《信息安全技術(shù)+個人信息處理中告知和同意的實(shí)施指南gbt+42574-2023》詳細(xì)解讀

《信息安全技術(shù)個人信息處理中告知和同意的實(shí)施指南gb/t42574-2023》詳細(xì)解讀contents目錄1范圍2規(guī)范性引用文件3術(shù)語和定義4縮略語5告知的適用情形5.1收集個人信息contents目錄5.2提供、公開個人信息5.3處理活動等發(fā)生變更5.4其他情形6同意的適用情形6.1需取得同意的情形6.2免于取得同意的情形7告知和同意的基本原則contents目錄7.1告知的基本原則7.2同意的基本原則7.3告知和同意宜考慮的要素8告知8.1告知的方式contents目錄8.2告知的內(nèi)容8.3告知的實(shí)施9同意9.1同意機(jī)制的選擇9.2同意的實(shí)施9.3單獨(dú)同意的實(shí)施9.4書面同意的實(shí)施9.5拒絕同意的實(shí)施contents目錄9.6同意的撤回9.7同意的證據(jù)留存附錄A(資料性)App基本業(yè)務(wù)功能與擴(kuò)展業(yè)務(wù)功能的告知和同意附錄B(資料性)App嵌入第三方SDK場景下的告知和同意附錄C(資料性)處理不滿14周歲的未成年人個人信息的告知和同意附錄D(資料性)智慧生活場景下的告知和同意contents目錄附錄E(資料性)公共場所場景下的告知和同意附錄F(資料性)個性化推送場景下的告知和同意附錄G(資料性)云計算服務(wù)場景下的告知和同意附錄H(資料性)車內(nèi)場景下的告知和同意contents目錄附錄I(資料性)互聯(lián)網(wǎng)金融場景下的告知和同意附錄J(資料性)網(wǎng)上購物場景下的告知和同意附錄K(資料性)快遞物流場景下的告知和同意附錄L(資料性)互聯(lián)網(wǎng)房產(chǎn)經(jīng)紀(jì)服務(wù)場景下的告知和同意contents目錄附錄M(資料性)個人身份認(rèn)證場景下的告知和同意附錄N(資料性)可推定為同意的情形示例參考文獻(xiàn)011范圍本標(biāo)準(zhǔn)適用于各類組織，包括但不限于政府機(jī)關(guān)、企事業(yè)單位、社會團(tuán)體等，在個人信息處理活動中告知和獲取同意的行為。主體本標(biāo)準(zhǔn)所指個人信息包括但不限于自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。客體適用主體和客體包括從信息主體直接收集和通過間接方式獲取的個人信息。個人信息收集包括對個人信息的加工、處理、分析、比對、展示、共享、轉(zhuǎn)讓、公開披露等行為。個人信息使用包括個人信息的保密、完整、可用以及可追溯等保護(hù)措施。個人信息保護(hù)涉及的活動范圍010203本標(biāo)準(zhǔn)作為推薦性國家標(biāo)準(zhǔn)，為各類組織在個人信息處理活動中告知和獲取同意提供指導(dǎo)。組織應(yīng)結(jié)合自身實(shí)際情況，制定符合本標(biāo)準(zhǔn)的個人信息處理政策，并通過適當(dāng)方式公開，接受社會監(jiān)督。標(biāo)準(zhǔn)的約束力022規(guī)范性引用文件確保實(shí)施指南的準(zhǔn)確性和權(quán)威性通過引用相關(guān)的規(guī)范性文件，可以確保本實(shí)施指南的內(nèi)容與最新的法規(guī)、標(biāo)準(zhǔn)保持一致，從而提高其準(zhǔn)確性和權(quán)威性。提供讀者更全面的參考引用文件可以為讀者提供更詳細(xì)、更全面的背景信息和參考資料，有助于讀者更好地理解和應(yīng)用本實(shí)施指南。引用文件的目的《中華人民共和國網(wǎng)絡(luò)安全法》作為個人信息處理的基本法律框架，明確了個人信息保護(hù)的原則和要求。《信息安全技術(shù)個人信息安全規(guī)范》提供了個人信息保護(hù)的具體技術(shù)和管理措施，是本實(shí)施指南的重要參考依據(jù)。其他相關(guān)法規(guī)和標(biāo)準(zhǔn)根據(jù)實(shí)際需要，本實(shí)施指南還可能引用其他與個人信息處理相關(guān)的法規(guī)、標(biāo)準(zhǔn)等文件。主要引用的文件對于重要的法規(guī)、標(biāo)準(zhǔn)等文件，采取直接引用的方式，確保內(nèi)容的準(zhǔn)確無誤。直接引用在引用文件時，應(yīng)優(yōu)先選擇其最新版本，以確保內(nèi)容的時效性和有效性。遵循最新版本原則在引用文件的內(nèi)容時，應(yīng)保持與原文的一致，避免產(chǎn)生歧義或誤導(dǎo)讀者。保持與原文一致引用文件的方式和原則033術(shù)語和定義個人信息主體主體合法性個人信息主體應(yīng)當(dāng)是合法的，即具備相應(yīng)的民事行為能力，能夠獨(dú)立享有權(quán)利并承擔(dān)義務(wù)。權(quán)利主體個人信息主體享有對其個人信息的知情權(quán)、同意權(quán)、查詢權(quán)、更正權(quán)、刪除權(quán)等一系列權(quán)利。自然人個人信息主體是指產(chǎn)生個人信息的自然人，是個人信息的原始來源。個人信息處理者是指決定處理目的和處理方式的組織或個人，包括但不限于網(wǎng)絡(luò)運(yùn)營者、應(yīng)用開發(fā)者等。定義與范圍個人信息處理者需遵循合法、正當(dāng)、透明原則，處理個人信息前應(yīng)向個人信息主體告知處理目的、方式、范圍等，并征得明確同意。同時，應(yīng)采取必要措施保障個人信息的安全。義務(wù)與責(zé)任個人信息處理者同意的撤回個人信息主體應(yīng)有權(quán)隨時撤回其同意，個人信息處理者應(yīng)在收到撤回請求后停止處理相關(guān)個人信息。告知要素告知應(yīng)包括處理個人信息的主體、目的、方式、范圍、規(guī)則等關(guān)鍵要素，確保個人信息主體充分了解其個人信息被處理的情況。同意要求同意應(yīng)當(dāng)是個人信息主體在充分知情的前提下自愿、明確作出的意思表示。默示同意、捆綁同意等不被視為有效同意。告知和同意044縮略語PIA:個人信息安全影響評估（PersonalInformationSecurityImpactAssessment）的縮寫，是一種評估個人信息處理活動對信息主體合法權(quán)益及國家安全可能產(chǎn)生的影響的機(jī)制和過程。ISMS:信息安全管理體系（InformationSecurityManagementSystem）的縮寫，是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。ISO:國際標(biāo)準(zhǔn)化組織（InternationalOrganizationforStandardization）的縮寫，是一個全球性的非政府組織，致力于促進(jìn)國際間標(biāo)準(zhǔn)化及相關(guān)活動的發(fā)展。PI:個人信息（PersonalInformation）的縮寫，指以電子或其他方式記錄的能夠單獨(dú)或與其他信息結(jié)合識別特定自然人身份或反映特定自然人活動情況的各種信息。常見縮略語解釋縮略語在標(biāo)準(zhǔn)中的應(yīng)用01在《信息安全技術(shù)個人信息處理中告知和同意的實(shí)施指南》中，使用縮略語可以大大提升文本的簡潔性，避免重復(fù)性的長句表述，使標(biāo)準(zhǔn)更加易讀、易懂?？s略語的應(yīng)用也是專業(yè)性的體現(xiàn)，能夠準(zhǔn)確、簡潔地表達(dá)專業(yè)術(shù)語，確保標(biāo)準(zhǔn)的專業(yè)性和嚴(yán)謹(jǐn)性。