《信息安全技術+個人信息處理中告知和同意的實施指南gbt+42574-2023》詳細解讀

《信息安全技術個人信息處理中告知和同意的實施指南gb/t42574-2023》詳細解讀contents目錄1范圍2規(guī)范性引用文件3術語和定義4縮略語5告知的適用情形5.1收集個人信息contents目錄5.2提供、公開個人信息5.3處理活動等發(fā)生變更5.4其他情形6同意的適用情形6.1需取得同意的情形6.2免于取得同意的情形7告知和同意的基本原則contents目錄7.1告知的基本原則7.2同意的基本原則7.3告知和同意宜考慮的要素8告知8.1告知的方式contents目錄8.2告知的內(nèi)容8.3告知的實施9同意9.1同意機制的選擇9.2同意的實施9.3單獨同意的實施9.4書面同意的實施9.5拒絕同意的實施contents目錄9.6同意的撤回9.7同意的證據(jù)留存附錄A(資料性)App基本業(yè)務功能與擴展業(yè)務功能的告知和同意附錄B(資料性)App嵌入第三方SDK場景下的告知和同意附錄C(資料性)處理不滿14周歲的未成年人個人信息的告知和同意附錄D(資料性)智慧生活場景下的告知和同意contents目錄附錄E(資料性)公共場所場景下的告知和同意附錄F(資料性)個性化推送場景下的告知和同意附錄G(資料性)云計算服務場景下的告知和同意附錄H(資料性)車內(nèi)場景下的告知和同意contents目錄附錄I(資料性)互聯(lián)網(wǎng)金融場景下的告知和同意附錄J(資料性)網(wǎng)上購物場景下的告知和同意附錄K(資料性)快遞物流場景下的告知和同意附錄L(資料性)互聯(lián)網(wǎng)房產(chǎn)經(jīng)紀服務場景下的告知和同意contents目錄附錄M(資料性)個人身份認證場景下的告知和同意附錄N(資料性)可推定為同意的情形示例參考文獻011范圍本標準適用于各類組織，包括但不限于政府機關、企事業(yè)單位、社會團體等，在個人信息處理活動中告知和獲取同意的行為。主體本標準所指個人信息包括但不限于自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等?？腕w適用主體和客體包括從信息主體直接收集和通過間接方式獲取的個人信息。個人信息收集包括對個人信息的加工、處理、分析、比對、展示、共享、轉讓、公開披露等行為。個人信息使用包括個人信息的保密、完整、可用以及可追溯等保護措施。個人信息保護涉及的活動范圍010203本標準作為推薦性國家標準，為各類組織在個人信息處理活動中告知和獲取同意提供指導。組織應結合自身實際情況，制定符合本標準的個人信息處理政策，并通過適當方式公開，接受社會監(jiān)督。標準的約束力022規(guī)范性引用文件確保實施指南的準確性和權威性通過引用相關的規(guī)范性文件，可以確保本實施指南的內(nèi)容與最新的法規(guī)、標準保持一致，從而提高其準確性和權威性。提供讀者更全面的參考引用文件可以為讀者提供更詳細、更全面的背景信息和參考資料，有助于讀者更好地理解和應用本實施指南。引用文件的目的《中華人民共和國網(wǎng)絡安全法》作為個人信息處理的基本法律框架，明確了個人信息保護的原則和要求?！缎畔踩夹g個人信息安全規(guī)范》提供了個人信息保護的具體技術和管理措施，是本實施指南的重要參考依據(jù)。其他相關法規(guī)和標準根據(jù)實際需要，本實施指南還可能引用其他與個人信息處理相關的法規(guī)、標準等文件。主要引用的文件對于重要的法規(guī)、標準等文件，采取直接引用的方式，確保內(nèi)容的準確無誤。直接引用在引用文件時，應優(yōu)先選擇其最新版本，以確保內(nèi)容的時效性和有效性。遵循最新版本原則在引用文件的內(nèi)容時，應保持與原文的一致，避免產(chǎn)生歧義或誤導讀者。保持與原文一致引用文件的方式和原則033術語和定義個人信息主體主體合法性個人信息主體應當是合法的，即具備相應的民事行為能力，能夠獨立享有權利并承擔義務。權利主體個人信息主體享有對其個人信息的知情權、同意權、查詢權、更正權、刪除權等一系列權利。自然人個人信息主體是指產(chǎn)生個人信息的自然人，是個人信息的原始來源。個人信息處理者是指決定處理目的和處理方式的組織或個人，包括但不限于網(wǎng)絡運營者、應用開發(fā)者等。定義與范圍個人信息處理者需遵循合法、正當、透明原則，處理個人信息前應向個人信息主體告知處理目的、方式、范圍等，并征得明確同意。同時，應采取必要措施保障個人信息的安全。義務與責任個人信息處理者同意的撤回個人信息主體應有權隨時撤回其同意，個人信息處理者應在收到撤回請求后停止處理相關個人信息。告知要素告知應包括處理個人信息的主體、目的、方式、范圍、規(guī)則等關鍵要素，確保個人信息主體充分了解其個人信息被處理的情況。同意要求同意應當是個人信息主體在充分知情的前提下自愿、明確作出的意思表示。默示同意、捆綁同意等不被視為有效同意。告知和同意044縮略語PIA:個人信息安全影響評估（PersonalInformationSecurityImpactAssessment）的縮寫，是一種評估個人信息處理活動對信息主體合法權益及國家安全可能產(chǎn)生的影響的機制和過程。ISMS:信息安全管理體系（InformationSecurityManagementSystem）的縮寫，是組織在整體或特定范圍內(nèi)建立信息安全方針和目標，以及完成這些目標所用方法的體系。ISO:國際標準化組織（InternationalOrganizationforStandardization）的縮寫，是一個全球性的非政府組織，致力于促進國際間標準化及相關活動的發(fā)展。PI:個人信息（PersonalInformation）的縮寫，指以電子或其他方式記錄的能夠單獨或與其他信息結合識別特定自然人身份或反映特定自然人活動情況的各種信息。常見縮略語解釋縮略語在標準中的應用01在《信息安全技術個人信息處理中告知和同意的實施指南》中，使用縮略語可以大大提升文本的簡潔性，避免重復性的長句表述，使標準更加易讀、易懂。縮略語的應用也是專業(yè)性的體現(xiàn)，能夠準確、簡潔地表達專業(yè)術語，確保標準的專業(yè)性和嚴謹性。使用國際通用的縮略語，還有利于國內(nèi)標準與國際接軌，便于國際間的交流與合作。