ICS35.030信息安全技術(shù)個人信息處理中告知和國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會IGB/T42574—2023 1 13術(shù)語和定義 1 25告知的適用情形 25.1收集個人信息 25.2提供、公開個人信息 35.3處理活動等發(fā)生變更 35.4其他情形 3 46.1需取得同意的情形 46.2免于取得同意的情形 47告知和同意的基本原則 67.1告知的基本原則 67.2同意的基本原則 67.3告知和同意宜考慮的要素 6 78.1告知的方式 78.2告知的內(nèi)容 88.3告知的實施 9.1同意機(jī)制的選擇 9.2同意的實施 9.3單獨(dú)同意的實施 9.4書面同意的實施 9.5拒絕同意的實施 9.6同意的撤回 9.7同意的證據(jù)留存 附錄A(資料性)App基本業(yè)務(wù)功能與擴(kuò)展業(yè)務(wù)功能的告知和同意 附錄B(資料性)App嵌入第三方SDK場景下的告知和同意 附錄C(資料性)處理不滿14周歲的未成年人個人信息的告知和同意 附錄D(資料性)智慧生活場景下的告知和同意 附錄E(資料性)公共場所場景下的告知和同意 附錄F(資料性)個性化推送場景下的告知和同意 Ⅱ附錄G(資料性)云計算服務(wù)場景下的告知和同意 附錄H(資料性)車內(nèi)場景下的告知和同意 附錄I(資料性)互聯(lián)網(wǎng)金融場景下的告知和同意 附錄J(資料性)網(wǎng)上購物場景下的告知和同意 附錄K(資料性)快遞物流場景下的告知和同意 附錄L(資料性)互聯(lián)網(wǎng)房產(chǎn)經(jīng)紀(jì)服務(wù)場景下的告知和同意 附錄M(資料性)個人身份認(rèn)證場景下的告知和同意 附錄N(資料性)可推定為同意的情形示例 ⅢGB/T42574—2023本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC260)提出并歸口。本文件起草單位：中國電子技術(shù)標(biāo)準(zhǔn)化研究院、深圳市騰訊計算機(jī)系統(tǒng)有限公司、中國信息通信研京百度網(wǎng)訊科技有限公司、北京小米移動軟件有限公司、華為技術(shù)有限公司、全知科技(杭州)有限責(zé)任有限公司、榮耀終端有限公司、北京京東尚科信息技術(shù)有限公司、OPPO廣東移動通信有限公司、重慶大大網(wǎng)絡(luò)科技有限公司、中國人民銀行數(shù)字貨幣研究所、飛利浦(中國)投資有限公司、螞蟻科技集團(tuán)股份有限公司、中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司、京東科技控股股份有限公司、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、中國石油蘭州石化自動化研究院、財付通支付科技有限公司、中國石油大慶油田信息技術(shù)公1GB/T42574—2023信息安全技術(shù)個人信息處理中告知和等活動提供參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文本文件。GB/T25069—2022信息安全技術(shù)術(shù)語GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范GB/T39335—2020信息安全技術(shù)個人信息安全影響評估指南GB/T25069—2022和GB/T35273—2020界定的以及下列術(shù)語和定義適用于本文件。3.1以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后3.2信息。人的個人信息。3.33.4使個人知曉其個人信息處理活動及其有關(guān)規(guī)則的行為。2GB/T42574—2023注：包括通過積極的行為作出授權(quán)(即明示同意),或者通過個人的行為而推定其作出授權(quán)。明示同意explicitconsent注：單獨(dú)同意的告知內(nèi)容與取得同意的方式需與其他處理活動予以區(qū)分。提供provision注：委托第三方處理個人信息的，不屬于向其他個人信息處理者提供個人信息的行為。4縮略語API:應(yīng)用程序編程接口(ApplicationProgrammingInterface)App:移動互聯(lián)網(wǎng)應(yīng)用程序(MobileIntIoT:物聯(lián)網(wǎng)(InternetofThings)IP:互聯(lián)網(wǎng)協(xié)議(InternetProto3GB/T42574—2023c)與個人交互并記錄個人的行為。d)從第三方間接獲取個人信息。e)從非完全公開渠道獲取個人信息。f)從與個人相關(guān)的他人賬號收集個人信息。a)向其他個人信息處理者提供個人信息；b)向境外提供個人信息；c)在一定范圍內(nèi)或向不特定范圍公開個人信息；處理活動等發(fā)生變更包括但不限于以下情形。注1:處理目的、方式的變更通常指個人信息處理者超出與收集個人信息時所告知的目的、方式具有直接或合理關(guān)注2:將不同產(chǎn)品或服務(wù)所收集的個人信息進(jìn)行匯聚融合通常屬于處理方式的變更。b)處理的個人信息種類發(fā)生變更。注3:處理的個人信息種類的變更通常包括：現(xiàn)有業(yè)務(wù)功能處理個人信息種類增加、新增業(yè)務(wù)功能處理額外個人信注4:接收方包括境外接收方。f)個人信息的保存期限延長。g)個人信息處理者的名稱或者姓名和聯(lián)系方式發(fā)生變更。注5:包括涉及向其他個人信息處理者提供個人信息或向境外提供個人信息時，接收方的名稱或者姓名和聯(lián)系方式h)個人行使其權(quán)利的方式和程序發(fā)生變更。其他情形包括但不限于以下情形。a)兩個及以上的個人信息處理者共同決定個人信息的處理目的和處理方式的。b)在產(chǎn)品或服務(wù)中接入需處理個人信息的其他個人信息處理者的產(chǎn)品或服務(wù)的。c)處理的個人信息涉及該個人以外的其他人的。4GB/T42574—2023f)個人行使權(quán)利，可能對其權(quán)益產(chǎn)生影響的。法簽訂的集體合同實施人力資源管理所必需；2)為履行法定職責(zé)或者法定義務(wù)所必需；3)為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下5)在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息；6)法律法規(guī)規(guī)定的其他情形。6同意的適用情形6.1需取得同意的情形6.2免于取得同意的情形括但不限于以下情形。理必要的個人信息。例如，按照電子商務(wù)合同約定配送貨物而處理個人的收貨地址、聯(lián)系相關(guān)事項以單獨(dú)成文、成段等顯著方式在個人使用基本業(yè)務(wù)功能前予以明確告知。注2:不能將個人信息保護(hù)政策等公開個人信息處理規(guī)則的文件視為與個人訂立的合同。注3:必要是指該個人信息為實現(xiàn)產(chǎn)品或服務(wù)的基本業(yè)務(wù)功能所必需，且該實現(xiàn)方式對個人權(quán)益影響最小(如最少信息等必要的個人信息。必要的運(yùn)行診斷數(shù)據(jù)等。