使用國際通用的縮略語，還有利于國內(nèi)標(biāo)準(zhǔn)與國際接軌，便于國際間的交流與合作。0203提升文本簡潔性專業(yè)性體現(xiàn)便于國際交流縮略語的學(xué)習(xí)與掌握對于從事信息安全領(lǐng)域的工作者來說，學(xué)習(xí)和掌握這些縮略語是必不可少的，這不僅有助于理解標(biāo)準(zhǔn)內(nèi)容，還能提高工作效率和準(zhǔn)確性。可以通過查閱相關(guān)專業(yè)書籍、參加培訓(xùn)課程等方式來學(xué)習(xí)和掌握這些縮略語的含義和應(yīng)用。同時，隨著技術(shù)的不斷發(fā)展和標(biāo)準(zhǔn)的更新迭代，也需要不斷關(guān)注和學(xué)習(xí)新的縮略語。055告知的適用情形告知收集目的在收集個人信息前，應(yīng)向信息主體明確告知收集的目的，確保信息主體在充分了解的基礎(chǔ)上作出同意。告知收集方式告知收集范圍5.1個人信息收集階段的告知說明收集個人信息所采用的方式，如線上填寫、調(diào)查問卷、傳感器收集等，以便信息主體了解個人信息的來源。明確告知將收集哪些個人信息，如姓名、聯(lián)系方式、地理位置等，避免過度收集。告知使用目的在使用個人信息時，應(yīng)向信息主體告知使用目的，確保信息的使用符合信息主體的預(yù)期。告知使用方式闡述個人信息將如何被使用，包括自動化決策、數(shù)據(jù)分析等，以便信息主體了解個人信息的具體應(yīng)用場景。告知共享情況如需將個人信息共享給第三方，應(yīng)向信息主體明確告知共享的對象、目的及安全措施。5.2個人信息使用階段的告知5.3個人信息處理其他情形的告知告知變更情況當(dāng)個人信息的處理目的、方式或范圍發(fā)生變化時，應(yīng)及時向信息主體告知變更情況，并重新取得同意。告知風(fēng)險及措施告知權(quán)利及行使方式向信息主體說明處理個人信息可能存在的風(fēng)險及相應(yīng)的安全保護(hù)措施，以提高信息主體的安全意識。向信息主體明確告知其享有的權(quán)利，如查詢、更正、刪除等，并提供便利的行使權(quán)利的途徑。065.1收集個人信息合法性原則收集個人信息必須具有明確、合理的目的，且該目的需與業(yè)務(wù)功能直接相關(guān)。正當(dāng)性原則必要性原則收集的個人信息應(yīng)限于實(shí)現(xiàn)目的所需的最小范圍，避免過度收集。收集個人信息必須遵循相關(guān)法律法規(guī)，確保信息收集的合法性。個人信息收集原則在收集個人信息前，應(yīng)向信息主體明確告知收集信息的目的、方式、范圍及可能存在的風(fēng)險。告知義務(wù)必須獲得信息主體的明確同意，方可進(jìn)行個人信息的收集。同意獲取收集的個人信息應(yīng)嚴(yán)格保密，防止信息泄露、濫用或非法獲取。保密義務(wù)個人信息收集要求制定收集計劃明確收集目的、范圍、方式及時間節(jié)點(diǎn)等要素，制定詳細(xì)的收集計劃。履行告知義務(wù)按照相關(guān)法律法規(guī)要求，向信息主體充分告知并獲取其同意。實(shí)施收集操作遵循收集計劃，通過合法、正當(dāng)手段進(jìn)行個人信息的收集。信息安全保護(hù)加強(qiáng)收集過程中個人信息的保護(hù)，確保信息不被非法獲取或泄露。個人信息收集流程規(guī)范075.2提供、公開個人信息個人信息提供必須遵循相關(guān)法律法規(guī)，確保信息來源的合法性。合法性僅提供實(shí)現(xiàn)目的所需的最少個人信息，避免過度提供。最小化原則所提供的個人信息必須真實(shí)、準(zhǔn)確，不得提供虛假或誤導(dǎo)性的信息。準(zhǔn)確性個人信息提供的要求必須獲得信息主體的明確同意，才能公開其個人信息。明確同意公開個人信息的條件公開個人信息必須具有明確、合理的目的，且該目的需符合法律法規(guī)的規(guī)定。合法目的在公開個人信息前，應(yīng)采取必要的安全措施，確保信息在傳輸、存儲等環(huán)節(jié)的安全性。安全保障個人信息提供與公開的注意事項010203隱私保護(hù)在提供或公開個人信息時，應(yīng)充分考慮信息主體的隱私權(quán)益，避免泄露其敏感信息。告知義務(wù)在提供或公開個人信息前，應(yīng)向信息主體充分告知相關(guān)信息，包括提供或公開的目的、范圍、接收方等。記錄留存應(yīng)建立完善的記錄留存機(jī)制，記錄個人信息的提供、公開情況，以便后續(xù)追溯和審計。085.3處理活動等發(fā)生變更變更類型包括個人信息的處理目的、處理類型、處理方式以及個人信息種類、匿名化措施等發(fā)生變更。變更范圍涉及個人信息處理活動的整體或部分環(huán)節(jié)，可能影響到個人信息的權(quán)益和使用。變更類型與范圍01告知時間在變更實(shí)施前，應(yīng)向個人信息主體進(jìn)行告知。變更告知要求02告知內(nèi)容包括變更的具體內(nèi)容、目的、影響以及可能存在的風(fēng)險。03告知方式應(yīng)通過合理方式，如郵件、短信、應(yīng)用內(nèi)通知等，確保個人信息主體能夠及時、準(zhǔn)確地獲取變更信息。變更同意要求在變更涉及個人敏感信息或重要業(yè)務(wù)時，應(yīng)重新取得個人信息主體的明確同意。同意前提可通過書面、電子化等方式進(jìn)行同意，應(yīng)確保同意的真實(shí)性和有效性。同意方式如個人信息主體不同意變更，應(yīng)提供拒絕或退出相關(guān)處理活動的選項，并保障其合法權(quán)益。不同意處理變更實(shí)施與監(jiān)督監(jiān)督與檢查建立監(jiān)督機(jī)制，對變更過程進(jìn)行定期檢查與評估，確保變更符合法律法規(guī)要求，并保障個人信息的安全與合法使用。實(shí)施流程制定詳細(xì)的變更實(shí)施計劃，包括時間節(jié)點(diǎn)、責(zé)任人等，確保變更的平穩(wěn)過渡。095.4其他情形在特定情況下，法律法規(guī)可能允許未經(jīng)個人同意處理其個人信息，如涉及國家安全、公共利益等情形。法律法規(guī)允許的例外對于無民事行為能力或限制民事行為能力的個人信息主體，其監(jiān)護(hù)人或法定代理人需代為行使相關(guān)權(quán)利。個人信息主體無民事行為能力或限制民事行為能力個人信息處理中的特殊情形緊急情況下的處理在緊急情況下，如自然災(zāi)害、事故災(zāi)難等，為確保個人信息安全，可能無法事先獲得個人同意，此時可在事后向個人信息主體告知并征得同意。履行法定義務(wù)的處理在履行法定義務(wù)時，如配合執(zhí)法部門調(diào)查、取證等，可能需在不經(jīng)過個人同意的情況下處理其個人信息。此時，應(yīng)確保處理行為合法合規(guī)，并在可能的情況下及時告知個人信息主體。告知和同意的例外情況明確敏感個人信息的定義，如涉及個人隱私、種族、宗教信仰、政治立場等的信息，以及相關(guān)法律法規(guī)規(guī)定的敏感信息。敏感個人信息的定義與范圍處理敏感個人信息時，應(yīng)嚴(yán)格遵守相關(guān)法律法規(guī)，確保處理行為合法、正當(dāng)、必要，并采取嚴(yán)格的安全保護(hù)措施，防止信息泄露、濫用等風(fēng)險。同時，應(yīng)盡可能獲得個人信息主體的明確同意，并在處理過程中保持透明、可審計。敏感個人信息的處理要求敏感個人信息的特殊處理106同意的適用情形同意需明確表達(dá)意愿，不得含糊不清或產(chǎn)生歧義。明確性在作出同意前，個人信息主體應(yīng)充分了解信息處理的目的、方式、范圍及可能的風(fēng)險。