0203提升文本簡潔性專業(yè)性體現(xiàn)便于國際交流縮略語的學習與掌握對于從事信息安全領域的工作者來說，學習和掌握這些縮略語是必不可少的，這不僅有助于理解標準內(nèi)容，還能提高工作效率和準確性?？梢酝ㄟ^查閱相關專業(yè)書籍、參加培訓課程等方式來學習和掌握這些縮略語的含義和應用。同時，隨著技術的不斷發(fā)展和標準的更新迭代，也需要不斷關注和學習新的縮略語。055告知的適用情形告知收集目的在收集個人信息前，應向信息主體明確告知收集的目的，確保信息主體在充分了解的基礎上作出同意。告知收集方式告知收集范圍5.1個人信息收集階段的告知說明收集個人信息所采用的方式，如線上填寫、調(diào)查問卷、傳感器收集等，以便信息主體了解個人信息的來源。明確告知將收集哪些個人信息，如姓名、聯(lián)系方式、地理位置等，避免過度收集。告知使用目的在使用個人信息時，應向信息主體告知使用目的，確保信息的使用符合信息主體的預期。告知使用方式闡述個人信息將如何被使用，包括自動化決策、數(shù)據(jù)分析等，以便信息主體了解個人信息的具體應用場景。告知共享情況如需將個人信息共享給第三方，應向信息主體明確告知共享的對象、目的及安全措施。5.2個人信息使用階段的告知5.3個人信息處理其他情形的告知告知變更情況當個人信息的處理目的、方式或范圍發(fā)生變化時，應及時向信息主體告知變更情況，并重新取得同意。告知風險及措施告知權利及行使方式向信息主體說明處理個人信息可能存在的風險及相應的安全保護措施，以提高信息主體的安全意識。向信息主體明確告知其享有的權利，如查詢、更正、刪除等，并提供便利的行使權利的途徑。065.1收集個人信息合法性原則收集個人信息必須具有明確、合理的目的，且該目的需與業(yè)務功能直接相關。正當性原則必要性原則收集的個人信息應限于實現(xiàn)目的所需的最小范圍，避免過度收集。收集個人信息必須遵循相關法律法規(guī)，確保信息收集的合法性。個人信息收集原則在收集個人信息前，應向信息主體明確告知收集信息的目的、方式、范圍及可能存在的風險。告知義務必須獲得信息主體的明確同意，方可進行個人信息的收集。同意獲取收集的個人信息應嚴格保密，防止信息泄露、濫用或非法獲取。保密義務個人信息收集要求制定收集計劃明確收集目的、范圍、方式及時間節(jié)點等要素，制定詳細的收集計劃。履行告知義務按照相關法律法規(guī)要求，向信息主體充分告知并獲取其同意。實施收集操作遵循收集計劃，通過合法、正當手段進行個人信息的收集。信息安全保護加強收集過程中個人信息的保護，確保信息不被非法獲取或泄露。個人信息收集流程規(guī)范075.2提供、公開個人信息個人信息提供必須遵循相關法律法規(guī)，確保信息來源的合法性。合法性僅提供實現(xiàn)目的所需的最少個人信息，避免過度提供。最小化原則所提供的個人信息必須真實、準確，不得提供虛假或誤導性的信息。準確性個人信息提供的要求必須獲得信息主體的明確同意，才能公開其個人信息。明確同意公開個人信息的條件公開個人信息必須具有明確、合理的目的，且該目的需符合法律法規(guī)的規(guī)定。合法目的在公開個人信息前，應采取必要的安全措施，確保信息在傳輸、存儲等環(huán)節(jié)的安全性。安全保障個人信息提供與公開的注意事項010203隱私保護在提供或公開個人信息時，應充分考慮信息主體的隱私權益，避免泄露其敏感信息。告知義務在提供或公開個人信息前，應向信息主體充分告知相關信息，包括提供或公開的目的、范圍、接收方等。記錄留存應建立完善的記錄留存機制，記錄個人信息的提供、公開情況，以便后續(xù)追溯和審計。085.3處理活動等發(fā)生變更變更類型包括個人信息的處理目的、處理類型、處理方式以及個人信息種類、匿名化措施等發(fā)生變更。變更范圍涉及個人信息處理活動的整體或部分環(huán)節(jié)，可能影響到個人信息的權益和使用。變更類型與范圍01告知時間在變更實施前，應向個人信息主體進行告知。變更告知要求02告知內(nèi)容包括變更的具體內(nèi)容、目的、影響以及可能存在的風險。03告知方式應通過合理方式，如郵件、短信、應用內(nèi)通知等，確保個人信息主體能夠及時、準確地獲取變更信息。變更同意要求在變更涉及個人敏感信息或重要業(yè)務時，應重新取得個人信息主體的明確同意。同意前提可通過書面、電子化等方式進行同意，應確保同意的真實性和有效性。同意方式如個人信息主體不同意變更，應提供拒絕或退出相關處理活動的選項，并保障其合法權益。不同意處理變更實施與監(jiān)督監(jiān)督與檢查建立監(jiān)督機制，對變更過程進行定期檢查與評估，確保變更符合法律法規(guī)要求，并保障個人信息的安全與合法使用。實施流程制定詳細的變更實施計劃，包括時間節(jié)點、責任人等，確保變更的平穩(wěn)過渡。095.4其他情形在特定情況下，法律法規(guī)可能允許未經(jīng)個人同意處理其個人信息，如涉及國家安全、公共利益等情形。法律法規(guī)允許的例外對于無民事行為能力或限制民事行為能力的個人信息主體，其監(jiān)護人或法定代理人需代為行使相關權利。個人信息主體無民事行為能力或限制民事行為能力個人信息處理中的特殊情形緊急情況下的處理在緊急情況下，如自然災害、事故災難等，為確保個人信息安全，可能無法事先獲得個人同意，此時可在事后向個人信息主體告知并征得同意。履行法定義務的處理在履行法定義務時，如配合執(zhí)法部門調(diào)查、取證等，可能需在不經(jīng)過個人同意的情況下處理其個人信息。此時，應確保處理行為合法合規(guī)，并在可能的情況下及時告知個人信息主體。告知和同意的例外情況明確敏感個人信息的定義，如涉及個人隱私、種族、宗教信仰、政治立場等的信息，以及相關法律法規(guī)規(guī)定的敏感信息。敏感個人信息的定義與范圍處理敏感個人信息時，應嚴格遵守相關法律法規(guī)，確保處理行為合法、正當、必要，并采取嚴格的安全保護措施，防止信息泄露、濫用等風險。同時，應盡可能獲得個人信息主體的明確同意，并在處理過程中保持透明、可審計。敏感個人信息的處理要求敏感個人信息的特殊處理106同意的適用情形同意需明確表達意愿，不得含糊不清或產(chǎn)生歧義。明確性在作出同意前，個人信息主體應充分了解信息處理的目的、方式、范圍及可能的風險。知情性個人信息主體應自主作出同意，不受欺詐、脅迫等不正當手段的干擾。自愿性同意的基本原則同意的適用場景信息收集在收集個人信息時，需獲得信息主體的明確同意，確保其了解并接受信息收集的目的和方式。