注4:出于該目的處理的數(shù)據(jù)，不能關(guān)聯(lián)個人身份，且在披露的5GB/T42574—20236.2.2履行法定職責(zé)或者法定義務(wù)所必需履行法定職責(zé)或者法定義務(wù)所必需的個人信息處理活動，包括但不限于以下情形：b)履行法律法規(guī)規(guī)定的網(wǎng)絡(luò)實名認(rèn)證要求，處理有效身份證件、移動電話號碼等可以驗證個人真實身份的必要的個人信息；c)履行法律規(guī)定的網(wǎng)絡(luò)運(yùn)營管理和網(wǎng)絡(luò)安全保護(hù)等義務(wù)，處理相關(guān)網(wǎng)絡(luò)日志信息，如IP地址、訪問時間等；d)差旅住宿、航空、鐵路運(yùn)輸、出行服務(wù)等行業(yè)，按照相關(guān)法律法規(guī)規(guī)定處理個人的實名身份e)重要支付系統(tǒng)、證券結(jié)算系統(tǒng)等國家金融基礎(chǔ)設(shè)施為履行法定義務(wù)，提供支付結(jié)算、證券登記f)與《中華人民共和國國家安全法》《中華人民共和國國防法》等法律規(guī)定國家安全、國防安全面臨現(xiàn)實、緊迫的危險有關(guān)的個人信息處理活動；g)根據(jù)法律法規(guī)規(guī)定，為配合執(zhí)法或司法機(jī)關(guān)要求提供相關(guān)個人信息；h)根據(jù)法律明確規(guī)定的方式與程序，對具體案件開展的與犯罪偵查直接相關(guān)的調(diào)查活動中涉及的個人信息處理活動。例如，為偵查刑事案件，偵查機(jī)關(guān)根據(jù)法律規(guī)定，向其他個人信息處理者或他人收集犯罪嫌疑人、被告人的指紋、脫氧核糖核酸(DNA)等生物信息、通話記錄、上網(wǎng)記錄等個人信息。6.2.3為應(yīng)對突發(fā)公共衛(wèi)生事件或者緊急情況所必需為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財產(chǎn)安全所必需的個人信息處理活動，包括但不限于以下情形：a)在突發(fā)重大傳染病疫情、群體性不明原因疾病、重大食物中毒或重大職業(yè)中毒事件以及其他嚴(yán)重影響公眾健康的事件時，為推進(jìn)應(yīng)急處理工作，有關(guān)國家部門、醫(yī)療機(jī)構(gòu)、疾病預(yù)防控制機(jī)構(gòu)、衛(wèi)生監(jiān)督機(jī)構(gòu)、出入境檢驗檢疫機(jī)構(gòu)等應(yīng)急參與機(jī)構(gòu)向有關(guān)個人或個人信息處理者收集、b)因患者陷入嚴(yán)重昏迷等情形無法取得本人同意，不及時救助將使得其生命健康遭受現(xiàn)實、緊迫信息；的身份信息、位置等必要的個人信息；d)其他為了使自然人生命健康、財產(chǎn)安全免受正在進(jìn)行的不法侵害或正在發(fā)生的危險，為阻斷不法侵害或排除危險處理個人信息的情形。6.2.4為公共利益實施新聞報道、輿論監(jiān)督等行為在合理的范圍內(nèi)處理個人信息為公共利益實施新聞報道、輿論監(jiān)督等行為在合理的范圍內(nèi)處理個人信息，包括但不限于以下情形：a)新聞媒體為公共利益報道時事新聞、熱點(diǎn)事件等，合理使用自然人的姓名等個人信息；b)新聞媒體為公共利益實施輿論監(jiān)督行為，合理使用自然人的姓名等個人信息。6GB/T42574—20236.2.5在合理的范圍內(nèi)處理已公開的個人信息在合理的范圍內(nèi)處理個人自行公開或者其他已合法公開的個人信息，包括但不限于以下情形。a)個人自行公開或其他已合法公開的個人信息，包括但不限于以下內(nèi)容。1)個人自行公開且已知悉或應(yīng)當(dāng)知悉可被不特定用戶訪問的個人信息。2)個人向有關(guān)單位提供的信息，在提供時明確知悉其提供的信息將會被向社會公眾公開。例如，用人單位在網(wǎng)站、宣傳冊等公開員工提供的簡要職業(yè)履歷等信息。3)新聞媒體公開報道的信息。執(zhí)行人等主體的信息。b)合理范圍內(nèi)處理是指個人未明確拒絕處理、處理未顯著違背個人公開目的且未對個人權(quán)益造成重大影響。6.2.6法律法規(guī)規(guī)定的其他情形法律法規(guī)規(guī)定的其他可免于取得個人同意的情形。7告知和同意的基本原則7.1告知的基本原則個人信息處理者在實施告知時需考慮以下基本原則：等方式誘導(dǎo)個人略過告知內(nèi)容；b)有效傳達(dá)：盡可能通過交互式界面、郵件、電話或短信等方式向相關(guān)7.2同意的基本原則個人信息處理者在取得個人同意時需考慮以下基本原則：a)告知一致：取得同意的范圍不超出所告知的內(nèi)容；b)自主選擇：支持個人通過自行操作的方式作出同意，不使用默認(rèn)勾選的方式取得同意；業(yè)務(wù)功能與所收集的個人信息之間關(guān)聯(lián)性的理解；d)避免捆綁：區(qū)分產(chǎn)品或服務(wù)的業(yè)務(wù)功能，不采用捆綁方式強(qiáng)迫個人一次性同意多種業(yè)務(wù)功能可能收集的個人信息或多個處理活動；個人拒絕同意時，不影響與該個人信息無關(guān)的業(yè)務(wù)功能的正常使用。7.3告知和同意宜考慮的要素個人信息處理者在實施告知和同意時宜考慮以下要素，優(yōu)化告知和同意的方案和機(jī)制：7GB/T42574—2023a)友好展示：使用友好、生動、形象的方式編輯告知內(nèi)容，優(yōu)化告知內(nèi)容組織形式，以便于個人理解；c)考慮影響：設(shè)計告知和同意方案時，可考慮個人信息處理活動對個人權(quán)益的影響程度以及個人d)區(qū)分階段：根據(jù)個人使用產(chǎn)品或服務(wù)的不同階段及交互場景，選用個人信息保護(hù)政策、彈窗提示、文字說明等不同的告知和同意方案；e)兼顧差異：考慮復(fù)雜多樣的網(wǎng)絡(luò)條件、軟硬件差等，使用可廣泛適用且兼顧特定群體的告知和同意方案。8告知8.1告知的方式個人信息處理者實施告知時，需結(jié)合產(chǎn)品或服務(wù)的業(yè)務(wù)功能特點(diǎn)，選擇適當(dāng)?shù)母嬷绞交蚨喾N告知a)一般告知，主要用于個人信息處理者在處理個人信息前向個人全面闡述個人信息處理規(guī)則，且1)以公開且便于個人查閱的方式展示個人信息保護(hù)政策；個人信息保護(hù)政策支持拷貝、下載等方式以便于個人保存其內(nèi)容。注1:使用交互式界面長期展示個人信息保護(hù)政策時，不能藏匿太深，如打開產(chǎn)品或服務(wù)的主界面后，個人不多于4次點(diǎn)擊、滑動等操作能查看到個人信息保護(hù)政策。2)個人信息處理者宜將個人信息保護(hù)政策的完整內(nèi)容置于產(chǎn)品或服務(wù)的基本業(yè)務(wù)功能開啟示個人閱讀個人信息保護(hù)政策。3)無法實現(xiàn)交互式界面展示個人信息保護(hù)政策的，需考慮以其他方式且在收集個人信息前放音視頻等方式向個人主動提供或展示。4)當(dāng)向個人逐一告知的成本過高或者有顯著困難時，可通過公告的形式發(fā)布個人信息保護(hù)政策。注2:個人信息保護(hù)影響評估認(rèn)為個人信息處理活動對個人權(quán)益可能有重大影響的，即便存在顯著困難，仍需堅持逐一告知的方式。b)增強(qiáng)告知，主要用于幫助個人理解個人信息處理規(guī)則中的關(guān)鍵內(nèi)容或與特定業(yè)務(wù)功能處理目的相關(guān)的個人信息處理規(guī)則，且通常采用個人不可繞過的方式(如設(shè)置專門界面或單獨(dú)步驟)向個人告知相關(guān)信息，以協(xié)助個人作出是否同意的決定，包括以下內(nèi)容。1)增強(qiáng)告知的內(nèi)容需濃縮一般告知的關(guān)鍵規(guī)則，突出展示個人最關(guān)心的內(nèi)容，語言簡潔、精2)增強(qiáng)告知的方式需凸顯與一般告知方式的差異，其告知內(nèi)容更加容易被個人所理解和獲采用彈窗等方式向個人直接展示或送達(dá)關(guān)鍵內(nèi)容。