6月8日，中国网络安全产业联盟在北京举办个人信息安全保护政策与技术研讨会。中央网信办网络安全协调局研究员司功闪、中国网络安全产业联盟秘书长杨建军、中国网络安全产业联盟理事长肖新光出席会议。与会嘉宾指出，个人信息保护已经成为一项涉及诸多领域的社会工程，除了加强技术研发，还应发挥社会专业组织机构和团体的动员、监督、协调、法律行政救助力量。

北京信息安全测评中心原主任孟亚平指出，个人信息保护已经突破了原有的个体范畴，转向群体、社会乃至国家层面，是一项涉及经济学、法学、组织行为学、公共政策等诸多领域的社会工程。目前中国还没有专门的监管机构及明确的责任主体去负责推动法律制度完善或是监督管理个人信息保护的社会化运行。“个人信息保护作为一项社会工程，社会功能的保障体制有待完善。”她说。

孟亚平就此建议，一方面，官方要发布权威的、语义语境统一认知的专业性实践指南，减少各方工作落实中的偏差。另一方面，可充分发挥社会专业组织机构和团体的动员、监督、协调、法律行政救助力量，组织社会企业开展法律引导服务，组织业内专业人士开展行政及公益层面的宣讲队伍，组织社会团体与专业机构开展法律救助与支援，以探索创建良好、综合的社会工程发展环境。

“如今出现在个人信息保护领域内的负面事件，已经不仅仅是信息泄露。大数据杀熟、网约车平台社交标签等等，都是典型的例子。”中国电子技术标准化研究院高工何延哲介绍了个人信息保护国家标准实施至今的业界合规案例。他判断，数据合规会成为持续的行业和社会热点，首当其冲的就是个人信息保护。

阿里巴巴集团数据安全部高级数据安全专家潘亮从企业角度分享了实践经验。他介绍，为了制定整个集团的隐私保护政策并推动业务实施，阿里专门成立了由法务、数据安全人员、业务代表和公关人员构成的个人信息安全保护小组。集团统一的合规项目可细分为合规方案、监控审计、技术研发等方面，具体包括对个人信息分类分级、个人数据共享和披露、个人信息跨境、数据脱敏等技术与方案落地的研究。

今年5月25日，欧盟《一般数据保护条例》（以下简称 GDPR） 正式生效。四川大学网络空间安全研究院特聘副研究员洪延青围绕 GDPR 和中国的网络安全法、GB/T 35273-2017 《信息安全技术 个人信息安全规范》国家标准，比较了中欧个人信息保护制度的区别。他认为，二者最大的区别在于，GDPR的以风险为基础理念，网络安全法则以同意为基础理念。

清华大学软件学院特别研究员金涛和中国科学院信息工程研究所研究员高能介绍了个人信息保护方面的前沿技术动态。

金涛重点介绍了个人信息去标识化技术。所谓去标识化，就是指去除一组可识别数据和数据主体之间关联关系的过程。政府机构、企业和其他组织收集的数据中通常含有姓名、证件号码等信息，如果将原始数据直接进行发布，会导致严重的个人信息泄露。金涛说，去标识化有助于平衡个人信息保护要求和数据共享利用需求，目前已经有多种变换方法、匿名模型和数据评估方法可实现去标识化。

高能则建议，根据个人信息重要程度和敏感程度的差异，对个人信息进行分级分类管理，实现不同类型个人隐私信息体量、行踪的可视化。目前，有关专业机构正在研究网络可信身份分级、用户身份关联对齐技术、网络隐私测量技术、异常身份发现技术等关键技术。值得注意的是，欧美已普遍采取类似做法，如美国的网络空间可信身份国家战略，英国引导的第三方身份管理分级计划等。