信息使用使用個人信息前，應獲取信息主體的同意，包括信息使用的目的、范圍和時限等。信息共享當需要將個人信息共享給第三方時，必須獲得信息主體的明確同意，并告知共享的目的和接收方。法律法規(guī)另有規(guī)定如相關法律法規(guī)對個人信息處理有明確規(guī)定，可依法進行，無需另行獲得同意。同意的例外情形保護公共利益為維護國家安全、公共安全等重大公共利益，可在未經(jīng)同意的情況下處理個人信息。緊急情況下保護個人權益在緊急情況下，為保護個人信息主體的生命、財產(chǎn)安全等合法權益，可先行處理個人信息，事后及時向信息主體告知并補充獲得同意。116.1需取得同意的情形變更處理目的或方式當處理個人信息的目的、方式或范圍發(fā)生變化時，需重新向信息主體告知并取得同意。敏感信息處理對于涉及個人隱私、種族、民族、宗教信仰等敏感信息的處理，必須獲得信息主體的明確同意。初次處理在首次進行個人信息處理活動前，應向信息主體明確告知處理目的、方式及范圍，并取得其同意。個人信息處理前的同意跨境數(shù)據(jù)傳輸將個人信息傳輸至境外時，需向信息主體告知境外接收方的相關信息，并取得其同意。自動化決策利用個人信息進行自動化決策時，應告知信息主體決策的邏輯及可能產(chǎn)生的影響，并獲取其同意。公開個人信息在公開個人信息前，必須獲得信息主體的明確同意，并告知其公開的范圍、目的及可能帶來的風險。特定場景下的同意要求同意的例外情形法律法規(guī)另有規(guī)定當法律法規(guī)對個人信息處理有明確規(guī)定時，可依法進行處理，無需另行取得信息主體的同意。保護信息主體權益所必需在緊急情況下，為保護信息主體的生命、財產(chǎn)安全等重大權益，可未經(jīng)同意進行必要的個人信息處理。履行法定職責或義務所必需相關機構在履行法定職責或義務時，可依法進行個人信息處理，無需取得信息主體的同意。但應確保處理活動的合法性與正當性。126.2免于取得同意的情形01涉及國家安全、公共安全等重大公共利益在這些情形下，個人信息的處理可能無需取得個人同意，以維護國家安全和公共安全的需要。緊急情況下保護個人生命健康當個人生命健康面臨緊急危險時，處理個人信息以盡快聯(lián)系到相關人員或提供救助，可免于取得同意。履行法定職責或法定義務所必需如稅務部門依法進行稅收征管，或法律要求企業(yè)向監(jiān)管部門報告某些數(shù)據(jù)，這些情況下處理個人信息無需個人同意。法律法規(guī)規(guī)定情形0203個人信息主體已公開的情形合法公開渠道獲取如通過政府公開數(shù)據(jù)、新聞報道等合法渠道獲取的個人信息，處理這些信息時，若符合相關法律法規(guī)規(guī)定，可能也無需取得個人同意。個人信息主體自行公開當個人自行在公開渠道（如社交媒體）上公開其個人信息時，這些信息被視為已公開信息，處理這些信息可能無需再次取得個人同意。匿名化處理后的信息經(jīng)過匿名化處理，無法識別到特定個人的信息，處理這些信息時可能無需取得個人同意。個人信息主體明確拒絕或無法取得聯(lián)系當個人信息主體明確拒絕處理其信息，或因客觀原因無法取得聯(lián)系時，若符合相關法律法規(guī)規(guī)定，處理這些信息可能也無需取得個人同意。但需注意，這種情況下的處理應嚴格遵循法律法規(guī)的要求，確保個人信息安全。其他規(guī)定情形137告知和同意的基本原則合法性原則個人信息處理必須遵循相關法律法規(guī)的要求，確保告知和同意的合法性。處理者應明確告知個人信息的處理目的、方式、范圍等，并獲得個人的明確同意。正當性原則告知和同意必須基于正當、合理的目的進行，不得損害個人的合法權益。處理者應充分說明處理個人信息的必要性和合理性，以獲得個人的理解和支持。透明性原則處理者應以清晰易懂的方式向個人告知個人信息的處理情況，確保告知的透明性。告知內(nèi)容應包括個人信息的來源、處理流程、安全措施等，以便個人全面了解其信息處理情況?！啊皞€人應有權自主決定是否同意其個人信息的處理，以及同意的范圍和方式。處理者應尊重個人的自主選擇，不得通過欺詐、脅迫等手段獲取個人的同意。自主性原則147.1告知的基本原則使用簡明扼要的語言避免使用過于專業(yè)或復雜的詞匯，確保信息以通俗易懂的方式傳達。邏輯結構清晰按照重要性和關聯(lián)性對信息進行排序，幫助個人更好地理解告知內(nèi)容。突出關鍵信息對于重要的告知事項，采用加粗、放大字體等方式進行突出顯示。清晰易懂確保信息來源可靠告知的信息應來源于權威、可信的渠道，避免傳播虛假或誤導性信息。及時更新信息隨著情況的變化，及時更新告知內(nèi)容，以保持其時效性。內(nèi)容準確無誤對告知的信息進行仔細校對，確保其真實性和準確性。真實準確涵蓋所有必要信息告知應包含個人信息處理的目的、方式、范圍、存儲期限等關鍵要素，確保個人能夠全面了解情況。詳細說明處理流程對個人信息處理的具體流程進行詳細說明，包括收集、使用、共享、刪除等環(huán)節(jié)。提供相關法律依據(jù)在告知中引用相關的法律法規(guī)或政策文件，為個人信息處理提供合法依據(jù)。全面具體保護個人敏感信息在告知中明確說明對個人敏感信息的保護措施，確保個人隱私不受侵犯。提供隱私保護政策鏈接在告知中提供隱私保護政策的鏈接，方便個人隨時查看和了解相關信息。合法合規(guī)使用信息嚴格遵守相關法律法規(guī)，確保個人信息的合法使用和處理。尊重個人隱私157.2同意的基本原則同意必須基于個人自主意愿作出，不受任何外部不當干預或影響。自愿性個人應充分了解并理解所同意處理個人信息的范圍、目的和方式。同意的自愿性應得到充分保障，不得通過欺詐、脅迫等手段獲取。明確性同意應清晰、明確，不含糊或產(chǎn)生歧義。01個人信息處理者應向個人明確說明處理信息的具體目的、方式及范圍。02同意的明確性有助于確保個人信息被合法、正當、透明地處理。03個人有權知曉其個人信息被收集、使用、共享等處理情況。個人信息處理者應提供便捷的途徑，使個人能夠查詢、更正、刪除其個人信息。知情權是同意原則的基礎，有助于增強個人對信息的掌控感和信任度。知情權010203可撤銷性0302個人有權隨時撤銷先前作出的同意，且撤銷途徑應簡便易行。01可撤銷性保障了個人在信息處理過程中的自主權和選擇權。個人信息處理者應在收到撤銷請求后，及時停止處理相關信息并刪除或匿名化。167.3告知和同意宜考慮的要素明確告知處理個人信息的目的、范圍和方式，確保信息主體充分了解信息處理情況。