知情性個人信息主體應(yīng)自主作出同意，不受欺詐、脅迫等不正當(dāng)手段的干擾。自愿性同意的基本原則同意的適用場景信息收集在收集個人信息時，需獲得信息主體的明確同意，確保其了解并接受信息收集的目的和方式。信息使用使用個人信息前，應(yīng)獲取信息主體的同意，包括信息使用的目的、范圍和時限等。信息共享當(dāng)需要將個人信息共享給第三方時，必須獲得信息主體的明確同意，并告知共享的目的和接收方。法律法規(guī)另有規(guī)定如相關(guān)法律法規(guī)對個人信息處理有明確規(guī)定，可依法進(jìn)行，無需另行獲得同意。同意的例外情形保護(hù)公共利益為維護(hù)國家安全、公共安全等重大公共利益，可在未經(jīng)同意的情況下處理個人信息。緊急情況下保護(hù)個人權(quán)益在緊急情況下，為保護(hù)個人信息主體的生命、財產(chǎn)安全等合法權(quán)益，可先行處理個人信息，事后及時向信息主體告知并補(bǔ)充獲得同意。116.1需取得同意的情形變更處理目的或方式當(dāng)處理個人信息的目的、方式或范圍發(fā)生變化時，需重新向信息主體告知并取得同意。敏感信息處理對于涉及個人隱私、種族、民族、宗教信仰等敏感信息的處理，必須獲得信息主體的明確同意。初次處理在首次進(jìn)行個人信息處理活動前，應(yīng)向信息主體明確告知處理目的、方式及范圍，并取得其同意。個人信息處理前的同意跨境數(shù)據(jù)傳輸將個人信息傳輸至境外時，需向信息主體告知境外接收方的相關(guān)信息，并取得其同意。自動化決策利用個人信息進(jìn)行自動化決策時，應(yīng)告知信息主體決策的邏輯及可能產(chǎn)生的影響，并獲取其同意。公開個人信息在公開個人信息前，必須獲得信息主體的明確同意，并告知其公開的范圍、目的及可能帶來的風(fēng)險。特定場景下的同意要求同意的例外情形法律法規(guī)另有規(guī)定當(dāng)法律法規(guī)對個人信息處理有明確規(guī)定時，可依法進(jìn)行處理，無需另行取得信息主體的同意。保護(hù)信息主體權(quán)益所必需在緊急情況下，為保護(hù)信息主體的生命、財產(chǎn)安全等重大權(quán)益，可未經(jīng)同意進(jìn)行必要的個人信息處理。履行法定職責(zé)或義務(wù)所必需相關(guān)機(jī)構(gòu)在履行法定職責(zé)或義務(wù)時，可依法進(jìn)行個人信息處理，無需取得信息主體的同意。但應(yīng)確保處理活動的合法性與正當(dāng)性。126.2免于取得同意的情形01涉及國家安全、公共安全等重大公共利益在這些情形下，個人信息的處理可能無需取得個人同意，以維護(hù)國家安全和公共安全的需要。緊急情況下保護(hù)個人生命健康當(dāng)個人生命健康面臨緊急危險時，處理個人信息以盡快聯(lián)系到相關(guān)人員或提供救助，可免于取得同意。履行法定職責(zé)或法定義務(wù)所必需如稅務(wù)部門依法進(jìn)行稅收征管，或法律要求企業(yè)向監(jiān)管部門報告某些數(shù)據(jù)，這些情況下處理個人信息無需個人同意。法律法規(guī)規(guī)定情形0203個人信息主體已公開的情形合法公開渠道獲取如通過政府公開數(shù)據(jù)、新聞報道等合法渠道獲取的個人信息，處理這些信息時，若符合相關(guān)法律法規(guī)規(guī)定，可能也無需取得個人同意。個人信息主體自行公開當(dāng)個人自行在公開渠道（如社交媒體）上公開其個人信息時，這些信息被視為已公開信息，處理這些信息可能無需再次取得個人同意。匿名化處理后的信息經(jīng)過匿名化處理，無法識別到特定個人的信息，處理這些信息時可能無需取得個人同意。個人信息主體明確拒絕或無法取得聯(lián)系當(dāng)個人信息主體明確拒絕處理其信息，或因客觀原因無法取得聯(lián)系時，若符合相關(guān)法律法規(guī)規(guī)定，處理這些信息可能也無需取得個人同意。但需注意，這種情況下的處理應(yīng)嚴(yán)格遵循法律法規(guī)的要求，確保個人信息安全。其他規(guī)定情形137告知和同意的基本原則合法性原則個人信息處理必須遵循相關(guān)法律法規(guī)的要求，確保告知和同意的合法性。處理者應(yīng)明確告知個人信息的處理目的、方式、范圍等，并獲得個人的明確同意。正當(dāng)性原則告知和同意必須基于正當(dāng)、合理的目的進(jìn)行，不得損害個人的合法權(quán)益。處理者應(yīng)充分說明處理個人信息的必要性和合理性，以獲得個人的理解和支持。透明性原則處理者應(yīng)以清晰易懂的方式向個人告知個人信息的處理情況，確保告知的透明性。告知內(nèi)容應(yīng)包括個人信息的來源、處理流程、安全措施等，以便個人全面了解其信息處理情況?！啊皞€人應(yīng)有權(quán)自主決定是否同意其個人信息的處理，以及同意的范圍和方式。處理者應(yīng)尊重個人的自主選擇，不得通過欺詐、脅迫等手段獲取個人的同意。自主性原則147.1告知的基本原則使用簡明扼要的語言避免使用過于專業(yè)或復(fù)雜的詞匯，確保信息以通俗易懂的方式傳達(dá)。邏輯結(jié)構(gòu)清晰按照重要性和關(guān)聯(lián)性對信息進(jìn)行排序，幫助個人更好地理解告知內(nèi)容。突出關(guān)鍵信息對于重要的告知事項，采用加粗、放大字體等方式進(jìn)行突出顯示。清晰易懂確保信息來源可靠告知的信息應(yīng)來源于權(quán)威、可信的渠道，避免傳播虛假或誤導(dǎo)性信息。及時更新信息隨著情況的變化，及時更新告知內(nèi)容，以保持其時效性。內(nèi)容準(zhǔn)確無誤對告知的信息進(jìn)行仔細(xì)校對，確保其真實(shí)性和準(zhǔn)確性。真實(shí)準(zhǔn)確涵蓋所有必要信息告知應(yīng)包含個人信息處理的目的、方式、范圍、存儲期限等關(guān)鍵要素，確保個人能夠全面了解情況。詳細(xì)說明處理流程對個人信息處理的具體流程進(jìn)行詳細(xì)說明，包括收集、使用、共享、刪除等環(huán)節(jié)。提供相關(guān)法律依據(jù)在告知中引用相關(guān)的法律法規(guī)或政策文件，為個人信息處理提供合法依據(jù)。全面具體保護(hù)個人敏感信息在告知中明確說明對個人敏感信息的保護(hù)措施，確保個人隱私不受侵犯。提供隱私保護(hù)政策鏈接在告知中提供隱私保護(hù)政策的鏈接，方便個人隨時查看和了解相關(guān)信息。合法合規(guī)使用信息嚴(yán)格遵守相關(guān)法律法規(guī)，確保個人信息的合法使用和處理。尊重個人隱私157.2同意的基本原則同意必須基于個人自主意愿作出，不受任何外部不當(dāng)干預(yù)或影響。自愿性個人應(yīng)充分了解并理解所同意處理個人信息的范圍、目的和方式。同意的自愿性應(yīng)得到充分保障，不得通過欺詐、脅迫等手段獲取。明確性同意應(yīng)清晰、明確，不含糊或產(chǎn)生歧義。01個人信息處理者應(yīng)向個人明確說明處理信息的具體目的、方式及范圍。02同意的明確性有助于確保個人信息被合法、正當(dāng)、透明地處理。03個人有權(quán)知曉其個人信息被收集、使用、共享等處理情況。個人信息處理者應(yīng)提供便捷的途徑，使個人能夠查詢、更正、刪除其個人信息。知情權(quán)是同意原則的基礎(chǔ)，有助于增強(qiáng)個人對信息的掌控感和信任度。知情權(quán)010203可撤銷性0302個人有權(quán)隨時撤銷先前作出的同意，且撤銷途徑應(yīng)簡便易行。01可撤銷性保障了個人在信息處理過程中的自主權(quán)和選擇權(quán)。個人信息處理者應(yīng)在收到撤銷請求后，及時停止處理相關(guān)信息并刪除或匿名化。