引用@洪延青 博士的文章简单回答一下吧……
《个人信息安全规范》标准将针对处理个人信息的各类组织(包括机构、企业等),提出具体的保护要求,定位为我国个人信息保护工作的基础性标准文件,为今后开展与个人信息保护相关的各类活动提供参考,为制定和实施个人信息保护相关法律法规奠定基础,为国家主管部门、第三方测评机构等开展个人信息安全管理、评估工作提供指导和依据。
简而言之,有关部门检查的时候会参考《个人信息安全规范》。比如在支付宝年度账单事件中:
网络安全协调局负责人指出,支付宝、芝麻信用收集使用个人信息的方式,不符合刚刚发布的《个人信息安全规范》国家标准的精神,违背了其前不久签署的《个人信息保护倡议》的承诺;应严格按照网络安全法的要求,加强对支付宝平台的全面排查,进行专项整顿,切实采取有效措施,防止类似事件再次发生。
网信办约谈支付宝的时候(2018年1月),《个人信息安全规范》就已经被监管部门援引了,而规范要到2018年5月才生效。
在隐私政策的评审中,《个人信息安全规范》也是检查的“尺子”。
2018年8月27日,信安标委秘书处组织召开“2018年隐私条款专项工作启动暨专家组成立会”,正式启动了2018年隐私条款专项工作。本次专项工作将按照《网络安全法》等法律法规中关于个人信息保护的要求,依据国家标准GB/T 35273-2017《信息安全技术 个人信息安全规范》,选取与民众日常生活紧密相关、具有较大用户数量的出行旅游类、生活服务类、影视娱乐类、工具资讯类和网络支付类5类30款网络产品,对其隐私政策进行评审,以提升企业个人信息保护水平。
当然,《个人信息安全规范》是《网络安全法》的配套标准,在网安法的框架下。
《网络安全法》公布后,各部门、各地方以及广大企业、科研单位和院校开展了多种形式的学习宣传贯彻活动,法律所确定的重要理念、基本要求正在深入人心。目前,有关部门正在按照法律要求抓紧研究起草相关制度文件,包括关键信息基础设施保护办法、个人信息和重要数据出境安全评估办法、网络关键设备和网络安全专用产品目录等。其中,《网络产品和服务安全审查办法(试行)》等配套制度文件已经公开发布。国家标准化部门正抓紧组织制定《个人信息安全规范》等国家标准。总体上看,各项工作都在按计划推进。
总之,虽然是推荐性标准,但却是合规的标杆。