告知的目的和范圍告知的要素采用簡潔明了的語言進行告知，避免使用過于專業(yè)或晦澀難懂的詞匯，確保信息主體能夠輕松理解。告知的清晰性和易理解性根據(jù)信息處理情況及時更新告知內(nèi)容，確保信息主體始終了解最新的處理情況。告知的時效性和更新頻率同意的要素同意的自愿性確保信息主體在充分了解告知內(nèi)容的基礎上，自主、自愿地作出同意決定，不受任何欺詐、脅迫或誤導。同意的明確性和具體性要求信息主體以明確、具體的方式表達同意，如簽署書面協(xié)議、勾選電子選項等，確保同意的真實性和可追溯性。同意的撤回權保障信息主體有權隨時撤回其同意，并明確撤回同意的方式和后果，確保信息主體對個人信息的自主控制權。在確保信息主體權益得到充分保障的前提下，合理滿足信息處理者的實際需求，實現(xiàn)雙方利益的平衡。平衡信息主體權益和信息處理需求針對不同場景下的個人信息處理活動，制定差異化、精細化的告知和同意要求，提高實施指南的適用性和可操作性。協(xié)調(diào)不同場景下的告知和同意要求告知和同意的平衡與協(xié)調(diào)178告知定義告知是指個人信息處理者在處理個人信息前，向個人信息主體明確、清晰地傳達處理其個人信息的目的、方式、范圍等關鍵信息的行為。目的告知的定義和目的確保個人信息主體充分了解其個人信息被處理的情況，保障其知情權和自主選擇權。0102告知個人信息主體享有的權益，如查詢、更正、刪除、撤回同意等，并提供行使這些權益的途徑和方式。處理目的明確說明處理個人信息的目的，如提供服務、改進技術、進行統(tǒng)計分析等。處理方式詳細描述處理個人信息的方式，包括收集、存儲、使用、加工、傳輸、提供、公開等。處理范圍準確界定處理的個人信息范圍，如個人基本資料、行為數(shù)據(jù)等。權益保障告知的內(nèi)容要求01030204VS告知應以清晰易懂的語言，通過書面形式（如隱私政策、用戶協(xié)議等）或顯著位置（如應用界面、網(wǎng)站首頁等）進行展示。時機在處理個人信息前，盡早向個人信息主體進行告知，確保其有足夠的時間和機會了解并作出同意或不同意的決定。形式告知的形式和時機準確性清晰性及時性確保告知內(nèi)容的真實、準確、完整，不夸大其詞或隱瞞重要信息。使用簡潔明了的語言進行表述，避免使用過于專業(yè)或晦澀難懂的詞匯。隨著處理目的、方式、范圍的變更，及時更新告知內(nèi)容，確保個人信息主體的知情權得到有效保障。告知的注意事項010203188.1告知的方式明確的告知方式在應用程序、網(wǎng)站等線上平臺中，通過彈窗、頁面提示等方式，向用戶展示個人信息處理的相關情況，以便用戶隨時查看并作出同意選擇。線上告知通過正式的文檔、隱私政策或用戶協(xié)議，詳細闡述個人信息處理的目的、范圍、方式等，確保信息主體能夠充分了解并作出明確同意。書面告知處理目的明確說明個人信息被處理的具體目的，如用于產(chǎn)品改進、數(shù)據(jù)分析等，確保信息主體了解信息被使用的真實意圖。01.清晰的告知內(nèi)容處理范圍詳細列舉將處理的個人信息類型，如姓名、聯(lián)系方式、地理位置等，以及這些信息將被用于何種場景，避免信息被濫用或超出預期范圍使用。02.權益保障告知信息主體在個人信息處理過程中享有的權益，如查詢、更正、刪除等，以及如何行使這些權益的具體途徑和方式，保障信息主體的合法權益得到有效維護。03.靈活的告知策略分層告知根據(jù)信息處理的復雜程度和風險等級，采取不同層次的告知策略。對于高風險或敏感信息的處理，應提供更為詳盡的告知內(nèi)容，以確保信息主體能夠充分知情并作出明智選擇。實時更新隨著業(yè)務發(fā)展和法律法規(guī)的變化，及時更新告知內(nèi)容，確保信息主體能夠持續(xù)了解最新的個人信息處理情況。同時，應提供便捷的查看方式，方便信息主體隨時了解相關信息。198.2告知的內(nèi)容告知的信息必須真實、準確，不得有誤導性陳述或遺漏關鍵信息。真實準確告知應以簡明扼要、易于理解的方式表達，避免使用過于專業(yè)或晦澀難懂的術語。清晰易懂告知應涵蓋所有關鍵信息，包括處理目的、數(shù)據(jù)類型、處理方式等，以便個人做出明智的決策。全面具體告知的基本原則在個人信息被收集、使用或共享之前，應向個人進行告知。事先告知告知應以顯著方式呈現(xiàn)，如在網(wǎng)站首頁、APP啟動頁等明顯位置進行提示。顯著位置根據(jù)業(yè)務場景和用戶需求，可采取彈窗、郵件、短信等多種方式進行告知。多種告知方式告知的時機與方式010203告知的要素處理者信息包括處理者的名稱、聯(lián)系方式等，以便個人在必要時進行聯(lián)系或投訴。處理目的與合法性基礎明確說明處理個人信息的目的，以及處理行為所依據(jù)的合法性基礎（如法律授權、個人同意等）。數(shù)據(jù)類型與來源詳細列出將收集的個人信息類型，以及這些信息的來源（如用戶輸入、第三方提供等）。數(shù)據(jù)接收方與境外傳輸如存在數(shù)據(jù)共享或向境外傳輸?shù)那闆r，應說明接收方的身份以及境外傳輸?shù)哪康?、安全保障措施等。敏感個人信息的特別告知明確的同意要求在收集、使用或共享敏感個人信息前，必須獲得個人的明確同意，并告知其相關風險和后果。特殊處理與保護說明對敏感個人信息將采取的特殊處理措施和安全保護手段，以確保其安全性和保密性。敏感信息定義與范圍明確界定敏感個人信息的定義和范圍，如生物識別信息、健康信息等。208.3告知的實施告知的原則010203合法性原則告知行為必須符合國家法律法規(guī)的要求，確保信息處理的合法性。透明性原則告知的內(nèi)容應清晰明了，避免使用晦澀難懂的術語，確保用戶能夠充分理解。必要性原則僅告知用戶必要的信息，避免過度告知導致用戶困擾和混淆。告知的內(nèi)容個人信息處理的目的明確告知用戶個人信息被處理的具體目的，以便用戶了解并作出判斷。02040301個人信息接收方說明將接收個人信息的第三方或部門，以及接收的目的和方式，確保用戶了解信息流向。處理的個人信息類型詳細列出將處理的個人信息類型，如姓名、地址、電話號碼等，讓用戶清楚哪些信息將被收集和處理。個人信息主體權利告知用戶作為個人信息主體所享有的權利，如查詢、更正、刪除等，引導用戶合理行使權利。線上告知通過網(wǎng)站、APP等線上渠道進行告知，便于用戶隨時查看和了解。線下告知通過紙質文件、公告等方式進行線下告知，確保不擅長使用線上渠道的用戶也能及時獲取告知信息。告知的方式在個人信息處理活動開始之前進行告知，確保用戶在充分了解情況的基礎上作出同意的決定。