167.3告知和同意宜考慮的要素明確告知處理個人信息的目的、范圍和方式，確保信息主體充分了解信息處理情況。告知的目的和范圍告知的要素采用簡潔明了的語言進(jìn)行告知，避免使用過于專業(yè)或晦澀難懂的詞匯，確保信息主體能夠輕松理解。告知的清晰性和易理解性根據(jù)信息處理情況及時更新告知內(nèi)容，確保信息主體始終了解最新的處理情況。告知的時效性和更新頻率同意的要素同意的自愿性確保信息主體在充分了解告知內(nèi)容的基礎(chǔ)上，自主、自愿地作出同意決定，不受任何欺詐、脅迫或誤導(dǎo)。同意的明確性和具體性要求信息主體以明確、具體的方式表達(dá)同意，如簽署書面協(xié)議、勾選電子選項等，確保同意的真實(shí)性和可追溯性。同意的撤回權(quán)保障信息主體有權(quán)隨時撤回其同意，并明確撤回同意的方式和后果，確保信息主體對個人信息的自主控制權(quán)。在確保信息主體權(quán)益得到充分保障的前提下，合理滿足信息處理者的實(shí)際需求，實(shí)現(xiàn)雙方利益的平衡。平衡信息主體權(quán)益和信息處理需求針對不同場景下的個人信息處理活動，制定差異化、精細(xì)化的告知和同意要求，提高實(shí)施指南的適用性和可操作性。協(xié)調(diào)不同場景下的告知和同意要求告知和同意的平衡與協(xié)調(diào)178告知定義告知是指個人信息處理者在處理個人信息前，向個人信息主體明確、清晰地傳達(dá)處理其個人信息的目的、方式、范圍等關(guān)鍵信息的行為。目的告知的定義和目的確保個人信息主體充分了解其個人信息被處理的情況，保障其知情權(quán)和自主選擇權(quán)。0102告知個人信息主體享有的權(quán)益，如查詢、更正、刪除、撤回同意等，并提供行使這些權(quán)益的途徑和方式。處理目的明確說明處理個人信息的目的，如提供服務(wù)、改進(jìn)技術(shù)、進(jìn)行統(tǒng)計分析等。處理方式詳細(xì)描述處理個人信息的方式，包括收集、存儲、使用、加工、傳輸、提供、公開等。處理范圍準(zhǔn)確界定處理的個人信息范圍，如個人基本資料、行為數(shù)據(jù)等。權(quán)益保障告知的內(nèi)容要求01030204VS告知應(yīng)以清晰易懂的語言，通過書面形式（如隱私政策、用戶協(xié)議等）或顯著位置（如應(yīng)用界面、網(wǎng)站首頁等）進(jìn)行展示。時機(jī)在處理個人信息前，盡早向個人信息主體進(jìn)行告知，確保其有足夠的時間和機(jī)會了解并作出同意或不同意的決定。形式告知的形式和時機(jī)準(zhǔn)確性清晰性及時性確保告知內(nèi)容的真實(shí)、準(zhǔn)確、完整，不夸大其詞或隱瞞重要信息。使用簡潔明了的語言進(jìn)行表述，避免使用過于專業(yè)或晦澀難懂的詞匯。隨著處理目的、方式、范圍的變更，及時更新告知內(nèi)容，確保個人信息主體的知情權(quán)得到有效保障。告知的注意事項010203188.1告知的方式明確的告知方式在應(yīng)用程序、網(wǎng)站等線上平臺中，通過彈窗、頁面提示等方式，向用戶展示個人信息處理的相關(guān)情況，以便用戶隨時查看并作出同意選擇。線上告知通過正式的文檔、隱私政策或用戶協(xié)議，詳細(xì)闡述個人信息處理的目的、范圍、方式等，確保信息主體能夠充分了解并作出明確同意。書面告知處理目的明確說明個人信息被處理的具體目的，如用于產(chǎn)品改進(jìn)、數(shù)據(jù)分析等，確保信息主體了解信息被使用的真實(shí)意圖。01.清晰的告知內(nèi)容處理范圍詳細(xì)列舉將處理的個人信息類型，如姓名、聯(lián)系方式、地理位置等，以及這些信息將被用于何種場景，避免信息被濫用或超出預(yù)期范圍使用。02.權(quán)益保障告知信息主體在個人信息處理過程中享有的權(quán)益，如查詢、更正、刪除等，以及如何行使這些權(quán)益的具體途徑和方式，保障信息主體的合法權(quán)益得到有效維護(hù)。03.靈活的告知策略分層告知根據(jù)信息處理的復(fù)雜程度和風(fēng)險等級，采取不同層次的告知策略。對于高風(fēng)險或敏感信息的處理，應(yīng)提供更為詳盡的告知內(nèi)容，以確保信息主體能夠充分知情并作出明智選擇。實(shí)時更新隨著業(yè)務(wù)發(fā)展和法律法規(guī)的變化，及時更新告知內(nèi)容，確保信息主體能夠持續(xù)了解最新的個人信息處理情況。同時，應(yīng)提供便捷的查看方式，方便信息主體隨時了解相關(guān)信息。198.2告知的內(nèi)容告知的信息必須真實(shí)、準(zhǔn)確，不得有誤導(dǎo)性陳述或遺漏關(guān)鍵信息。真實(shí)準(zhǔn)確告知應(yīng)以簡明扼要、易于理解的方式表達(dá)，避免使用過于專業(yè)或晦澀難懂的術(shù)語。清晰易懂告知應(yīng)涵蓋所有關(guān)鍵信息，包括處理目的、數(shù)據(jù)類型、處理方式等，以便個人做出明智的決策。全面具體告知的基本原則在個人信息被收集、使用或共享之前，應(yīng)向個人進(jìn)行告知。事先告知告知應(yīng)以顯著方式呈現(xiàn)，如在網(wǎng)站首頁、APP啟動頁等明顯位置進(jìn)行提示。顯著位置根據(jù)業(yè)務(wù)場景和用戶需求，可采取彈窗、郵件、短信等多種方式進(jìn)行告知。多種告知方式告知的時機(jī)與方式010203告知的要素處理者信息包括處理者的名稱、聯(lián)系方式等，以便個人在必要時進(jìn)行聯(lián)系或投訴。處理目的與合法性基礎(chǔ)明確說明處理個人信息的目的，以及處理行為所依據(jù)的合法性基礎(chǔ)（如法律授權(quán)、個人同意等）。數(shù)據(jù)類型與來源詳細(xì)列出將收集的個人信息類型，以及這些信息的來源（如用戶輸入、第三方提供等）。數(shù)據(jù)接收方與境外傳輸如存在數(shù)據(jù)共享或向境外傳輸?shù)那闆r，應(yīng)說明接收方的身份以及境外傳輸?shù)哪康?、安全保障措施等。敏感個人信息的特別告知明確的同意要求在收集、使用或共享敏感個人信息前，必須獲得個人的明確同意，并告知其相關(guān)風(fēng)險和后果。特殊處理與保護(hù)說明對敏感個人信息將采取的特殊處理措施和安全保護(hù)手段，以確保其安全性和保密性。敏感信息定義與范圍明確界定敏感個人信息的定義和范圍，如生物識別信息、健康信息等。208.3告知的實(shí)施告知的原則010203合法性原則告知行為必須符合國家法律法規(guī)的要求，確保信息處理的合法性。透明性原則告知的內(nèi)容應(yīng)清晰明了，避免使用晦澀難懂的術(shù)語，確保用戶能夠充分理解。必要性原則僅告知用戶必要的信息，避免過度告知導(dǎo)致用戶困擾和混淆。告知的內(nèi)容個人信息處理的目的明確告知用戶個人信息被處理的具體目的，以便用戶了解并作出判斷。02040301個人信息接收方說明將接收個人信息的第三方或部門，以及接收的目的和方式，確保用戶了解信息流向。處理的個人信息類型詳細(xì)列出將處理的個人信息類型，如姓名、地址、電話號碼等，讓用戶清楚哪些信息將被收集和處理。個人信息主體權(quán)利告知用戶作為個人信息主體所享有的權(quán)利，如查詢、更正、刪除等，引導(dǎo)用戶合理行使權(quán)利。線上告知通過網(wǎng)站、APP等線上渠道進(jìn)行告知，便于用戶隨時查看和了解。線下告知通過紙質(zhì)文件、公告等方式進(jìn)行線下告知，確保不擅長使用線上渠道的用戶也能及時獲取告知信息。告知的方式在個人信息處理活動開始之前進(jìn)行告知，確保用戶在充分了解情況的基礎(chǔ)上作出同意的決定。