司将数据传输到国外，则他们为计算需求可能要多花费30-60％的成本，为追求这部分利益或扩大经营，实现互动，数据被跨境传输也是一大趋势。因此，企业不可忽视因将信息跨境传送而涉嫌侵犯公民个人信息的可能性。