事先告知當個人信息處理的目的、方式等發(fā)生變更時，應及時進行告知，確保用戶權益不受影響。變更告知告知的時機219同意數(shù)據(jù)主體在充分知情的前提下，明確、清晰地表示同意對其個人信息進行特定處理。明確同意在特定場景下，如數(shù)據(jù)主體使用服務時，通過行為表示同意對其個人信息進行必要處理。默示同意包括數(shù)據(jù)主體的自主意愿、充分告知以及處理個人信息的明確性。同意的要素同意的定義自由給出同意必須是在沒有受到欺詐、脅迫或不正當影響的情況下自由給出的。明確具體同意必須是對特定個人信息處理活動的明確和具體的授權，不能是模糊或籠統(tǒng)的?？沙坊匦詳?shù)據(jù)主體有權隨時撤回其同意，且撤回同意后，個人信息處理者應停止相應處理活動。同意的有效性獲取方式個人信息處理者應通過合法、正當?shù)姆绞将@取數(shù)據(jù)主體的同意，如通過用戶界面交互、簽署書面協(xié)議等。記錄要求個人信息處理者應記錄數(shù)據(jù)主體同意的時間、方式、內(nèi)容等信息，以確保同意的可追溯性和證明力。同意的獲取與記錄法律法規(guī)另有規(guī)定如相關法律法規(guī)對個人信息的處理有特別規(guī)定，可不受同意的限制。同意的例外情況保護重大利益為保護國家安全、公共利益或數(shù)據(jù)主體或其他自然人的重大利益，可在未經(jīng)同意的情況下處理個人信息。緊急情況下在緊急情況下，如為挽救數(shù)據(jù)主體或其他自然人的生命、健康等，可在未經(jīng)同意的情況下處理個人信息。但事后應盡快告知數(shù)據(jù)主體并說明理由。229.1同意機制的選擇通過書面聲明、電子簽名、勾選同意選項等方式明確表達意愿。明示同意默示同意推斷同意基于行為分析推斷出信息主體的意愿，如繼續(xù)使用服務、不反對數(shù)據(jù)收集等。在特定場景下，結合信息主體的行為和環(huán)境因素，合理推斷其同意意愿。明確同意的類型和方式確保告知內(nèi)容明確、易懂，充分披露處理目的、方式、范圍等關鍵信息。告知內(nèi)容清晰設置清晰、明確的同意選項，便于信息主體作出選擇。同意選項明確妥善保存同意的記錄，以便后續(xù)追溯和證明。同意記錄留存同意要素的完整性自愿性保障確保同意是在信息主體自由意志下作出的，不受欺詐、脅迫等不正當手段影響。明確性要求同意必須明確無誤，不能含糊不清或存在歧義。同意的自愿性和明確性提供便捷的同意撤回途徑，尊重信息主體隨時改變意愿的權利。撤回機制當處理目的、方式等發(fā)生變化時，及時更新同意內(nèi)容，并再次征得信息主體的同意。更新流程同意的撤回與更新239.2同意的實施同意能力確保個人信息主體具備對個人信息處理的充分理解能力和同意能力，對于不具備完全民事行為能力的個人，應由其監(jiān)護人代為行使同意權。自由給予確保個人信息主體在充分知情的前提下，自愿、明確地作出同意表示，不受欺詐、脅迫等不正當手段的干擾。明確同意范圍個人信息主體應明確知曉并同意個人信息被收集、使用的具體范圍，包括信息類型、使用目的等。同意的要素線上獲取通過網(wǎng)絡平臺或應用程序，以點擊“同意”按鈕、勾選同意選項等方式獲取個人信息主體的明確同意。線下獲取在紙質表單上簽字、蓋章或按手印等方式，表示對個人信息處理的同意。錄音錄像在必要情況下，可通過錄音、錄像等方式記錄個人信息主體同意的過程，以確保同意的真實性和有效性。同意的獲取方式同意的例外情形法律法規(guī)另有規(guī)定根據(jù)相關法律法規(guī)的明確規(guī)定，某些特定情形下無需獲取個人信息主體的同意，如涉及國家安全、公共安全等重大利益的情況。個人信息主體已公開的信息對于個人信息主體已經(jīng)自行公開或者其他已經(jīng)合法公開的信息，可在不違背相關法律法規(guī)和雙方約定的前提下進行收集和使用。緊急情況下為保護個人信息主體利益在緊急情況下，為保護個人信息主體或他人的生命、健康、財產(chǎn)安全等合法權益，可先行處理個人信息，但應在事后及時向個人信息主體告知并征得同意。249.3單獨同意的實施單獨同意的必要性保護個人隱私單獨同意能夠確保個人在明確知曉并理解信息處理目的、方式和范圍的基礎上，作出自主決定，從而有效保護個人隱私。遵守法律法規(guī)提升用戶信任隨著數(shù)據(jù)保護法規(guī)的不斷完善，單獨同意已成為個人信息處理的合法性基礎之一，遵守單獨同意要求有助于企業(yè)合規(guī)經(jīng)營。通過單獨同意的實施，企業(yè)能夠向用戶展示其尊重和保護個人信息的決心，進而提升用戶對企業(yè)的信任度。明確告知義務在獲取單獨同意前，企業(yè)應向個人充分告知信息處理的目的、方式、范圍以及可能存在的風險，確保個人在充分知情的情況下作出決定。簡化操作流程保留同意記錄單獨同意的實施要點企業(yè)應設計簡潔明了的單獨同意操作流程，避免過于復雜或晦澀難懂的步驟，以便個人能夠輕松理解和操作。企業(yè)應妥善保存?zhèn)€人單獨同意的記錄，包括同意的時間、方式、內(nèi)容等，以便在必要時進行查證。避免捆綁同意隨著企業(yè)業(yè)務或個人信息處理方式的變更，企業(yè)應及時更新單獨同意的內(nèi)容，并重新獲取個人的同意，以確保同意的時效性和有效性。及時更新同意加強內(nèi)部培訓為確保單獨同意的正確實施，企業(yè)應加強內(nèi)部員工的培訓和教育，提高員工對單獨同意要求的理解和執(zhí)行力。企業(yè)在獲取單獨同意時，應避免將多個不相關的信息處理目的捆綁在一起，要求個人一次性作出同意，以免損害個人的自主選擇權。單獨同意的注意事項259.4書面同意的實施書面同意的適用范圍01當處理敏感個人信息時，如健康、生物識別等，應獲取個人的書面同意。在將個人信息傳輸至境外或提供給境外接收方時，需獲取書面同意以確保合規(guī)性。對于可能引發(fā)較高風險的處理活動，如自動化決策、大規(guī)模個人信息處理等，書面同意可提升處理活動的透明度和責任性。0203涉及敏感個人信息處理跨境數(shù)據(jù)傳輸高風險處理活動確保提供書面同意的個人具備相應的權利能力和行為能力。明確同意的主體書面同意的要素書面同意中應明確描述被授權的處理活動，包括處理目的、個人信息類型、處理方式等。清晰的授權內(nèi)容書面同意必須基于個人的自愿和真實意愿，不得通過欺詐、脅迫等手段獲取。