事先告知當(dāng)個人信息處理的目的、方式等發(fā)生變更時，應(yīng)及時進(jìn)行告知，確保用戶權(quán)益不受影響。變更告知告知的時機(jī)219同意數(shù)據(jù)主體在充分知情的前提下，明確、清晰地表示同意對其個人信息進(jìn)行特定處理。明確同意在特定場景下，如數(shù)據(jù)主體使用服務(wù)時，通過行為表示同意對其個人信息進(jìn)行必要處理。默示同意包括數(shù)據(jù)主體的自主意愿、充分告知以及處理個人信息的明確性。同意的要素同意的定義自由給出同意必須是在沒有受到欺詐、脅迫或不正當(dāng)影響的情況下自由給出的。明確具體同意必須是對特定個人信息處理活動的明確和具體的授權(quán)，不能是模糊或籠統(tǒng)的。可撤回性數(shù)據(jù)主體有權(quán)隨時撤回其同意，且撤回同意后，個人信息處理者應(yīng)停止相應(yīng)處理活動。同意的有效性獲取方式個人信息處理者應(yīng)通過合法、正當(dāng)?shù)姆绞将@取數(shù)據(jù)主體的同意，如通過用戶界面交互、簽署書面協(xié)議等。記錄要求個人信息處理者應(yīng)記錄數(shù)據(jù)主體同意的時間、方式、內(nèi)容等信息，以確保同意的可追溯性和證明力。同意的獲取與記錄法律法規(guī)另有規(guī)定如相關(guān)法律法規(guī)對個人信息的處理有特別規(guī)定，可不受同意的限制。同意的例外情況保護(hù)重大利益為保護(hù)國家安全、公共利益或數(shù)據(jù)主體或其他自然人的重大利益，可在未經(jīng)同意的情況下處理個人信息。緊急情況下在緊急情況下，如為挽救數(shù)據(jù)主體或其他自然人的生命、健康等，可在未經(jīng)同意的情況下處理個人信息。但事后應(yīng)盡快告知數(shù)據(jù)主體并說明理由。229.1同意機(jī)制的選擇通過書面聲明、電子簽名、勾選同意選項等方式明確表達(dá)意愿。明示同意默示同意推斷同意基于行為分析推斷出信息主體的意愿，如繼續(xù)使用服務(wù)、不反對數(shù)據(jù)收集等。在特定場景下，結(jié)合信息主體的行為和環(huán)境因素，合理推斷其同意意愿。明確同意的類型和方式確保告知內(nèi)容明確、易懂，充分披露處理目的、方式、范圍等關(guān)鍵信息。告知內(nèi)容清晰設(shè)置清晰、明確的同意選項，便于信息主體作出選擇。同意選項明確妥善保存同意的記錄，以便后續(xù)追溯和證明。同意記錄留存同意要素的完整性自愿性保障確保同意是在信息主體自由意志下作出的，不受欺詐、脅迫等不正當(dāng)手段影響。明確性要求同意必須明確無誤，不能含糊不清或存在歧義。同意的自愿性和明確性提供便捷的同意撤回途徑，尊重信息主體隨時改變意愿的權(quán)利。撤回機(jī)制當(dāng)處理目的、方式等發(fā)生變化時，及時更新同意內(nèi)容，并再次征得信息主體的同意。更新流程同意的撤回與更新239.2同意的實(shí)施同意能力確保個人信息主體具備對個人信息處理的充分理解能力和同意能力，對于不具備完全民事行為能力的個人，應(yīng)由其監(jiān)護(hù)人代為行使同意權(quán)。自由給予確保個人信息主體在充分知情的前提下，自愿、明確地作出同意表示，不受欺詐、脅迫等不正當(dāng)手段的干擾。明確同意范圍個人信息主體應(yīng)明確知曉并同意個人信息被收集、使用的具體范圍，包括信息類型、使用目的等。同意的要素線上獲取通過網(wǎng)絡(luò)平臺或應(yīng)用程序，以點(diǎn)擊“同意”按鈕、勾選同意選項等方式獲取個人信息主體的明確同意。線下獲取在紙質(zhì)表單上簽字、蓋章或按手印等方式，表示對個人信息處理的同意。錄音錄像在必要情況下，可通過錄音、錄像等方式記錄個人信息主體同意的過程，以確保同意的真實(shí)性和有效性。同意的獲取方式同意的例外情形法律法規(guī)另有規(guī)定根據(jù)相關(guān)法律法規(guī)的明確規(guī)定，某些特定情形下無需獲取個人信息主體的同意，如涉及國家安全、公共安全等重大利益的情況。個人信息主體已公開的信息對于個人信息主體已經(jīng)自行公開或者其他已經(jīng)合法公開的信息，可在不違背相關(guān)法律法規(guī)和雙方約定的前提下進(jìn)行收集和使用。緊急情況下為保護(hù)個人信息主體利益在緊急情況下，為保護(hù)個人信息主體或他人的生命、健康、財產(chǎn)安全等合法權(quán)益，可先行處理個人信息，但應(yīng)在事后及時向個人信息主體告知并征得同意。249.3單獨(dú)同意的實(shí)施單獨(dú)同意的必要性保護(hù)個人隱私單獨(dú)同意能夠確保個人在明確知曉并理解信息處理目的、方式和范圍的基礎(chǔ)上，作出自主決定，從而有效保護(hù)個人隱私。遵守法律法規(guī)提升用戶信任隨著數(shù)據(jù)保護(hù)法規(guī)的不斷完善，單獨(dú)同意已成為個人信息處理的合法性基礎(chǔ)之一，遵守單獨(dú)同意要求有助于企業(yè)合規(guī)經(jīng)營。通過單獨(dú)同意的實(shí)施，企業(yè)能夠向用戶展示其尊重和保護(hù)個人信息的決心，進(jìn)而提升用戶對企業(yè)的信任度。明確告知義務(wù)在獲取單獨(dú)同意前，企業(yè)應(yīng)向個人充分告知信息處理的目的、方式、范圍以及可能存在的風(fēng)險，確保個人在充分知情的情況下作出決定。簡化操作流程保留同意記錄單獨(dú)同意的實(shí)施要點(diǎn)企業(yè)應(yīng)設(shè)計簡潔明了的單獨(dú)同意操作流程，避免過于復(fù)雜或晦澀難懂的步驟，以便個人能夠輕松理解和操作。企業(yè)應(yīng)妥善保存?zhèn)€人單獨(dú)同意的記錄，包括同意的時間、方式、內(nèi)容等，以便在必要時進(jìn)行查證。避免捆綁同意隨著企業(yè)業(yè)務(wù)或個人信息處理方式的變更，企業(yè)應(yīng)及時更新單獨(dú)同意的內(nèi)容，并重新獲取個人的同意，以確保同意的時效性和有效性。及時更新同意加強(qiáng)內(nèi)部培訓(xùn)為確保單獨(dú)同意的正確實(shí)施，企業(yè)應(yīng)加強(qiáng)內(nèi)部員工的培訓(xùn)和教育，提高員工對單獨(dú)同意要求的理解和執(zhí)行力。企業(yè)在獲取單獨(dú)同意時，應(yīng)避免將多個不相關(guān)的信息處理目的捆綁在一起，要求個人一次性作出同意，以免損害個人的自主選擇權(quán)。單獨(dú)同意的注意事項259.4書面同意的實(shí)施書面同意的適用范圍01當(dāng)處理敏感個人信息時，如健康、生物識別等，應(yīng)獲取個人的書面同意。在將個人信息傳輸至境外或提供給境外接收方時，需獲取書面同意以確保合規(guī)性。對于可能引發(fā)較高風(fēng)險的處理活動，如自動化決策、大規(guī)模個人信息處理等，書面同意可提升處理活動的透明度和責(zé)任性。0203涉及敏感個人信息處理跨境數(shù)據(jù)傳輸高風(fēng)險處理活動確保提供書面同意的個人具備相應(yīng)的權(quán)利能力和行為能力。明確同意的主體書面同意的要素書面同意中應(yīng)明確描述被授權(quán)的處理活動，包括處理目的、個人信息類型、處理方式等。清晰的授權(quán)內(nèi)容書面同意必須基于個人的自愿和真實(shí)意愿，不得通過欺詐、脅迫等手段獲取。自愿性和真實(shí)性書面同意的實(shí)施步驟制定書面同意模板根據(jù)具體業(yè)務(wù)場景和法規(guī)要求，制定合規(guī)的書面同意模板。向個人提供書面同意文件在處理個人信息前，向個人提供書面同意文件，并詳細(xì)解釋其內(nèi)容。