个人信息保护不只是简单的技术防护，它需要企业打出“组合拳”，提升管理水平和技术能力。管理要求方面，新版标准要求个人信息控制者在组织内部指定个人信息保护主要负责人，建立个人信息保护的工作机构及其负责人，明确工作职责，在产品和服务的生命周期中考虑个人信息安全保护要求；技术方面提出了“去标识化”、“匿名化”、“加密”等技术防护手段。通过实现7大个人信息安全基本原则，落实个人信息保护工作。

新版标准除延续原有的保护要求，新增的条款对个人信息安全保护的热点问题，如多项业务捆绑要求用户一揽子授权、用户画像使用、个人生物信息的保护等提出了针对性的保护要求。

新版标准针对部分产品和服务捆绑业务功能要求用户一揽子授权的现象，提出个人信息控制者在收集信息前应先梳理业务、识别基本业务功能和扩展业务功能，并针对不同的业务功能分别向个人信息主体征求授权。

如个人信息主体拒绝基本业务功能的信息采集授权，个人信息控制者可拒绝为个人信息主体提供服务和产品。若个人信息控制者授权基本业务功能拒绝了扩展业务功能，个人信息控制者仍应提供稳定的基本业务功能，且不得频繁骚扰索要扩展业务功能，不得以提升服务质量等为由要求个人信息主体授权。

随着技术的发展，对由个人信息汇聚、加工、处理而生成的用户画像和个性化信息的使用更加普遍，新的标准针对用户画像和个性化信息的使用，提出了如下的要求：

当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务且不属于委托处理和共同个人信息者时，个人信息控制者应建立第三方产品的安全接入机制，通过合同等方式明确双方的安全责任和应实施的义务，并向个人主体明确标识产品或服务由第三方提供 。

个人信息主体应要求第三方应遵循本标准的要求，包括授权同意、响应个人主体请求等。

个人信息主体应监督第三方加强个人信息安全管理，发现第三方没有落实安全管理要求时，应督促其整改，必要时停止接入。

新规范对敏感信息尤其是个人生物信息的保护更加重视，在采集、存储等多方面补充了如下要求：

《GB/T35273-2020信息安全技术 个人信息安全规范》通过6大管理措施和7大控制点对信息人信息进行保护，相较于2017版标准重点对社会上较关注的个人信息的授权、使用过程中的问题提出了指导方案。

但《GB/T35273-2020信息安全技术 个人信息安全规范》属于推荐执行的标准，适用对象为个人信息控制者和主管监管机构、第三方评估机构，主要用来指导个人信息控制者做好个人信息保护工作。个人信息保护的执法机构、刑事责任等问题仍需要法律来明确。

目前个人信息保护法尚在制订中，我们期待新的法律可以明确法律执行机构、刑事责任等问题，为个人信息保护提供法律依据，加大个人信息保护力度，成为保障公民个人信息合法权益的坚实盾牌。