8GB/T42574—2023證個人可隨時查閱告知內(nèi)容。4)涉及可能對個人權(quán)益產(chǎn)生重大影響的個人信息處理活動時，還可選擇使用電話、語音提示等方式進(jìn)一步進(jìn)行增強(qiáng)告知，以確保告知內(nèi)容能夠送達(dá)。c)即時提示，主要用于在個人使用產(chǎn)品或服務(wù)過程中，進(jìn)一步強(qiáng)化個人對收集個人信息的目的的1)即時提示通常用于個人信息處理活動發(fā)生當(dāng)時，或僅需告知的情形。2)即時提示的內(nèi)容需簡潔明了，提示方式宜結(jié)合產(chǎn)品或服務(wù)特點(diǎn)靈活選擇，如選擇使用彈注3:可對不同方式進(jìn)行對比，盡可能選取對個人打擾最少的方式。3)即時提示的主要作用為向個人及時、有效傳達(dá)告知內(nèi)容，輔助個人對個人信息處理規(guī)則的理解。4)即時提示需以保護(hù)個人權(quán)益為出發(fā)點(diǎn)，提示的內(nèi)容不能存在誤導(dǎo)性、偏向性。8.2告知的內(nèi)容8.2.1收集個人信息時收集個人信息時的告知內(nèi)容包括如下內(nèi)容。a)涉及5.1中收集個人信息的一種或多種情形，通常在首次收集個人的個人信息時，使用一般告知的方式，通過制定發(fā)布個人信息保護(hù)政策等機(jī)制，向個人告知個人信息處理者的身份和聯(lián)系注1:個人信息保護(hù)政策的具體內(nèi)容見GB/T35273—2020中5.5及附錄D。b)除a)以外，為滿足不同業(yè)務(wù)功能特點(diǎn)、不同收集個人信息方式告知的具體需求，盡可能全面、清晰闡述個人信息處理規(guī)則，還可考慮使用一般告知方式展示如下內(nèi)容：1)產(chǎn)品或服務(wù)中所有業(yè)務(wù)功能可能收集的個人信息種類，可根據(jù)5.1所列情形予以分類描述；2)區(qū)分產(chǎn)品或服務(wù)提供的不同業(yè)務(wù)功能，并明確基本業(yè)務(wù)功能，說明各業(yè)務(wù)功能所收集的個3)涉及自動采集個人信息的，說明自動采集個人信息的方式、時機(jī)、頻次；4)收集的個人信息涉及敏感個人信息的，說明處理敏感個人信息的必要性以及對個人權(quán)益的影響；注4:可通過明確標(biāo)識或突出顯示等方式標(biāo)注處理敏感個人信息相關(guān)的告知內(nèi)容，以提醒個人予以重點(diǎn)關(guān)注。5)涉及Cookie等同類技術(shù)收集個人信息，需簡要說明相關(guān)機(jī)制，包括收集個人信息的目的、6)與其他個人信息處理者構(gòu)成共同個人信息處理者時，說明各自分別承擔(dān)的責(zé)任和義務(wù)；7)涉及嵌入的第三方代碼、插件(如SDK等)收集個人信息，說明第三方身份，及收集個人信9GB/T42574—2023注6:第三方代碼、插件的提供方需向個人信息處理者主動披露收集個人信息的具體種類及處理規(guī)則以免告知內(nèi)容出現(xiàn)偏差。8)保存期限屆滿后、停止運(yùn)營某類業(yè)務(wù)功能時、停止運(yùn)營產(chǎn)品或服務(wù)時如何對個人信息進(jìn)行刪除或匿名化處理的規(guī)則；9)以個人的操作視角，分步驟描述個人權(quán)利的實現(xiàn)機(jī)制；10)使用個性化推送方式進(jìn)行商業(yè)營銷、信息推送的，需說明如何設(shè)置不針對其個人特征的11)涉及使用自動化決策方式處理個人信息的，如根據(jù)GB/T39335—2020開展個人信息保護(hù)影響評估認(rèn)為對個人權(quán)益可能產(chǎn)生重大影響，宜主動說明自動化決策的基本原理、對個人權(quán)益的重大影響和拒絕自動化決策的方式；12)個人復(fù)制或轉(zhuǎn)移已被收集個人信息的方法；13)針對不滿14周歲未成年人個人信息處理規(guī)則以及保障措施；注7:產(chǎn)品或服務(wù)的業(yè)務(wù)功能主要面向未成年人提供服務(wù)的，需制定專門的未成年人個人信息保護(hù)政策并予以14)個人可再次查看一般告知內(nèi)容的方法和路徑，如個人信息保護(hù)政策等的訪問渠道；15)如產(chǎn)品或服務(wù)涉及6.2所述的免于取得同意的具體情形，可予以說明。注8:如為履行法定職責(zé)或法定義務(wù)、應(yīng)對突發(fā)公共衛(wèi)生事件，法律法規(guī)等明確指出必須收集的個人信息種類，在不影響履行職責(zé)或義務(wù)的前提下，說明所依據(jù)的法律法規(guī)等的具體條款。c)涉及以下收集個人信息的情形時，在一般告知的基礎(chǔ)上，宜進(jìn)一步使用增強(qiáng)告知的方式增進(jìn)個人對個人信息處理的關(guān)鍵規(guī)則的理解。1)在產(chǎn)品或服務(wù)的基本業(yè)務(wù)功能開啟前(如個人初始安裝、首次使用、注冊賬號等情形)。如僅以鏈接等方式展示個人信息保護(hù)政策等處理規(guī)則時，可通過增強(qiáng)告知方式主動向個人告知其中的關(guān)鍵規(guī)則，包括個人信息保護(hù)政策的章節(jié)結(jié)構(gòu)(點(diǎn)擊后可直接訪問對應(yīng)內(nèi)容),2)在個人選擇使用擴(kuò)展業(yè)功能務(wù)或新增業(yè)務(wù)功能時，通過增強(qiáng)告知方式向個人告知其處理產(chǎn)品或服務(wù)的完整個人信息保護(hù)政策有所區(qū)別的內(nèi)容。3)涉及開通收集個人生物識別信息的業(yè)務(wù)功能，或某業(yè)務(wù)功能處理個人生物識別信息前，需通過增強(qiáng)告知方式向個人告知處理個人生物識別信息的必要性、對個人權(quán)益的影響，處理4)涉及通過間接方式獲取個人信息的，宜通過增強(qiáng)告知方式向個人告知個人信息來源、需獲取的個人信息種類及其必要性等。注9:通過合并、收購等間接方式獲取個人信息時，如原個人信息處理者已經(jīng)通過8.2.2b)4)中的方式向個人告知5)產(chǎn)品或服務(wù)涉及收集不滿14周歲的未成年人個人信息的，可通過增強(qiáng)告知方式提示需要向未成年人的監(jiān)護(hù)人告知收集個人信息的情形，以及收集未成年人個人信息的目的、必要性、監(jiān)護(hù)人可代為行使的權(quán)利及實現(xiàn)機(jī)制等規(guī)則。d)涉及以下收集個人信息的情形時，可使用增強(qiáng)告知的方式強(qiáng)化個人對收集個人信息的目的、方1)要求個人主動提供生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個人信息時，宜根據(jù)GB/T39335—2020開展個人信息保護(hù)影響評估，分析對個人權(quán)益的GB/T42574—2023影響，并通過增強(qiáng)告知的方式向個人告知處理個人信息的目的、處理的必要性和對個人權(quán)益的影響。2)采用軟件程序或硬件設(shè)備自動采集個人信息時，可通過增強(qiáng)告知的方式向個人告知采集個人信息的目的。其中，通過自動采集精準(zhǔn)地理位置等方式獲取個人行蹤信息的，還需告知處理的必要性和對個人權(quán)益的影響。注10:為幫助個人獲知自動采集個人信息的時機(jī)或頻次，還能采用狀態(tài)燈、提示音等方式進(jìn)行即時提示。