自愿性和真實性書面同意的實施步驟制定書面同意模板根據(jù)具體業(yè)務場景和法規(guī)要求，制定合規(guī)的書面同意模板。向個人提供書面同意文件在處理個人信息前，向個人提供書面同意文件，并詳細解釋其內(nèi)容。簽署與存檔個人在充分理解并同意后簽署書面文件，企業(yè)需妥善存檔以備查驗。01持續(xù)更新與重新獲取隨著業(yè)務變化或法規(guī)更新，應及時更新書面同意內(nèi)容，并重新獲取個人的書面同意。書面同意的注意事項02保障個人權益在書面同意過程中，應充分保障個人的知情權、選擇權和撤回權等權益。03合規(guī)審查與監(jiān)督定期對書面同意的實施情況進行合規(guī)審查，確保符合相關法律法規(guī)要求。269.5拒絕同意的實施01信息主體明確表達不同意當信息主體明確表示不同意對其個人信息進行收集、使用、共享等處理活動時，相關組織或個人應尊重其意愿，停止相應的處理行為。超出告知范圍的處理如果信息處理者實際處理個人信息的范圍、目的或方式超出了原先告知信息主體的內(nèi)容，且未重新獲得信息主體的明確同意，信息主體有權拒絕此類超范圍的處理行為。違反法律法規(guī)的強制性規(guī)定對于違反國家法律法規(guī)強制性規(guī)定的信息處理行為，即使信息主體之前已表示同意，也有權隨時撤回并拒絕繼續(xù)同意。拒絕同意的情形0203信息處理者應設立專門渠道，接收并確認信息主體提出的拒絕同意請求，確保請求的真實性和合法性。接收并確認拒絕同意請求拒絕同意的實施流程一旦收到有效的拒絕同意請求，信息處理者應立即停止對相關信息主體的個人信息進行處理，包括收集、使用、共享等。停止相應處理行為信息處理者應詳細記錄拒絕同意請求的處理情況，包括請求的時間、內(nèi)容、處理結果等，并妥善保存相關證據(jù)以備查。記錄并保存相關證據(jù)拒絕同意的保障措施定期自查和整改信息處理者應定期對自身的個人信息處理活動進行自查，發(fā)現(xiàn)問題及時整改，確保個人信息處理活動的合規(guī)性。接受外部監(jiān)督和檢查信息處理者應積極配合相關監(jiān)管部門的監(jiān)督和檢查工作，如實提供相關資料和情況說明，確保拒絕同意制度的有效實施。加強內(nèi)部管理和培訓信息處理者應建立完善的內(nèi)部管理制度，加強對員工的培訓和教育，確保員工熟知拒絕同意的流程和操作規(guī)范。030201279.6同意的撤回同意撤回的定義同意撤回是指個人在先前已作出同意的情況下，有權隨時撤回其同意，并停止相關個人信息處理活動的行為。同意撤回是個人對其個人信息處理權限的一種重要控制手段，體現(xiàn)了個人自主意愿的尊重和隱私權的保護。同意撤回的條件撤回同意應當是自愿的、無條件的，個人不應受到任何不合理限制或阻礙。個人信息處理者應當提供便捷的方式，使個人能夠輕松地撤回其同意，如在線操作平臺、客服電話等。一旦個人撤回其同意，個人信息處理者應立即停止處理相關的個人信息，除非有法律另有規(guī)定或雙方另有約定。撤回同意后，個人信息處理者還應根據(jù)具體情況采取必要的措施，如刪除、匿名化或封存相關的個人信息，以確保其不再被處理。同意撤回的效力同意撤回的注意事項個人在撤回同意前，應充分了解撤回同意可能帶來的影響，如可能無法繼續(xù)使用某些服務或產(chǎn)品等。個人信息處理者應向個人明確告知撤回同意的具體操作流程和可能產(chǎn)生的后果，以便個人做出明智的決策?！啊?89.7同意的證據(jù)留存法律合規(guī)性證明在個人信息處理過程中，留存同意的證據(jù)是遵守相關法律法規(guī)的關鍵。它能夠幫助組織在面對法律審查或爭議時，證明其已經(jīng)獲得了信息主體的有效同意。01.證據(jù)留存的重要性風險管理依據(jù)同意證據(jù)的留存可作為組織進行信息安全風險管理的依據(jù)。通過分析這些證據(jù)，組織可以評估其處理個人信息的合法性、合規(guī)性以及潛在的風險點。02.保障信息主體權益在信息主體對其個人信息處理提出異議或投訴時，同意證據(jù)的留存可以支持組織快速響應并處理這些問題，從而保障信息主體的合法權益。03.可追溯性同意的證據(jù)應具備可追溯性，這意味著組織應能夠追蹤到每一個同意的來源和狀態(tài)。這要求組織在收集和處理同意證據(jù)時，必須建立完善的記錄和管理系統(tǒng)。完整性同意的證據(jù)必須完整，能夠清晰地反映信息主體在何時、何地以及基于何種目的給予了同意。任何模糊、缺失或篡改的證據(jù)都可能影響其法律效力。安全性同意證據(jù)的留存必須滿足嚴格的安全要求。組織應采取適當?shù)募夹g和管理措施，確保這些證據(jù)不被未經(jīng)授權的人員訪問、篡改或刪除。證據(jù)留存的具體要求證據(jù)留存的實施建議制定明確的政策與流程組織應制定關于同意證據(jù)留存的明確政策和流程，包括證據(jù)的收集、存儲、使用和處置等方面。這有助于確保所有相關人員都了解并遵循相同的標準。采用合規(guī)的技術解決方案為了滿足證據(jù)留存的要求，組織可以選擇使用合規(guī)的技術解決方案，如電子簽名、時間戳或區(qū)塊鏈等。這些技術可以幫助組織確保同意證據(jù)的真實性、完整性和可追溯性。定期進行審查與更新由于法律法規(guī)和信息安全標準可能會不斷變化，組織應定期審查并更新其同意證據(jù)的留存實踐。這可以確保組織始終保持在合規(guī)狀態(tài)，并能夠及時應對任何新的法律或技術要求。29附錄A(資料性)App基本業(yè)務功能與擴展業(yè)務功能的告知和同意App基本業(yè)務功能的告知告知用戶基本業(yè)務功能所涉及的個人信息處理方式和相關風險，以便用戶做出明智的決策。闡述基本業(yè)務功能收集的個人信息類型、目的、范圍和頻率，確保用戶充分了解信息收集情況。明確告知用戶App的基本業(yè)務功能，包括但不限于注冊、登錄、瀏覽、搜索、購買、支付等核心功能。010203在用戶首次使用App時，通過彈窗、協(xié)議或隱私政策等形式，明確征求用戶對基本業(yè)務功能個人信息處理的同意。App基本業(yè)務功能的同意提供用戶自主選擇同意或拒絕的選項，確保用戶意愿得到充分尊重。在用戶同意后，App應嚴格按照同意范圍進行個人信息處理，不得超出用戶授權范圍。針對App提供的擴展業(yè)務功能，如個性化推薦、社交分享、位置服務等，進行單獨的告知和同意。遵循用戶同意原則，僅在用戶明確同意的情況下進行擴展業(yè)務功能的個人信息處理。