簽署與存檔個人在充分理解并同意后簽署書面文件，企業(yè)需妥善存檔以備查驗。01持續(xù)更新與重新獲取隨著業(yè)務(wù)變化或法規(guī)更新，應(yīng)及時更新書面同意內(nèi)容，并重新獲取個人的書面同意。書面同意的注意事項02保障個人權(quán)益在書面同意過程中，應(yīng)充分保障個人的知情權(quán)、選擇權(quán)和撤回權(quán)等權(quán)益。03合規(guī)審查與監(jiān)督定期對書面同意的實(shí)施情況進(jìn)行合規(guī)審查，確保符合相關(guān)法律法規(guī)要求。269.5拒絕同意的實(shí)施01信息主體明確表達(dá)不同意當(dāng)信息主體明確表示不同意對其個人信息進(jìn)行收集、使用、共享等處理活動時，相關(guān)組織或個人應(yīng)尊重其意愿，停止相應(yīng)的處理行為。超出告知范圍的處理如果信息處理者實(shí)際處理個人信息的范圍、目的或方式超出了原先告知信息主體的內(nèi)容，且未重新獲得信息主體的明確同意，信息主體有權(quán)拒絕此類超范圍的處理行為。違反法律法規(guī)的強(qiáng)制性規(guī)定對于違反國家法律法規(guī)強(qiáng)制性規(guī)定的信息處理行為，即使信息主體之前已表示同意，也有權(quán)隨時撤回并拒絕繼續(xù)同意。拒絕同意的情形0203信息處理者應(yīng)設(shè)立專門渠道，接收并確認(rèn)信息主體提出的拒絕同意請求，確保請求的真實(shí)性和合法性。接收并確認(rèn)拒絕同意請求拒絕同意的實(shí)施流程一旦收到有效的拒絕同意請求，信息處理者應(yīng)立即停止對相關(guān)信息主體的個人信息進(jìn)行處理，包括收集、使用、共享等。停止相應(yīng)處理行為信息處理者應(yīng)詳細(xì)記錄拒絕同意請求的處理情況，包括請求的時間、內(nèi)容、處理結(jié)果等，并妥善保存相關(guān)證據(jù)以備查。記錄并保存相關(guān)證據(jù)拒絕同意的保障措施定期自查和整改信息處理者應(yīng)定期對自身的個人信息處理活動進(jìn)行自查，發(fā)現(xiàn)問題及時整改，確保個人信息處理活動的合規(guī)性。接受外部監(jiān)督和檢查信息處理者應(yīng)積極配合相關(guān)監(jiān)管部門的監(jiān)督和檢查工作，如實(shí)提供相關(guān)資料和情況說明，確保拒絕同意制度的有效實(shí)施。加強(qiáng)內(nèi)部管理和培訓(xùn)信息處理者應(yīng)建立完善的內(nèi)部管理制度，加強(qiáng)對員工的培訓(xùn)和教育，確保員工熟知拒絕同意的流程和操作規(guī)范。030201279.6同意的撤回同意撤回的定義同意撤回是指個人在先前已作出同意的情況下，有權(quán)隨時撤回其同意，并停止相關(guān)個人信息處理活動的行為。同意撤回是個人對其個人信息處理權(quán)限的一種重要控制手段，體現(xiàn)了個人自主意愿的尊重和隱私權(quán)的保護(hù)。同意撤回的條件撤回同意應(yīng)當(dāng)是自愿的、無條件的，個人不應(yīng)受到任何不合理限制或阻礙。個人信息處理者應(yīng)當(dāng)提供便捷的方式，使個人能夠輕松地撤回其同意，如在線操作平臺、客服電話等。一旦個人撤回其同意，個人信息處理者應(yīng)立即停止處理相關(guān)的個人信息，除非有法律另有規(guī)定或雙方另有約定。撤回同意后，個人信息處理者還應(yīng)根據(jù)具體情況采取必要的措施，如刪除、匿名化或封存相關(guān)的個人信息，以確保其不再被處理。同意撤回的效力同意撤回的注意事項個人在撤回同意前，應(yīng)充分了解撤回同意可能帶來的影響，如可能無法繼續(xù)使用某些服務(wù)或產(chǎn)品等。個人信息處理者應(yīng)向個人明確告知撤回同意的具體操作流程和可能產(chǎn)生的后果，以便個人做出明智的決策。““289.7同意的證據(jù)留存法律合規(guī)性證明在個人信息處理過程中，留存同意的證據(jù)是遵守相關(guān)法律法規(guī)的關(guān)鍵。它能夠幫助組織在面對法律審查或爭議時，證明其已經(jīng)獲得了信息主體的有效同意。01.證據(jù)留存的重要性風(fēng)險管理依據(jù)同意證據(jù)的留存可作為組織進(jìn)行信息安全風(fēng)險管理的依據(jù)。通過分析這些證據(jù)，組織可以評估其處理個人信息的合法性、合規(guī)性以及潛在的風(fēng)險點(diǎn)。02.保障信息主體權(quán)益在信息主體對其個人信息處理提出異議或投訴時，同意證據(jù)的留存可以支持組織快速響應(yīng)并處理這些問題，從而保障信息主體的合法權(quán)益。03.可追溯性同意的證據(jù)應(yīng)具備可追溯性，這意味著組織應(yīng)能夠追蹤到每一個同意的來源和狀態(tài)。這要求組織在收集和處理同意證據(jù)時，必須建立完善的記錄和管理系統(tǒng)。完整性同意的證據(jù)必須完整，能夠清晰地反映信息主體在何時、何地以及基于何種目的給予了同意。任何模糊、缺失或篡改的證據(jù)都可能影響其法律效力。安全性同意證據(jù)的留存必須滿足嚴(yán)格的安全要求。組織應(yīng)采取適當(dāng)?shù)募夹g(shù)和管理措施，確保這些證據(jù)不被未經(jīng)授權(quán)的人員訪問、篡改或刪除。證據(jù)留存的具體要求證據(jù)留存的實(shí)施建議制定明確的政策與流程組織應(yīng)制定關(guān)于同意證據(jù)留存的明確政策和流程，包括證據(jù)的收集、存儲、使用和處置等方面。這有助于確保所有相關(guān)人員都了解并遵循相同的標(biāo)準(zhǔn)。采用合規(guī)的技術(shù)解決方案為了滿足證據(jù)留存的要求，組織可以選擇使用合規(guī)的技術(shù)解決方案，如電子簽名、時間戳或區(qū)塊鏈等。這些技術(shù)可以幫助組織確保同意證據(jù)的真實(shí)性、完整性和可追溯性。定期進(jìn)行審查與更新由于法律法規(guī)和信息安全標(biāo)準(zhǔn)可能會不斷變化，組織應(yīng)定期審查并更新其同意證據(jù)的留存實(shí)踐。這可以確保組織始終保持在合規(guī)狀態(tài)，并能夠及時應(yīng)對任何新的法律或技術(shù)要求。29附錄A(資料性)App基本業(yè)務(wù)功能與擴(kuò)展業(yè)務(wù)功能的告知和同意App基本業(yè)務(wù)功能的告知告知用戶基本業(yè)務(wù)功能所涉及的個人信息處理方式和相關(guān)風(fēng)險，以便用戶做出明智的決策。闡述基本業(yè)務(wù)功能收集的個人信息類型、目的、范圍和頻率，確保用戶充分了解信息收集情況。明確告知用戶App的基本業(yè)務(wù)功能，包括但不限于注冊、登錄、瀏覽、搜索、購買、支付等核心功能。010203在用戶首次使用App時，通過彈窗、協(xié)議或隱私政策等形式，明確征求用戶對基本業(yè)務(wù)功能個人信息處理的同意。App基本業(yè)務(wù)功能的同意提供用戶自主選擇同意或拒絕的選項，確保用戶意愿得到充分尊重。在用戶同意后，App應(yīng)嚴(yán)格按照同意范圍進(jìn)行個人信息處理，不得超出用戶授權(quán)范圍。針對App提供的擴(kuò)展業(yè)務(wù)功能，如個性化推薦、社交分享、位置服務(wù)等，進(jìn)行單獨(dú)的告知和同意。遵循用戶同意原則，僅在用戶明確同意的情況下進(jìn)行擴(kuò)展業(yè)務(wù)功能的個人信息處理。同時，應(yīng)保障用戶隨時可撤銷同意并停止相關(guān)個人信息處理活動。