例如，App使用智能終端操作系統(tǒng)提供的“位置”權(quán)限自動采集個人的精準(zhǔn)位置信息時，在智能終端屏幕的狀態(tài)欄進(jìn)行提示；智能攝像頭在采集個人影像等數(shù)據(jù)時，采用紅燈閃爍等方式向個人發(fā)出提示。e)在收集個人信息的過程中，需個人予以配合的(如人臉識別時需要個人點(diǎn)頭配合)的，宜通過即時提示方式提醒收集的具體時機(jī)、注意點(diǎn)等。提供、公開個人信息時的告知內(nèi)容包括如下內(nèi)容。a)涉及5.2中提供個人信息的一種或多種情形，通常在提供個人信息前(或首次收集個人的個人信息時),使用一般告知的方式，通過制定發(fā)布個人信息保護(hù)政策等機(jī)制，向個人告知可能涉及的提供個人信息的場景，接收方的身份(或姓名、聯(lián)系方式),提供的具體目的、方式，涉及的個人信息種類等。接收方位于境外的，還需告知個人向境外接收方行使權(quán)利的具體方法以及個人信息出境所具備的條件(如通過國家網(wǎng)信部門組織的評估、取得專業(yè)機(jī)構(gòu)開展的個人信息保護(hù)認(rèn)證、與接收方按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同訂立了合同等)。注1:有一個或多個業(yè)務(wù)功能涉及提供個人信息，且涉及的處理規(guī)則復(fù)雜的，在個人信息保護(hù)政策以外，制定專門的個人信息提供政策詳細(xì)說明相關(guān)規(guī)則。注2:有獨(dú)立的業(yè)務(wù)功能涉及向境外提供個人信息，在個人信息保護(hù)政策以外，制定專門的個人信息出境政策詳細(xì)說明相關(guān)規(guī)則。b)涉及以下提供個人信息的情形時，在一般告知的基礎(chǔ)上，還需進(jìn)一步使用增強(qiáng)告知的方式增進(jìn)個人對個人信息處理的關(guān)鍵規(guī)則的理解：1)當(dāng)個人首次使用涉及向其他個人信息處理者提供個人信息的具體業(yè)務(wù)功能時，可通過增強(qiáng)告知的方式向個人告知接收方身份、提供的具體目的、涉及個人信息種類等規(guī)則；2)當(dāng)個人主動選擇使用某個涉及向境外提供個人信息的業(yè)務(wù)功能時，可通過增強(qiáng)告知方式3)當(dāng)個人信息處理者在一定范圍內(nèi)或向不特定范圍公開個人信息前，可通過增強(qiáng)告知方式向個人告知公開的原因、涉及的個人信息種類、已采取的去標(biāo)識化等安全措施、可能產(chǎn)生個人信息時，可通過增強(qiáng)告知方式向個人告知接收方身份和聯(lián)系方式、轉(zhuǎn)移的原因、涉及c)當(dāng)個人使用的業(yè)務(wù)功能可能導(dǎo)致其個人信息被公開的，個人信息處理者可通過即時提示的方式提醒個人謹(jǐn)慎使用，以免造成個人信息泄露。息被用于宣傳推廣等。8.2.3處理活動等發(fā)生變更時處理活動等發(fā)生變更時的告知內(nèi)容包括：GB/T42574—2023a)在首次收集個人信息的一般告知過程中，所制定的個人信息保護(hù)政策可說明當(dāng)所處理的個人b)因產(chǎn)品或服務(wù)處理個人信息活動發(fā)生變更后更新個人信息保護(hù)政策的，可在個人再次使用產(chǎn)品或服務(wù)時，使用增強(qiáng)告知或即時提示的方式告知個人信息保護(hù)政策中更新的內(nèi)容；注1:不涉及重新取得個人同意的更新，如5.3f)～h),使用即時提示的方式提醒個人關(guān)注處理規(guī)則中變更后的內(nèi)容。c)涉及5.3a)～e)中個人信息處理活動發(fā)生變更的一種或多種情形，可使用增強(qiáng)告知的方式增進(jìn)個人對個人信息處理的關(guān)鍵規(guī)則的理解，告知的內(nèi)容包括變更的原因，以及5.3a)～e)中個人信息處理活動涉及的規(guī)則中發(fā)生變更后的內(nèi)容；注2:變更涉及接收方變更原先的處理目的、處理方式的，經(jīng)個人信息處理者與接收方協(xié)商一致后，也能由接收方選擇履行相應(yīng)告知義務(wù)。注3:變更可能會對個人權(quán)益帶來不利影響的，還能向個人告知個人信息保護(hù)影響評估的結(jié)果。d)如將已收集個人信息用于臨時性的目的進(jìn)行處理時，宜通過增強(qiáng)告知的方式向個人告知臨時性的目的、目的達(dá)成后的處理方式。8.2.4其他情形其他情形的告知內(nèi)容如下。a)當(dāng)個人信息處理者與其他個人信息處理者為共同個人信息處理者時，可參考8.2.1b)6)進(jìn)行一般告知。當(dāng)個人使用涉及其他個人信息處理者的業(yè)務(wù)功能時，可使用即時提示的方式提醒其身份與注意事項。b)產(chǎn)品或服務(wù)中接入了需處理個人信息的其他個人信息處理者的產(chǎn)品或服務(wù)時，當(dāng)個人首次使用其他個人信息處理者提供的交互式界面、窗口時，可通過即時提示的方式向個人告知提供服務(wù)的其他個人信息處理者身份，并提醒個人關(guān)注該等其他個人信息處理者提供的個人信息保護(hù)政策等處理規(guī)則。c)處理的個人信息涉及個人以外的其他人時，可使用即時提示的方式告知可能產(chǎn)生的影響，并提醒個人向所涉及的其他人告知相關(guān)情況以取得對方的同意。d)個人信息處理者停止運(yùn)營某類業(yè)務(wù)功能，或停止運(yùn)營產(chǎn)品或服務(wù)時，除參考8.2.1b)8)進(jìn)行一般告知，還可使用增強(qiáng)告知方式，向個人告知復(fù)制或轉(zhuǎn)移個人信息的方法、刪除或匿名化的限定期限。可能產(chǎn)生的影響，以助于其作出判斷。注1:影響主要是指對個人帶來的利益或權(quán)益減損，包括拒絕后無法使用何種業(yè)務(wù)功能，賬戶安全方面的保障水平f)個人注銷賬號時，可使用增強(qiáng)告知的方式向個人告知驗證身份所需個人信息種類、設(shè)置的注銷g)發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失等安全事件時，可使用增強(qiáng)告知的方式及時向個人告知個人信息安全事件出現(xiàn)的原因，以及GB/T35273—2020中10.2b)的內(nèi)容。注2:個人信息處理者采取措施能夠有效避免安全事件造成損害的，個人信息處理者能不告知個人，履行個人信息保護(hù)職責(zé)的部門不認(rèn)為能有效避免損害的除外。h)涉及5.4h)的情形，如需要個人必須主動提供個人信息的，可通過即時提示的方式向個人告知i)當(dāng)個人信息處理者通過個人行為分析得出其個人信息可能存在泄露、被詐騙等風(fēng)險時，可使用GB/T42574—2023即時提示的方式向個人進(jìn)行風(fēng)險預(yù)警及提出安全建議。注3:如通過安全風(fēng)控的機(jī)制發(fā)現(xiàn)個人頻繁發(fā)布，或向存在風(fēng)險的聯(lián)系人傳送包含敏感個人信息種類(如身份證號、銀行卡號等)的行為，向個人發(fā)出提示。為避免引起個人產(chǎn)生安全風(fēng)控的機(jī)制對其行為構(gòu)成監(jiān)控的擔(dān)憂，對安全風(fēng)控的機(jī)制通過單獨(dú)文檔或問詢答復(fù)等方式進(jìn)行詳細(xì)說明。1)其他與個人權(quán)益密切相關(guān)、需要向個人強(qiáng)調(diào)的信息可使用即時提示的方式8.3告知的實施知內(nèi)容展示界面或告知渠道、合理的告知時機(jī)和頻率后，形成告知的具體實施方法和步驟。