同時，應保障用戶隨時可撤銷同意并停止相關個人信息處理活動。在用戶選擇使用擴展業(yè)務功能前，明確征求其對該功能個人信息處理的同意，并提供同意或拒絕的選項。告知用戶擴展業(yè)務功能所需收集的個人信息類型、目的及處理方式，以便用戶了解并評估相關風險。App擴展業(yè)務功能的告知和同意0102030430附錄B(資料性)App嵌入第三方SDK場景下的告知和同意第三方SDK的定義和分類分類根據(jù)功能和服務類型的不同，第三方SDK可以分為支付類、統(tǒng)計類、社交分享類、廣告推送類等多種類型。定義第三方SDK是指由第三方提供的軟件開發(fā)工具包，用于在App中實現(xiàn)特定的功能或服務。App運營者需向用戶明確告知嵌入的第三方SDK及其所收集的個人信息類型、目的、方式和范圍。告知義務在收集、使用個人信息前，需確保用戶已明確同意相關的隱私政策和服務協(xié)議。同意要求App嵌入第三方SDK的合規(guī)要求第三方SDK的隱私政策與App隱私政策的協(xié)調(diào)第三方SDK應提供獨立的隱私政策，說明其收集、使用個人信息的情況。App運營者需將第三方SDK的隱私政策與自身隱私政策進行協(xié)調(diào)，確保用戶能夠全面了解個人信息的處理情況。安全風險第三方SDK可能存在惡意代碼、數(shù)據(jù)泄露、權限濫用等安全風險。防范措施App運營者應對第三方SDK進行嚴格的安全檢測，確保其來源可靠、代碼安全，并定期對SDK進行更新和漏洞修復。同時，加強與第三方SDK提供者的溝通與協(xié)作，共同應對可能出現(xiàn)的安全問題。第三方SDK的安全風險與防范措施31附錄C(資料性)處理不滿14周歲的未成年人個人信息的告知和同意使用簡明易懂的語言在告知未成年人或其監(jiān)護人時，應使用簡單易懂、不含專業(yè)術語的語言，確保信息能夠準確傳達。突出關鍵信息在告知內(nèi)容中，應重點強調(diào)處理未成年人個人信息的目的、方式、范圍以及可能存在的風險，以便相關方做出明智的決策。多樣化的告知方式根據(jù)未成年人的年齡和認知水平，采取適當?shù)母嬷绞?，如圖文結合、動畫演示等，以提高告知的有效性。告知的注意事項010203同意的獲取與處理敏感信息的特殊處理對于涉及未成年人敏感信息的處理，應采取更加嚴格的保護措施，并確保在獲取同意時充分說明處理敏感信息的必要性和風險。明確同意的范圍和時限在獲取同意時，應明確告知同意的具體范圍和時限，以便相關方在合理范圍內(nèi)行使權利并承擔相應義務。確保同意的自愿性在獲取未成年人或其監(jiān)護人的同意時，應確保其充分了解并自愿做出決定，不存在任何欺詐、誤導或強迫行為。VS為確保未成年人個人信息的安全與合法處理，應設立專門的監(jiān)督機制，對處理活動進行定期檢查和評估。嚴厲打擊違法行為對于違反本指南規(guī)定的行為，應依法予以嚴厲打擊，并追究相關責任人的法律責任，以確保未成年人個人信息的合法權益得到有效保障。設立專門的監(jiān)督機制監(jiān)督與追責32附錄D(資料性)智慧生活場景下的告知和同意定義與特點智慧生活場景指的是利用信息技術和智能化設備，為人們提供便捷、高效、智能的生活服務環(huán)境。涵蓋領域智慧生活場景概述智慧生活場景涉及智能家居、智慧出行、智慧醫(yī)療、智慧教育等多個領域。0102在智慧生活場景中，應明確告知個人信息被收集、使用的目的、方式和范圍，以及可能存在的風險。告知內(nèi)容告知應以清晰易懂、易于獲取的方式呈現(xiàn)，如通過用戶界面展示、隱私政策說明等。告知方式智慧生活場景下的告知要求同意的要素有效的同意應包含明確的意愿表達、對處理個人信息的充分知情以及可撤銷性。01智慧生活場景下的同意要求同意的獲取方式應通過主動勾選、點擊確認等方式獲取個人信息主體的明確同意，并確保同意的真實性和有效性。02智能家居場景在智能家居場景中，應告知用戶智能設備收集的個人信息類型、目的和范圍，并獲取用戶明確同意后，方可進行后續(xù)的個人信息處理操作。智慧出行場景在智慧出行場景中，如共享單車、網(wǎng)約車等，應告知用戶行程信息、支付信息等個人敏感信息的處理情況，并在用戶充分知情并同意的前提下提供服務。智慧醫(yī)療場景在智慧醫(yī)療場景中，應嚴格遵循相關法律法規(guī)，明確告知患者個人健康信息的收集、使用、共享等情況，并獲取患者或法定監(jiān)護人的明確同意。智慧生活場景下告知和同意的實踐案例33附錄E(資料性)公共場所場景下的告知和同意公共場所是指供公眾從事社會活動的各種場所，如商場、公園、車站等。定義人流量大、信息交互頻繁、涉及個人隱私與公共安全的平衡。特點公共場所的定義與特點公共場所場景下的告知要求清晰明了告知內(nèi)容應簡潔明了，易于被公眾理解。明確告知收集、使用個人信息的目的，以及信息將用于何種服務或功能。目的明確根據(jù)場所特點選擇合適的告知方式，如公告牌、電子顯示屏等。方式合理提供多種同意方式供個人選擇，如口頭同意、書面同意、電子形式同意等。可選擇性對獲取的同意進行記錄，以便后續(xù)追溯和證明。記錄留存在收集、使用個人信息前，應確保個人以明確的行為表示同意。明確同意公共場所場景下的同意獲取030201隱私保護在公共場所收集個人信息時，應采取必要措施保護個人隱私。合法合規(guī)確保告知和同意過程符合相關法律法規(guī)要求，避免違法行為。靈活應對針對不同公共場所的特點和需求，靈活調(diào)整告知和同意的策略。注意事項與常見問題34附錄F(資料性)個性化推送場景下的告知和同意定義基于個人信息主體的偏好、興趣、行為等數(shù)據(jù)，通過算法分析向其提供個性化內(nèi)容或服務的行為。范圍包括但不限于新聞資訊、商品推薦、廣告推送等場景。個性化推送定義與范圍推送目的明確告知個人信息主體進行個性化推送的目的，如提升用戶體驗、實現(xiàn)精準營銷等。數(shù)據(jù)來源說明用于個性化推送的數(shù)據(jù)來源，包括直接采集的個人信息以及間接獲取的數(shù)據(jù)。推送邏輯簡要描述個性化推送的算法原理、主要考量因素及可能產(chǎn)生的結果。030201告知要求在獲取個人信息主體明確同意后，方可進行個性化推送。明確同意同意方式不同意選項提供清晰、易懂的同意方式，如勾選框、按鈕等，確保個人信息主體在充分知情的基礎上作出決定。同時提供不同意的選項，并說明不同意的后果，如可能無法接收部分推送內(nèi)容或服務。同意要求隱私保護在個性化推送過程中，應采取必要措施保護個人信息主體的隱私安全，如加密存儲、匿名化處理等。