2月2日下午，“网络产业与《个人信息安全规范》国家标准研讨会”在北京举行。会议由中国互联网协会指导，中国互联网协会研究中心、互联网实验室、美国信息产业机构主办。会议从产业监管、安全治理、产业合规三方面解读了《个人信息安全规范》（以下简称“规范”）出台的影响和意义。

“在大数据、云计算、物联网以及人工智能等新一代信息技术迅速普及、推广的当下，个人信息与数据治理的战略意义日益凸显”，会议伊始，主持人、中国互联网协会研究中心秘书长吴沈括在发言中表示，包括规范在内的一系列政策、法律法规相继颁布施行，反映了主管部门对民众权益、产业发展和国家利益的高度重视，也折射出中国个人信息保护追求多元价值集合的鲜明特色。

吴沈括认为，在网络安全法治框架下，规范立足信息安全的维度，厘定、阐明了个人信息安全保护领域的诸多重要问题，如“个人信息”的基本定义、个人信息安全的基本要求等；并突出了个人信息全生命周期动态调节的机制特色。他指出，在目前我国个人信息处理规范相对不足的情况下，规范在实际操作层面填补了诸多空白，为提升公民意识、企业合规和国家监管水平提供了新的业务参照和行为指引。

在附录中，规范将具备识别特定自然人或者在一般情况下可以关联到自然人的信息纳入了个人信息的范畴。吴沈括对南都记者表示，这是因为规范的出发点是管控风险，其核心在于尽量降低在收集、处理个人信息过程中对个人合法权益造成的不利影响。

此外，附录还将通过日志储存的用户操作记录、IMEI信息、设备MAC地址等列入了个人信息范畴。不过，吴沈括强调，规范的附录属于“资料性附录”，而非“规范性附录”，两者的区别是：后者是构成标准整体的不可分割的部分，其效力等同于标准正文；前者则仅限于提供参考，不具备与标准正文同等的效力。

吴沈括指出，作为国家推荐性标准，规范的适用主体不仅限于网络企业，还包括所有个人、企事业单位和国家机关。“事实上，规范更恰当的功能定位应当是一个有关个人信息处理业务合规指引的一揽子推荐性解决方案，属于公共产品的范畴”，他进一步解释说，除非行为主体主动承诺、有权机关明确援引或法律规范直接认可，规范本身不直接产生行为约束力，也并非行政性规范，更不应在刑事责任层面产生实质性意义。

“个案思维和总体风险可控是两个维度的问题，在《个人信息安全规范》的个案运用中，特别需要注意行为边界的精准厘定”，吴沈括强调，规范的实际价值需要在 5月1日正式施行后，结合政府机关以及龙头企业的示范效应，尤其是有关部门的执法实践做出进一步的跟踪研判，同时还应特别注意数据跨境下的国际博弈可能产生的反向影响。