實施要點(diǎn)a)不同場景下向個人告知的實施方法見附錄A～附錄M中的相關(guān)內(nèi)容；c)法律法規(guī)規(guī)定需保密或者不需要告知的情形的，可以不向個人告知；d)緊急情況下為保護(hù)自然人的生命健康和財產(chǎn)安全無法及時向個人告知的，個人信息處理者需在緊急情況消除后及時告知。8.3.2告知的界面或渠道互式界面等方式。注2:為了進(jìn)一步方便個人尋找相關(guān)的告知界面及告知內(nèi)容，還能設(shè)置關(guān)鍵字搜索、客服自動回復(fù)等方式指向告知注3:單獨(dú)窗口的彈出時間通常設(shè)置在屏幕啟動后，或設(shè)置固定時間周期彈出。c)產(chǎn)品或服務(wù)沒有可供個人直接操作的界面或可觀看的屏幕的，可在產(chǎn)品或服務(wù)的紙質(zhì)版用戶注4:如IoT設(shè)備配備較小的顯示屏不足以展示告知內(nèi)容的，在自帶的顯示屏上設(shè)置告知內(nèi)容的二維碼。注5:如提供產(chǎn)品或服務(wù)的設(shè)備能連接互聯(lián)網(wǎng)，還能引導(dǎo)個人綁定該設(shè)備的App后，由App展示告知內(nèi)容。d)產(chǎn)品或服務(wù)沒有可供個人直接操作的界面或可觀看的屏幕，且不便逐一向個人提供告知內(nèi)容GB/T42574—2023e)產(chǎn)品或服務(wù)主要依賴書面方式進(jìn)行告知的，可將個人信息處理規(guī)則的核心告知內(nèi)容布置于簽字確認(rèn)區(qū)域附近。f)產(chǎn)品或服務(wù)涉及未成年人、老年人、身體機(jī)能差異人群等個人時，可適當(dāng)增加額外的展示界面和渠道。g)產(chǎn)品或服務(wù)涉及個人主動填寫和提交個人信息時，可在填寫或選擇框中簡述目的等內(nèi)容。h)產(chǎn)品或服務(wù)因客觀條件限制無法通過交互式界面、書面方式、張貼告示方式等進(jìn)行告知的，如動提供告知內(nèi)容。8.3.3告知內(nèi)容的展示告知內(nèi)容展示需以個人視角的用戶體驗和權(quán)益保障為出發(fā)點(diǎn)，以清晰易懂、內(nèi)容簡潔、主次分明為a)通過交互式界面展示告知內(nèi)容的，可采用多層次的告知方式，如直接展示核心告知內(nèi)容、提示關(guān)鍵內(nèi)容、提供完整告知內(nèi)容的鏈接等方式；提供完整的個人信息保護(hù)政策鏈接，相關(guān)內(nèi)容位于界面中央等顯著位置。b)告知的內(nèi)容中涉及敏感個人信息、對個人權(quán)益有顯著影響的條款、個人信息處理規(guī)則發(fā)生重大c)告知的內(nèi)容中存在易引起異議或爭端的部分，可采用主動推送、優(yōu)先展示等方式盡可能保證個人可獲取，必要時可設(shè)置確認(rèn)個人確認(rèn)已獲知的機(jī)制；d)不在告知的界面中通過彈出窗口遮擋、置于邊緣等造成個人忽略告知內(nèi)容；g)使用插圖、漫畫等方式進(jìn)行告知的，可兼顧告知內(nèi)容的準(zhǔn)確性與展示內(nèi)容的生動性。8.3.4告知的時機(jī)和頻率告知適當(dāng)性，主要指個人信息處理者可通過設(shè)置合理的告知時機(jī)和頻率，以提高告知的充分性和有效性，幫助個人更加準(zhǔn)確地掌握個人信息處理規(guī)則。如告知的時間點(diǎn)和收集個人信息的時間點(diǎn)相差較大，將使個人無法獲知告知內(nèi)容與所收集個人信息之間的關(guān)系。告知或即時提示的機(jī)制。其次，個人信息處理者可以適當(dāng)?shù)念l率或時間間隔確認(rèn)現(xiàn)有的告知或發(fā)起新告知，既需要避免告知的頻率過低，導(dǎo)致告知的內(nèi)容無法有效傳達(dá)，又需要避免告知的頻率過高對個人造成不必要的打擾。總之，個人信息處理者選擇的告知時機(jī)和頻率需平衡告知的充分性和用戶體驗。a)個人在首次使用產(chǎn)品或服務(wù)前，可進(jìn)行首次告知；b)產(chǎn)品或服務(wù)在收集個人信息時，對個人權(quán)益影響較大、收集的必要性需要單獨(dú)強(qiáng)調(diào)、相關(guān)業(yè)務(wù)功能收集目的不易理解的，可進(jìn)行同步告知；注1:如業(yè)務(wù)功能所收集個人信息的必要性較為直接易懂、個人通常無需被另行告知即能理解的，可將業(yè)務(wù)功能名稱介紹視為對目的的同步告知。c)通過其他載體收集或間接獲取個人信息時，可進(jìn)行同步告知，因客觀條件所限(如無聯(lián)系渠道)需在獲取個人信息后才能告知的，需在獲取后向個人進(jìn)行再次告知；GB/T42574—2023注2:個人信息處理者能根據(jù)個人是否可以查閱告知或同意內(nèi)容的歷史記錄，以及之前的告知或同意至再次告知或同意所隔時間等要素簡化告知的內(nèi)容。如個人能隨時查閱其歷史同意內(nèi)容，或距上次告知時間較短，個人信息處理者能選擇僅告知變更內(nèi)容，否則個人信息處理者將變更內(nèi)容和歷史已告知的原始內(nèi)容一并告知。e)個人信息處理者在向其他個人信息處理者提供個人信息前，可進(jìn)行同步告知；注3:如業(yè)務(wù)功能需不間斷或反復(fù)多次向其他個人信息處理者提供個人信息，在首次提供時同步告知，并說明后續(xù)提供的時機(jī)或頻次等規(guī)則，避免頻繁打擾。g)產(chǎn)品或服務(wù)更新后個人信息保護(hù)政策發(fā)生變化的，可進(jìn)行再次告知；注4:個人信息保護(hù)政策發(fā)生變化，但不涉及5.3相關(guān)內(nèi)容的，不進(jìn)行再次告知，以免對個人帶來打擾。例如，個人信息保護(hù)政策中的安全措施描述進(jìn)行更新，不向個人告知。j)個人信息處理者發(fā)生對個人信息有嚴(yán)重影響的安全事件時，可緊急進(jìn)行同步告知。9同意9.1同意機(jī)制的選擇忽略對個人信息處理規(guī)則的關(guān)注。個人用于表示明示同意的方式包括但不限于：f)個人通過回復(fù)郵件、短信息等主動聯(lián)絡(luò)的方式表示意愿；g)個人通過電子簽名方式表示意愿；個人信息處理者可結(jié)合產(chǎn)品或服務(wù)的特點(diǎn)、個人信息處理活動可因客觀條件限制、個人自身習(xí)慣、保護(hù)各方合法利益等原因，個人無法通過9.1.1中的方式表達(dá)明GB/T42574—20231)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所需的網(wǎng)絡(luò)等環(huán)境條件受限；2)產(chǎn)品或服務(wù)的展示界面或渠道以及個人的反饋方式受限；3)涉及身體機(jī)能差異人群，進(jìn)行交互或收集反饋存在困難；4)未掌握與個人溝通的渠道，導(dǎo)致無法確認(rèn)個人作出了明示同意；注：如個人信息是通過其他個人信息處理者間接獲取的，不能視為未掌握溝通渠道的情形。5)個人拒絕后將導(dǎo)致個人使用產(chǎn)品或服務(wù)的安全性(賬戶安全、財產(chǎn)安全等)嚴(yán)重下降；b)經(jīng)個人信息保護(hù)影響評估確認(rèn)個人信息的處理不會對個人權(quán)益造成不利影響。c)基于第8章，采取了適當(dāng)?shù)姆绞较騻€人告知個人信息處理規(guī)則。d)被推定為個人同意的情形不影響個人行使撤回同意的權(quán)利。體實施方法和步驟。實施要點(diǎn)包括：a)梳理所有需履行告知義務(wù)的個人信息處理活動，明確哪些個人信息處理活動需要取得個人注1:經(jīng)分析(包括引入第三方進(jìn)行分析)后認(rèn)為個人信息處理活動涉及6.2所列出的情形的，經(jīng)個人信息保護(hù)負(fù)責(zé)人審核批準(zhǔn)后能排除在外。