合規(guī)性確保個性化推送行為符合相關法律法規(guī)的要求，如《個人信息保護法》、《數(shù)據(jù)安全法》等。透明度保持個性化推送的透明度，允許個人信息主體查看與管理自己的推送設置。注意事項35附錄G(資料性)云計算服務場景下的告知和同意彈性擴展云計算服務可根據(jù)用戶需求快速調(diào)整資源規(guī)模，實現(xiàn)彈性擴展。數(shù)據(jù)集中存儲云計算服務將數(shù)據(jù)集中存儲在數(shù)據(jù)中心，便于管理和維護。按需付費用戶只需按實際使用量支付費用，降低了一次性投入成本。云計算服務的特點服務類型及功能向用戶明確告知所提供的云計算服務類型及其具備的功能。數(shù)據(jù)使用目的和范圍闡述收集、使用用戶數(shù)據(jù)的具體目的和范圍，確保用戶了解個人信息的去向。數(shù)據(jù)存儲位置及跨境傳輸說明用戶數(shù)據(jù)存儲的具體位置，以及是否涉及跨境數(shù)據(jù)傳輸。云計算服務場景下的告知要素云計算服務場景下的同意方式隨時撤回同意用戶應有權隨時撤回其同意，云計算服務商應提供便捷的撤回同意方式。明確同意在獲取用戶個人信息前，需獲得用戶的明確同意，可通過勾選、點擊等方式進行確認。數(shù)據(jù)加密采用加密技術對數(shù)據(jù)進行傳輸和存儲，確保數(shù)據(jù)在傳輸和存儲過程中的安全性。訪問控制實施嚴格的訪問控制策略，避免未經(jīng)授權的訪問和數(shù)據(jù)泄露。定期審計定期對云計算服務進行安全審計，確保服務符合相關法律法規(guī)要求。云計算服務中的隱私保護措施36附錄H(資料性)車內(nèi)場景下的告知和同意車內(nèi)空間相對封閉，信息傳遞和交互主要依賴車載系統(tǒng)。封閉性車輛處于移動狀態(tài)，網(wǎng)絡環(huán)境不穩(wěn)定，影響信息告知的實時性。移動性車內(nèi)場景涉及乘客個人隱私，對信息安全和隱私保護要求較高。隱私性車內(nèi)場景的特點明確告知內(nèi)容應向車內(nèi)人員清晰、準確地告知個人信息的收集、使用、共享等處理情況，包括處理目的、方式、范圍等。獲取有效同意在收集、使用車內(nèi)人員的個人信息前，應獲取其明確、具體的同意，確保其充分了解并同意相關處理行為。保障知情權車內(nèi)人員有權隨時查詢其個人信息的處理情況，相關組織應提供便捷的查詢渠道，并及時響應查詢請求。020301告知和同意的實施要點面臨的挑戰(zhàn)與應對策略監(jiān)管與合規(guī)問題相關組織應嚴格遵守國家法律法規(guī)和標準要求，定期接受監(jiān)管部門的審查和評估，確保車內(nèi)場景下的告知和同意行為合規(guī)有效。隱私保護問題加強車載系統(tǒng)的安全防護措施，采用加密、匿名化等技術手段保護車內(nèi)人員的個人隱私安全。網(wǎng)絡環(huán)境問題針對車內(nèi)網(wǎng)絡環(huán)境不穩(wěn)定的問題，可采用離線告知、緩存機制等技術手段，確保告知內(nèi)容的及時性和可達性。37附錄I(資料性)互聯(lián)網(wǎng)金融場景下的告知和同意互聯(lián)網(wǎng)金融業(yè)務主要通過網(wǎng)絡和移動設備進行，用戶信息以數(shù)字化形式存在。數(shù)字化操作涉及的金融信息具有較高的敏感性，包括個人身份、財產(chǎn)狀況、交易記錄等。信息敏感性高互聯(lián)網(wǎng)金融服務不受地域限制，用戶可隨時隨地訪問自己的金融賬戶?？绲赜蛐曰ヂ?lián)網(wǎng)金融場景的特點010203保障用戶權益金融機構應采取必要措施保障用戶信息安全，同時為用戶提供便捷的查詢、更正、刪除等個人信息管理功能。明確告知信息處理目的金融機構在收集、使用個人信息前，需明確告知用戶信息處理的目的，如用于風險評估、交易監(jiān)控等。獲取明確同意在獲取用戶個人信息前，應確保用戶充分了解并明確同意相關處理操作，可通過電子簽名、勾選同意框等方式確認。告知和同意在互聯(lián)網(wǎng)金融場景中的具體應用信息安全風險加強技術防護手段，如數(shù)據(jù)加密、訪問控制等，確保用戶信息安全不被泄露。用戶隱私保護意識提升隨著用戶對隱私保護意識的提高，金融機構需不斷完善告知和同意機制，以滿足用戶日益增長的隱私保護需求。法規(guī)政策遵循金融機構在互聯(lián)網(wǎng)金融場景下開展業(yè)務時，需密切關注相關法規(guī)政策動態(tài)，確保合規(guī)經(jīng)營。面臨的挑戰(zhàn)與應對策略38附錄J(資料性)網(wǎng)上購物場景下的告知和同意告知的要素明確網(wǎng)上購物平臺的法律實體，包括平臺運營者、商家等，確保用戶能夠清晰識別信息來源。告知主體詳細闡述平臺在個人信息處理方面的政策，包括收集、使用、存儲、共享、保護等環(huán)節(jié)，以及用戶權益的保障措施。告知內(nèi)容采用合理、醒目的方式向用戶展示告知內(nèi)容，如隱私政策彈窗、用戶協(xié)議重點提示等，確保用戶能夠充分知悉并理解。告知方式明確用戶同意的方式，包括書面同意、點擊同意等，確保用戶的意愿能夠真實、準確地表達。同意的形式要求用戶在充分了解告知內(nèi)容的基礎上作出明確同意，避免模糊、含糊的同意表述，確保用戶權益得到有效保障。同意的明確性向用戶說明同意的撤回方式及后果，保障用戶在個人信息處理過程中擁有自主權，隨時可根據(jù)自身需求調(diào)整同意范圍。同意的撤回同意的要素用戶注冊：在注冊過程中，向用戶明確告知平臺將收集哪些個人信息，如用戶名、密碼、聯(lián)系方式等，并征得用戶的明確同意。訂單處理與物流跟蹤：在用戶下單后，平臺需向用戶告知將收集其訂單信息、支付信息等，并征得同意，以便完成訂單處理和物流跟蹤。同時，應保障用戶對這些信息的查詢、更正、刪除等權益。售后服務與投訴處理：在售后服務和投訴處理過程中，平臺可能需收集用戶的反饋意見、聯(lián)系方式等個人信息。此時，應向用戶明確告知收集信息的目的和使用范圍，并征得用戶的同意。商品瀏覽與推薦：根據(jù)用戶的瀏覽記錄，向用戶推薦相關商品。在此過程中，需向用戶告知平臺將收集其瀏覽記錄，并征得同意，以便進行個性化推薦。場景示例39附錄K(資料性)快遞物流場景下的告知和同意信息敏感性高快遞物流場景涉及個人姓名、地址、電話等敏感信息的處理和交換?？缃M織共享需求快