在用戶選擇使用擴(kuò)展業(yè)務(wù)功能前，明確征求其對該功能個人信息處理的同意，并提供同意或拒絕的選項。告知用戶擴(kuò)展業(yè)務(wù)功能所需收集的個人信息類型、目的及處理方式，以便用戶了解并評估相關(guān)風(fēng)險。App擴(kuò)展業(yè)務(wù)功能的告知和同意0102030430附錄B(資料性)App嵌入第三方SDK場景下的告知和同意第三方SDK的定義和分類分類根據(jù)功能和服務(wù)類型的不同，第三方SDK可以分為支付類、統(tǒng)計類、社交分享類、廣告推送類等多種類型。定義第三方SDK是指由第三方提供的軟件開發(fā)工具包，用于在App中實(shí)現(xiàn)特定的功能或服務(wù)。App運(yùn)營者需向用戶明確告知嵌入的第三方SDK及其所收集的個人信息類型、目的、方式和范圍。告知義務(wù)在收集、使用個人信息前，需確保用戶已明確同意相關(guān)的隱私政策和服務(wù)協(xié)議。同意要求App嵌入第三方SDK的合規(guī)要求第三方SDK的隱私政策與App隱私政策的協(xié)調(diào)第三方SDK應(yīng)提供獨(dú)立的隱私政策，說明其收集、使用個人信息的情況。App運(yùn)營者需將第三方SDK的隱私政策與自身隱私政策進(jìn)行協(xié)調(diào)，確保用戶能夠全面了解個人信息的處理情況。安全風(fēng)險第三方SDK可能存在惡意代碼、數(shù)據(jù)泄露、權(quán)限濫用等安全風(fēng)險。防范措施App運(yùn)營者應(yīng)對第三方SDK進(jìn)行嚴(yán)格的安全檢測，確保其來源可靠、代碼安全，并定期對SDK進(jìn)行更新和漏洞修復(fù)。同時，加強(qiáng)與第三方SDK提供者的溝通與協(xié)作，共同應(yīng)對可能出現(xiàn)的安全問題。第三方SDK的安全風(fēng)險與防范措施31附錄C(資料性)處理不滿14周歲的未成年人個人信息的告知和同意使用簡明易懂的語言在告知未成年人或其監(jiān)護(hù)人時，應(yīng)使用簡單易懂、不含專業(yè)術(shù)語的語言，確保信息能夠準(zhǔn)確傳達(dá)。突出關(guān)鍵信息在告知內(nèi)容中，應(yīng)重點(diǎn)強(qiáng)調(diào)處理未成年人個人信息的目的、方式、范圍以及可能存在的風(fēng)險，以便相關(guān)方做出明智的決策。多樣化的告知方式根據(jù)未成年人的年齡和認(rèn)知水平，采取適當(dāng)?shù)母嬷绞?，如圖文結(jié)合、動畫演示等，以提高告知的有效性。告知的注意事項010203同意的獲取與處理敏感信息的特殊處理對于涉及未成年人敏感信息的處理，應(yīng)采取更加嚴(yán)格的保護(hù)措施，并確保在獲取同意時充分說明處理敏感信息的必要性和風(fēng)險。明確同意的范圍和時限在獲取同意時，應(yīng)明確告知同意的具體范圍和時限，以便相關(guān)方在合理范圍內(nèi)行使權(quán)利并承擔(dān)相應(yīng)義務(wù)。確保同意的自愿性在獲取未成年人或其監(jiān)護(hù)人的同意時，應(yīng)確保其充分了解并自愿做出決定，不存在任何欺詐、誤導(dǎo)或強(qiáng)迫行為。VS為確保未成年人個人信息的安全與合法處理，應(yīng)設(shè)立專門的監(jiān)督機(jī)制，對處理活動進(jìn)行定期檢查和評估。嚴(yán)厲打擊違法行為對于違反本指南規(guī)定的行為，應(yīng)依法予以嚴(yán)厲打擊，并追究相關(guān)責(zé)任人的法律責(zé)任，以確保未成年人個人信息的合法權(quán)益得到有效保障。設(shè)立專門的監(jiān)督機(jī)制監(jiān)督與追責(zé)32附錄D(資料性)智慧生活場景下的告知和同意定義與特點(diǎn)智慧生活場景指的是利用信息技術(shù)和智能化設(shè)備，為人們提供便捷、高效、智能的生活服務(wù)環(huán)境。涵蓋領(lǐng)域智慧生活場景概述智慧生活場景涉及智能家居、智慧出行、智慧醫(yī)療、智慧教育等多個領(lǐng)域。0102在智慧生活場景中，應(yīng)明確告知個人信息被收集、使用的目的、方式和范圍，以及可能存在的風(fēng)險。告知內(nèi)容告知應(yīng)以清晰易懂、易于獲取的方式呈現(xiàn)，如通過用戶界面展示、隱私政策說明等。告知方式智慧生活場景下的告知要求同意的要素有效的同意應(yīng)包含明確的意愿表達(dá)、對處理個人信息的充分知情以及可撤銷性。01智慧生活場景下的同意要求同意的獲取方式應(yīng)通過主動勾選、點(diǎn)擊確認(rèn)等方式獲取個人信息主體的明確同意，并確保同意的真實(shí)性和有效性。02智能家居場景在智能家居場景中，應(yīng)告知用戶智能設(shè)備收集的個人信息類型、目的和范圍，并獲取用戶明確同意后，方可進(jìn)行后續(xù)的個人信息處理操作。智慧出行場景在智慧出行場景中，如共享單車、網(wǎng)約車等，應(yīng)告知用戶行程信息、支付信息等個人敏感信息的處理情況，并在用戶充分知情并同意的前提下提供服務(wù)。智慧醫(yī)療場景在智慧醫(yī)療場景中，應(yīng)嚴(yán)格遵循相關(guān)法律法規(guī)，明確告知患者個人健康信息的收集、使用、共享等情況，并獲取患者或法定監(jiān)護(hù)人的明確同意。智慧生活場景下告知和同意的實(shí)踐案例33附錄E(資料性)公共場所場景下的告知和同意公共場所是指供公眾從事社會活動的各種場所，如商場、公園、車站等。定義人流量大、信息交互頻繁、涉及個人隱私與公共安全的平衡。特點(diǎn)公共場所的定義與特點(diǎn)公共場所場景下的告知要求清晰明了告知內(nèi)容應(yīng)簡潔明了，易于被公眾理解。明確告知收集、使用個人信息的目的，以及信息將用于何種服務(wù)或功能。目的明確根據(jù)場所特點(diǎn)選擇合適的告知方式，如公告牌、電子顯示屏等。方式合理提供多種同意方式供個人選擇，如口頭同意、書面同意、電子形式同意等?？蛇x擇性對獲取的同意進(jìn)行記錄，以便后續(xù)追溯和證明。記錄留存在收集、使用個人信息前，應(yīng)確保個人以明確的行為表示同意。明確同意公共場所場景下的同意獲取030201隱私保護(hù)在公共場所收集個人信息時，應(yīng)采取必要措施保護(hù)個人隱私。合法合規(guī)確保告知和同意過程符合相關(guān)法律法規(guī)要求，避免違法行為。靈活應(yīng)對針對不同公共場所的特點(diǎn)和需求，靈活調(diào)整告知和同意的策略。注意事項與常見問題34附錄F(資料性)個性化推送場景下的告知和同意定義基于個人信息主體的偏好、興趣、行為等數(shù)據(jù)，通過算法分析向其提供個性化內(nèi)容或服務(wù)的行為。范圍包括但不限于新聞資訊、商品推薦、廣告推送等場景。個性化推送定義與范圍推送目的明確告知個人信息主體進(jìn)行個性化推送的目的，如提升用戶體驗、實(shí)現(xiàn)精準(zhǔn)營銷等。數(shù)據(jù)來源說明用于個性化推送的數(shù)據(jù)來源，包括直接采集的個人信息以及間接獲取的數(shù)據(jù)。推送邏輯簡要描述個性化推送的算法原理、主要考量因素及可能產(chǎn)生的結(jié)果。030201告知要求在獲取個人信息主體明確同意后，方可進(jìn)行個性化推送。明確同意同意方式不同意選項提供清晰、易懂的同意方式，如勾選框、按鈕等，確保個人信息主體在充分知情的基礎(chǔ)上作出決定。同時提供不同意的選項，并說明不同意的后果，如可能無法接收部分推送內(nèi)容或服務(wù)。同意要求隱私保護(hù)在個性化推送過程中，應(yīng)采取必要措施保護(hù)個人信息主體的隱私安全，如加密存儲、匿名化處理等。