注2:部分告知場景如只側(cè)重于向個人傳達(dá)相關(guān)情況，不設(shè)置取得個人同意的步驟，如發(fā)生個人信息安全事件后向個人通知采取的措施等。b)針對所有待取得個人同意的個人信息處理活動，根據(jù)9.1.1提出的機(jī)制設(shè)計取得個人明示同意的方案；如存在其他同意情形的，需事先分析(包括引入第三方進(jìn)行分析)相關(guān)情形滿足了c)在頁面篇幅允許的情況下，個人信息處理者宜在展示告知內(nèi)容的同一頁面征求個人同意；注3:如告知內(nèi)容與取得同意過程未設(shè)置在同一頁面，個人可能會對同意的內(nèi)容產(chǎn)生困惑。d)在使用個人信息保護(hù)政策等一般告知的方式展示全部個人信息處理規(guī)則時，可通過彈窗提示、獨(dú)立段落等顯著方式向個人說明：同意個人信息保護(hù)政策并不表示該政策中列明的所有個人e)個人信息處理者需明確在產(chǎn)品或服務(wù)的哪些階段需設(shè)置清晰易理解的同意操作界面或步驟，便于個人理解該界面或步驟所執(zhí)行的操作是用于表達(dá)對個人信息處理活動的同意；息保護(hù)政策或授權(quán)處理個人信息之間的邏輯關(guān)系并向個人清晰說明。注5:例如，個人認(rèn)為只是同意試用業(yè)務(wù)功能期間處理個人信息，但事實上試用期結(jié)束后仍然繼續(xù)處理個人信息。注6:例如，把“不把某類個人信息應(yīng)用于特定目的”選項設(shè)置為默認(rèn)關(guān)閉狀態(tài)，可能會被個人誤以為已經(jīng)禁止了某類個人信息應(yīng)用于特定目的。GB/T42574—2023g)個人信息處理者宜將對個人信息處理的同意與其他同意事項以合理方式區(qū)分開來，避免將其隱匿在其他同意事項中，導(dǎo)致個人忽略了個人信息處理規(guī)則；注7:例如，將個人接受一般性的服務(wù)條款與個人同意個人信息處理規(guī)則予以區(qū)分。h)個人信息處理者可區(qū)分不同處理目的或不同業(yè)務(wù)功能所需的個人信息種類，通過分步驟獲取同意的方式逐步取得個人同意，以保障個人自主表達(dá)意愿的權(quán)利；注8:當(dāng)產(chǎn)品或服務(wù)提供多項需收集個人信息的業(yè)務(wù)功能時，避免采取捆綁等方式強(qiáng)迫個人同意多項業(yè)務(wù)功能的收集請求。i)個人信息處理者需將滿足業(yè)務(wù)功能或特定目的所必需收集的個人信息，與提升服務(wù)質(zhì)量和用戶體驗、提高安全性、支撐產(chǎn)品或服務(wù)改進(jìn)等目的所收集的個人信息予以區(qū)分，分別取得個人j)如處理個人信息可能對個人權(quán)益造成重大影響的，可同時使用多種方式確保個人充分知情，如k)個人信息處理者設(shè)計同意實施方案時，宜根據(jù)有關(guān)國家標(biāo)準(zhǔn)，通過個人信息安全工程等方法，對處理個人信息的系統(tǒng)架構(gòu)設(shè)計進(jìn)行充分評估，以支持個人通過便捷方式撤回同意、限制使1)個人信息處理活動可能對個人權(quán)益產(chǎn)生長期影響的，或可能引發(fā)個人長期的隱私擔(dān)憂的，可采意對個人信息的處理，超出授權(quán)處理的期限或范圍時可再次取得個人同意，否則需立即停止個人信息的處理活動；注9:例如，針對智能網(wǎng)聯(lián)汽車對車輛位置、駕駛?cè)嘶虺塑嚾艘粢曨l的收集和向車外傳輸?shù)刃袨?，駕駛?cè)俗鞒龅耐鈨H在駕駛?cè)诵旭偲陂g有效，駕駛?cè)穗x開車輛后同意自動失效。注10:例如，智能終端操作系統(tǒng)開發(fā)商、App運(yùn)營者向個人提供針對位置信息、麥克風(fēng)、攝像頭等權(quán)限使用的“單次m)除上述內(nèi)容外，不同場景下取得個人同意的實施方法見附錄A～附錄M中的相關(guān)內(nèi)容。9.3單獨(dú)同意的實施9.3.1通用實施要點(diǎn)針對法律法規(guī)規(guī)定的特定個人信息處理情形或者可能對個人權(quán)益帶來重大影響的個人信息處理活9.2的基礎(chǔ)上實施時，還需關(guān)注以下實施要點(diǎn)。a)個人信息處理者梳理法律法規(guī)明確要求采取單獨(dú)同意的情形，以及評估后認(rèn)為可能對個人權(quán)益帶來重大影響的個人信息處理活動，形成需執(zhí)行單獨(dú)同意的清單，并根據(jù)法律法規(guī)和處理活公共場所通過圖像采集、個人身份識別設(shè)備所收集的個人圖像、身份識別信息用于維護(hù)公共安全之外的目的，處理敏感個人信息，向境外提供個人信息。大直接影響的自動化決策，通常屬于可能對個人權(quán)益帶來重大影響的個人信息處理活動。b)在個人作出單獨(dú)同意之前，需通過增強(qiáng)告知的方式，針對需要單獨(dú)同意的情形專門向個人進(jìn)行充分告知。注3:單獨(dú)同意的情形中涉及的個人信息處理規(guī)則較為復(fù)雜時，專門為單獨(dú)同意的情形制定處理規(guī)則，如業(yè)務(wù)功能GB/T42574—2023c)個人信息處理者需選擇明示同意的方式來取得個人單獨(dú)同意。d)個人信息處理者可根據(jù)產(chǎn)品或服務(wù)的業(yè)務(wù)功能特點(diǎn)，以及個人的使用習(xí)慣、隱私偏好等，選擇1)在個人使用特定業(yè)務(wù)功能主動觸發(fā)涉及需單獨(dú)同意的情形時，在向個人充分告知后，由個人作出明示同意；2)特定業(yè)務(wù)功能涉及需單獨(dú)同意的情形時，可采用單獨(dú)的交互式界面或紙質(zhì)頁面向個人告知相關(guān)信息，涉及多個需要單獨(dú)同意的情形時，可向個人提供可分項選擇同意(如勾選、點(diǎn)亮等)的機(jī)制，分項選擇同意的選項各自獨(dú)立互不影響。注4:如特定業(yè)務(wù)功能為產(chǎn)品或服務(wù)的基本業(yè)務(wù)功能，將需單獨(dú)同意的情形相關(guān)告知內(nèi)容以突出顯示、彈窗等與其他內(nèi)容有所區(qū)分的方式單獨(dú)告知，在個人同意使用基本業(yè)務(wù)功能時一并同意。注5:在個人首次使用產(chǎn)品或服務(wù)時，將涉及單獨(dú)同意的場景(或部分場景)在展示個人信息保護(hù)政策時向個人提供分項選擇同意的機(jī)制。e)單獨(dú)同意所針對的處理活動需針對具體且獨(dú)立的目的或業(yè)務(wù)功能，不與具備其他處理目的、采取其他處理方式的個人信息處理活動相捆綁或混同在其他同意事項中，以避免一攬子取得個人同意。注7:點(diǎn)擊或勾選同意產(chǎn)品或服務(wù)的個人信息保護(hù)政策，不構(gòu)成針對具體個人信息處理活動的單獨(dú)同意。注8:在對具體個人信息處理活動給出單獨(dú)同意的同時，如還要求個人同意針對該處理活動所必需的服務(wù)協(xié)議等其他與個人信息處理規(guī)則無關(guān)的法律文件的，不視為一攬子取得同意。注9:針對同一個處理目的或同一業(yè)務(wù)功能同時處理多項個人信息字段，且逐項拆分字段后無法達(dá)成處理個人信息目的或無法實現(xiàn)該業(yè)務(wù)功能的，就多項字段一并告知并一次性取得個人單獨(dú)同意的，不視為一攬子取得同意。f)如個人拒絕給出單獨(dú)同意或撤回所作出的單獨(dú)同意的，需確保不會影響單獨(dú)同意范圍之外的其他業(yè)務(wù)功能或處理目的，單獨(dú)同意所針對的業(yè)務(wù)功能為產(chǎn)品或服務(wù)的基本業(yè)務(wù)功能的除外。9.3.2提供個人信息具體的實施要點(diǎn)包括：a)除非法律法規(guī)另有規(guī)定，個人信息處理者向其他個人信息處理者提供其處理的個人信息的，需個人的單獨(dú)同意；注1:向多個其他個人信息處理者提供個人信息，如提供個人信息的目的、方式、種類等一致，提供過程同時或同一場景發(fā)生的，在告知內(nèi)容中逐一列舉接收方的身份和聯(lián)系方式，由個人一并進(jìn)行同意。b)在取得個人的單獨(dú)同意后，個人信息處理者才能將其處理的個人信息提供給其他個人信息處理者；注2:如App中接入的其他個人信息處理者的代碼、插件，在取得個人對其處理個人信息的單獨(dú)同意前，個人信息處理者需阻止代碼、插件自動運(yùn)行采集個人信息。c)個人信息處理者基于個人單獨(dú)同意向其他個人信息處理者提供了敏感個人信息的，宜在提供之后及時通過短信、郵件、應(yīng)用內(nèi)消息等方式再次向個人告知就所提供的個人信息種類、目的9.3.3公開個人信息具體的實施要點(diǎn)包括：GB/T42574—2023a)除非法律法規(guī)另有規(guī)定，個人信息處理者公開其處理的個人信息前，需向個人告知所公開個人人的單獨(dú)同意；注：例如，對于公開個人在其社交應(yīng)用賬號下記錄的信息，個人信息處理者需允許個人在發(fā)布信息之前能夠自由選擇信息的公開范圍，且不能自動設(shè)定為向所有不特定用戶公開的選項，個人自行調(diào)整隱私偏好的除外。b)個人信息處理者公開其處理的個人信息前，或個人主動選擇公開個人信息的，個人信息處理者需向個人提示公開的范圍，如向特定的群體予以披露或者向公眾予以公開；c)公開個人信息對個人權(quán)益影響較大的，可進(jìn)一步通過與個人主動取得聯(lián)系并告知等方式，保證個人對相關(guān)處理規(guī)則和公開可能產(chǎn)生的影響完全知情；d)除法律法規(guī)另有規(guī)定外，個人如將已自行或已同意向社會公眾公開的信息撤回，與公開渠道相關(guān)的個人信息處理者需通過斷開鏈接、刪除信息發(fā)布記錄等措施刪除已公開的個人信息。其他個人信息處理者獲取此前已公開的個人信息的，個人有權(quán)要求其進(jìn)行刪除。9.3.4公共場所收集信息用于維護(hù)公共安全之外的目的具體的實施要點(diǎn)包括：a)除非法律法規(guī)另有規(guī)定，個人信息處理者將為維護(hù)公共安全目的在公共場所通過圖像采集、個人身份識別設(shè)備所收集的個人圖像、身份識別信息用于維護(hù)公共安全之外的目的，需向個人告知處理與該目的相關(guān)的個人信息處理規(guī)則，并取得個人的單獨(dú)同意；的目的(如會員身份確認(rèn)),通過引導(dǎo)個人通過掃描二維碼等方式了解相應(yīng)個人信息處理規(guī)則后，由其主動點(diǎn)b)將公共場所收集的個人圖像、身份識別信息用于維護(hù)公共安全之外的目的時，如涉及多人的，在處理前，需逐一向每個人告知目的，并取得所有個人的單獨(dú)同意，經(jīng)匿名化處理(如自動將圖像中的人物用單色替代)的除外。視為取得了單獨(dú)同意。9.3.5處理敏感個人信息具體的實施要點(diǎn)包括如下內(nèi)容。a)除非法律法規(guī)另有規(guī)定，處理敏感個人信息的，除向個人告知處理敏感個人信息的目的、方式、范圍等個人信息處理規(guī)則，還需告知處理敏感個人信息的必要性以及對個人權(quán)益的影響，并取得個人單獨(dú)同意。b)以要求個人主動填寫或選擇選項方式取得對宗教信仰、特定身份等敏感個人信息單獨(dú)同意的，可設(shè)置獨(dú)立界面或在界面的獨(dú)立區(qū)域向個人進(jìn)行告知，并支持個人通過點(diǎn)擊、勾選等肯定性動作表示同意意愿。注1:向個人提供選項方式時，不采取提前預(yù)選的方式。c)如為實現(xiàn)某一特定目的需要同時處理多項敏感個人信息的，可一并告知并一次性取得個人單獨(dú)同意。注2:例如，個人信息處理者為了開通網(wǎng)上投資理財服務(wù)而需要收集投資人姓名、手機(jī)號碼、身份證號和銀行卡號等的，在一個表單頁面中就需要收集的多項字段一并告知并一次性取得個人單獨(dú)同意，對于其中的“身份證號”GB/T42574—2023一次性取得個人單獨(dú)同意。注3:例如，個人信息處理者使用了其他個人信息處理者的人臉識別技術(shù)，為進(jìn)行身份鑒別需收集個人的人臉識別信息并提供給其他個人信息處理者的，對收集和提供的情形一并告知，并一次性取得個人單獨(dú)同意。e)產(chǎn)品或服務(wù)的業(yè)務(wù)功能可能涉及處理不滿14周歲的未成年人個人信息的，可采取以下方式實1)如產(chǎn)品或服務(wù)的目標(biāo)人群沒有限制的，且無法從業(yè)務(wù)功能所必需收集的個人信息中分析2)如產(chǎn)品或服務(wù)的目標(biāo)人群為不滿14周歲的未成年人的，可采取未成人不易繞過的方式引易繞過的方式。3)如產(chǎn)品或服務(wù)的目標(biāo)人群為已滿14周歲的未成年人的，可不設(shè)置由其監(jiān)護(hù)人同意的機(jī)制，但需以增強(qiáng)告知等方式明確拒絕不滿14周歲未成年人使用，必要時可設(shè)置驗證年齡的措施以避免收集不滿14周歲未成年人的個人信息；4)通過所收集的個人信息可確認(rèn)個人為不滿14周歲未成年人的，需主動提示和引導(dǎo)該未成年人向其監(jiān)護(hù)人轉(zhuǎn)達(dá)相關(guān)告知內(nèi)容并取得監(jiān)護(hù)人的單獨(dú)同意，否則可拒絕繼續(xù)為該未成年人提供產(chǎn)品或服務(wù)；注5:例如，通過個人主動提供的年齡、出生日期、身份證號等信息判斷其是否為不滿14周歲未成年人。收集的個人信息。具體的實施要點(diǎn)包括：或直接確認(rèn)等方式向境外接收方發(fā)送涉及其個人信息內(nèi)容的，視為作出了單獨(dú)同意。b)如產(chǎn)品或服務(wù)中涉及個人信息出境的業(yè)務(wù)功能可與其他業(yè)務(wù)功能相分離的，個人信息處理者宜將涉及個人信息出境的業(yè)務(wù)功能與其他業(yè)務(wù)功能區(qū)分，以便個人針對個人信息出境作出單c)個人拒絕涉及個人信息出境的業(yè)務(wù)功能后，不能影響其他業(yè)務(wù)功能的正常使用；在出境時可不再次取得個人單獨(dú)同意；e)如法律法規(guī)另有規(guī)定向境外受托處理者提供個人信息也需要取得個人單獨(dú)同意的，可參考9.3.6a)～d)實施。GB/T42574—20239.4書面同意的實施針對法律法規(guī)要求取得個人書面同意的情形或者個人信息處理者認(rèn)為需要以書面形式取得個人同意的，個人信息處理者需以紙質(zhì)或數(shù)字電文等有形地表現(xiàn)所載內(nèi)容，并由個人通過主動簽名、簽章等形式取得個人同意。實施要點(diǎn)包括：a)個人信息處理者需梳理法律法規(guī)明確要求采取書面同意的情形以及評估后認(rèn)為需要進(jìn)行增強(qiáng)存證或存檔、加強(qiáng)證據(jù)固定效果等的個人信息處理活動，形成需執(zhí)行書面同意的清單，并根據(jù)法律法規(guī)和處理活動的變化以及收到的有關(guān)投訴、舉報情況，不斷更新清單內(nèi)容；注1:法律法規(guī)要求取得個人書面同意的情形包括：在廣告中使用他人名義或者形象，通過指定網(wǎng)絡(luò)通道送達(dá)某些納稅數(shù)額信息，向征信機(jī)構(gòu)查詢個人信息，使用金融信用信息基礎(chǔ)數(shù)據(jù)庫查詢個人信息，從事信貸業(yè)務(wù)功能的機(jī)構(gòu)向金融信用信息基礎(chǔ)數(shù)據(jù)庫或者其他主體提供信貸信息等。