合規(guī)性確保個性化推送行為符合相關(guān)法律法規(guī)的要求，如《個人信息保護(hù)法》、《數(shù)據(jù)安全法》等。透明度保持個性化推送的透明度，允許個人信息主體查看與管理自己的推送設(shè)置。注意事項35附錄G(資料性)云計算服務(wù)場景下的告知和同意彈性擴(kuò)展云計算服務(wù)可根據(jù)用戶需求快速調(diào)整資源規(guī)模，實(shí)現(xiàn)彈性擴(kuò)展。數(shù)據(jù)集中存儲云計算服務(wù)將數(shù)據(jù)集中存儲在數(shù)據(jù)中心，便于管理和維護(hù)。按需付費(fèi)用戶只需按實(shí)際使用量支付費(fèi)用，降低了一次性投入成本。云計算服務(wù)的特點(diǎn)服務(wù)類型及功能向用戶明確告知所提供的云計算服務(wù)類型及其具備的功能。數(shù)據(jù)使用目的和范圍闡述收集、使用用戶數(shù)據(jù)的具體目的和范圍，確保用戶了解個人信息的去向。數(shù)據(jù)存儲位置及跨境傳輸說明用戶數(shù)據(jù)存儲的具體位置，以及是否涉及跨境數(shù)據(jù)傳輸。云計算服務(wù)場景下的告知要素云計算服務(wù)場景下的同意方式隨時撤回同意用戶應(yīng)有權(quán)隨時撤回其同意，云計算服務(wù)商應(yīng)提供便捷的撤回同意方式。明確同意在獲取用戶個人信息前，需獲得用戶的明確同意，可通過勾選、點(diǎn)擊等方式進(jìn)行確認(rèn)。數(shù)據(jù)加密采用加密技術(shù)對數(shù)據(jù)進(jìn)行傳輸和存儲，確保數(shù)據(jù)在傳輸和存儲過程中的安全性。訪問控制實(shí)施嚴(yán)格的訪問控制策略，避免未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露。定期審計定期對云計算服務(wù)進(jìn)行安全審計，確保服務(wù)符合相關(guān)法律法規(guī)要求。云計算服務(wù)中的隱私保護(hù)措施36附錄H(資料性)車內(nèi)場景下的告知和同意車內(nèi)空間相對封閉，信息傳遞和交互主要依賴車載系統(tǒng)。封閉性車輛處于移動狀態(tài)，網(wǎng)絡(luò)環(huán)境不穩(wěn)定，影響信息告知的實(shí)時性。移動性車內(nèi)場景涉及乘客個人隱私，對信息安全和隱私保護(hù)要求較高。隱私性車內(nèi)場景的特點(diǎn)明確告知內(nèi)容應(yīng)向車內(nèi)人員清晰、準(zhǔn)確地告知個人信息的收集、使用、共享等處理情況，包括處理目的、方式、范圍等。獲取有效同意在收集、使用車內(nèi)人員的個人信息前，應(yīng)獲取其明確、具體的同意，確保其充分了解并同意相關(guān)處理行為。保障知情權(quán)車內(nèi)人員有權(quán)隨時查詢其個人信息的處理情況，相關(guān)組織應(yīng)提供便捷的查詢渠道，并及時響應(yīng)查詢請求。020301告知和同意的實(shí)施要點(diǎn)面臨的挑戰(zhàn)與應(yīng)對策略監(jiān)管與合規(guī)問題相關(guān)組織應(yīng)嚴(yán)格遵守國家法律法規(guī)和標(biāo)準(zhǔn)要求，定期接受監(jiān)管部門的審查和評估，確保車內(nèi)場景下的告知和同意行為合規(guī)有效。隱私保護(hù)問題加強(qiáng)車載系統(tǒng)的安全防護(hù)措施，采用加密、匿名化等技術(shù)手段保護(hù)車內(nèi)人員的個人隱私安全。網(wǎng)絡(luò)環(huán)境問題針對車內(nèi)網(wǎng)絡(luò)環(huán)境不穩(wěn)定的問題，可采用離線告知、緩存機(jī)制等技術(shù)手段，確保告知內(nèi)容的及時性和可達(dá)性。37附錄I(資料性)互聯(lián)網(wǎng)金融場景下的告知和同意互聯(lián)網(wǎng)金融業(yè)務(wù)主要通過網(wǎng)絡(luò)和移動設(shè)備進(jìn)行，用戶信息以數(shù)字化形式存在。數(shù)字化操作涉及的金融信息具有較高的敏感性，包括個人身份、財產(chǎn)狀況、交易記錄等。信息敏感性高互聯(lián)網(wǎng)金融服務(wù)不受地域限制，用戶可隨時隨地訪問自己的金融賬戶?？绲赜蛐曰ヂ?lián)網(wǎng)金融場景的特點(diǎn)010203保障用戶權(quán)益金融機(jī)構(gòu)應(yīng)采取必要措施保障用戶信息安全，同時為用戶提供便捷的查詢、更正、刪除等個人信息管理功能。明確告知信息處理目的金融機(jī)構(gòu)在收集、使用個人信息前，需明確告知用戶信息處理的目的，如用于風(fēng)險評估、交易監(jiān)控等。獲取明確同意在獲取用戶個人信息前，應(yīng)確保用戶充分了解并明確同意相關(guān)處理操作，可通過電子簽名、勾選同意框等方式確認(rèn)。告知和同意在互聯(lián)網(wǎng)金融場景中的具體應(yīng)用信息安全風(fēng)險加強(qiáng)技術(shù)防護(hù)手段，如數(shù)據(jù)加密、訪問控制等，確保用戶信息安全不被泄露。用戶隱私保護(hù)意識提升隨著用戶對隱私保護(hù)意識的提高，金融機(jī)構(gòu)需不斷完善告知和同意機(jī)制，以滿足用戶日益增長的隱私保護(hù)需求。法規(guī)政策遵循金融機(jī)構(gòu)在互聯(lián)網(wǎng)金融場景下開展業(yè)務(wù)時，需密切關(guān)注相關(guān)法規(guī)政策動態(tài)，確保合規(guī)經(jīng)營。面臨的挑戰(zhàn)與應(yīng)對策略38附錄J(資料性)網(wǎng)上購物場景下的告知和同意告知的要素明確網(wǎng)上購物平臺的法律實(shí)體，包括平臺運(yùn)營者、商家等，確保用戶能夠清晰識別信息來源。告知主體詳細(xì)闡述平臺在個人信息處理方面的政策，包括收集、使用、存儲、共享、保護(hù)等環(huán)節(jié)，以及用戶權(quán)益的保障措施。告知內(nèi)容采用合理、醒目的方式向用戶展示告知內(nèi)容，如隱私政策彈窗、用戶協(xié)議重點(diǎn)提示等，確保用戶能夠充分知悉并理解。告知方式明確用戶同意的方式，包括書面同意、點(diǎn)擊同意等，確保用戶的意愿能夠真實(shí)、準(zhǔn)確地表達(dá)。同意的形式要求用戶在充分了解告知內(nèi)容的基礎(chǔ)上作出明確同意，避免模糊、含糊的同意表述，確保用戶權(quán)益得到有效保障。同意的明確性向用戶說明同意的撤回方式及后果，保障用戶在個人信息處理過程中擁有自主權(quán)，隨時可根據(jù)自身需求調(diào)整同意范圍。同意的撤回同意的要素用戶注冊：在注冊過程中，向用戶明確告知平臺將收集哪些個人信息，如用戶名、密碼、聯(lián)系方式等，并征得用戶的明確同意。訂單處理與物流跟蹤：在用戶下單后，平臺需向用戶告知將收集其訂單信息、支付信息等，并征得同意，以便完成訂單處理和物流跟蹤。同時，應(yīng)保障用戶對這些信息的查詢、更正、刪除等權(quán)益。售后服務(wù)與投訴處理：在售后服務(wù)和投訴處理過程中，平臺可能需收集用戶的反饋意見、聯(lián)系方式等個人信息。此時，應(yīng)向用戶明確告知收集信息的目的和使用范圍，并征得用戶的同意。商品瀏覽與推薦：根據(jù)用戶的瀏覽記錄，向用戶推薦相關(guān)商品。在此過程中，需向用戶告知平臺將收集其瀏覽記錄，并征得同意，以便進(jìn)行個性化推薦。場景示例39附錄K(資料性)快遞物流場景下的告知和同意信息敏感性高快遞物流場景涉及個人姓名、地址、電話等敏感信息的處理和交換?？缃M織共享需求快