注2:其他規(guī)范性文件中要求取得個人書面同意的情形包括：郵政企業(yè)、快遞企業(yè)及其從業(yè)人員向他人提供用戶的個人身份信息及其使用郵政服務(wù)、快遞業(yè)務(wù)功能的信息，為宣傳報道和獎勵檢舉有功人員而公開檢舉人的相關(guān)個人信息，用人單位公開勞動者的個人信息，商業(yè)銀行與合作機(jī)構(gòu)共享客戶個人信息等。b)受托人轉(zhuǎn)委托其他個人信息處理者處理個人信息，宜取得個人信息處理者的書面同意；c)在個人作出書面同意之前，需通過增強(qiáng)告知且以書面形式呈現(xiàn)的機(jī)制，針對需要書面同意的內(nèi)容明確向個人進(jìn)行充分告知；求對影響作出明確的書面說明。d)個人信息處理者需選擇明示同意的機(jī)制取得個人的書面同意，且明示同意需以文字形式予以式取得個人的書面同意；e)個人信息處理者可根據(jù)產(chǎn)品或服務(wù)的業(yè)務(wù)功能特點(diǎn)，以及個人的使用習(xí)慣、隱私偏好等，選擇互式界面或?qū)υ捒蛏线M(jìn)行手寫簽名、簽章等；f)如根據(jù)法律法規(guī)等要求，個人信息處理者既需要取得個人書面同意也需要取得其單獨(dú)同意的，需在書面同意的基礎(chǔ)上，根據(jù)9.3設(shè)計單獨(dú)同意的機(jī)制，如單獨(dú)簽名、簽章等。9.5拒絕同意的實施個人信息處理者對于個人拒絕同意，實施要點(diǎn)包括：a)明確個人拒絕或放棄同意的表現(xiàn)形式保證在個人未完成同意操作前，不收集在個人同意過程中涉及的個人信息；注1:如在個人表達(dá)同意前，已經(jīng)填寫了部分個人信息，或系統(tǒng)緩存了部分個人信息，在個人明確拒絕或放棄同意，或一段時間內(nèi)未執(zhí)行同意操作的，需采取措施自動刪除相關(guān)的個人信息。b)個人拒絕同意后，宜采用適當(dāng)?shù)姆绞较騻€人展示、說明拒絕后的后果，如相關(guān)個人信息為提供服務(wù)所必需或個人主動觸發(fā)相關(guān)業(yè)務(wù)功能，可再次向個人告知目的、拒絕同意造成的影響等，以再次取得個人同意；c)個人拒絕同意后，如相關(guān)個人信息并非為提供服務(wù)所必需，不以頻繁詢問、請求(如48h內(nèi)超過1次詢問)同意方式對個人造成打擾；注2:個人主動選擇使用某業(yè)務(wù)功能而觸發(fā)的同意詢問，不屬于打擾情形。d)個人拒絕同意某業(yè)務(wù)功能處理個人信息后，不宜退出產(chǎn)品或服務(wù)的所有界面，宜保持原有界GB/T42574—2023面，或切換至產(chǎn)品或服務(wù)的基本業(yè)務(wù)功能或其他相關(guān)業(yè)務(wù)功能的界面；e)個人拒絕同意產(chǎn)品或服務(wù)的基本業(yè)務(wù)功能處理個人信息后，可切換至不涉及個人信息處理的服務(wù)模式(如靜態(tài)頁面、非個性化的瀏覽頁面等)。9.6同意的撤回9.6.1撤回同意的機(jī)制設(shè)計個人信息處理者需結(jié)合產(chǎn)品或服務(wù)的業(yè)務(wù)功能特點(diǎn)、收集個人信息的種類和方式、取得個人同意的a)個人信息處理者對撤回同意的機(jī)制設(shè)計需充分考慮個人操作的便捷性，明確個人的何種操作意味著撤回同意，采取與取得同意過程類似的方法設(shè)置撤回同意的機(jī)制。注1:通過交互式界面提供產(chǎn)品或服務(wù)的，直接設(shè)置能操作的功能界面；沒有交互式界面的，可提供電話、郵箱等方式響應(yīng)個人撤回同意的訴求。b)個人信息處理者可從個人的實際需求和產(chǎn)品或服務(wù)的特點(diǎn)出發(fā)，合理設(shè)置撤回同意機(jī)制的顆粒度。通?？刹扇〉某坊赝鈾C(jī)制包括：1)個人通過撤回某個處理個人信息的業(yè)務(wù)功能來行使撤回同意權(quán)利的，個人信息處理者不能拒絕提供其他業(yè)務(wù)功能，或降低其他業(yè)務(wù)功能的服務(wù)質(zhì)量，除非撤回同意的個人信息是其他業(yè)務(wù)功能所必需；注2:通常情況下，撤回對單個業(yè)務(wù)功能或特定目的處理個人信息的同意更符合個人使用產(chǎn)品或服務(wù)的習(xí)慣，不能通過將不同業(yè)務(wù)功能或不同目的進(jìn)行強(qiáng)行捆綁的方式來設(shè)置撤回同意的機(jī)制。2)個人通過直接撤回處理某類個人信息的同意來行使撤回同意權(quán)利的，如明確了所撤回的具體處理目的的，個人信息處理者需暫停與此目的相關(guān)的處理活動，且不能拒絕或降低與此目的無關(guān)業(yè)務(wù)功能的服務(wù)質(zhì)量；如未明確所撤回的具體處理目的的，不能拒絕提供或降低與此類個人信息無關(guān)業(yè)務(wù)功能的服務(wù)質(zhì)量；注3:對于某個業(yè)務(wù)功能或特定目的直接能撤回的個人信息種類，采取清單勾選、開關(guān)鍵等方式通過交互式界面向個人展現(xiàn)。注4:個人主動選擇關(guān)閉收集某類個人信息的通道，或主動向個人信息處理者設(shè)置的個人信息保護(hù)有關(guān)的投訴、舉報等渠道反饋拒絕對某類個人信息的處理請求，視為對該類個人信息所有相關(guān)處理目的的撤回同意。3)由個人給出單獨(dú)同意的個人信息處理活動，需具備與單獨(dú)同意相對應(yīng)的單獨(dú)撤回同意4)如因客觀條件限制、撤回后對個人使用產(chǎn)品或服務(wù)的安全性等造成嚴(yán)重影響等情形，宜向個人詳細(xì)說明無法直接撤回同意的理由，同時提供注銷賬號、停止使用產(chǎn)品或服務(wù)后整體刪除數(shù)據(jù)等可行的方式以達(dá)到撤回同意的效果。c)個人信息處理者可通過一般告知的方式，在個人信息保護(hù)政策中向個人說明撤回同意的具體場景和操作方法。對于可能對個人權(quán)益造成重大影響的撤回同意，可在具體場景中以即時提示的方式向個人予以強(qiáng)調(diào)。注5:撤回同意的操作方法篇幅較長的，形成單獨(dú)的文檔，將其鏈接嵌入個人信息保護(hù)政策，或者以便于個人查找、檢索的方式予以展現(xiàn)。d)個人撤回同意后，宜設(shè)計刪除或匿名化相關(guān)個人信息的機(jī)制，并向個人主動告知相關(guān)機(jī)制，以供個人作出是否保留個人信息的選擇。注6:如被撤回同意的個人信息處理活動相關(guān)的個人信息未被用于其他已同意的處理目的，則向個人說明影響，并直接提供是否進(jìn)行刪除的選項。注7:如被撤回同意的個人信息處理活動相關(guān)的個人信息被用于其他已同意的處理目的，具備技術(shù)條件的(如不同GB/T42574—2023處理目的使用獨(dú)立數(shù)據(jù)庫、數(shù)據(jù)表等),向個人直接提供是否進(jìn)行刪除的選項；不具備技術(shù)條件的(如其他處理目的與被撤回同意的處理目的共用一個數(shù)據(jù)庫、數(shù)據(jù)表等),采取技術(shù)或管理措施對處理目的進(jìn)行限制，明確向個人告知無法刪除的個人信息種類將不再用于被撤回同意的處理目的。9.6.2撤回同意的實施撤回同意的實施要點(diǎn)包括：a)個人撤回同意的范圍僅限基于同意進(jìn)行的個人信息處理活動，不包括基于其他合法性基礎(chǔ)(如6.2中的情形)進(jìn)行的個人信息處理活動；b)個人信息處理者在收到個人的撤回同意請求后，可通過驗證個人身份等方式，確認(rèn)提出請求者為個人本人或授權(quán)委托人；c)個人撤回同意后，個人信息處理者后續(xù)不能再處理相應(yīng)的個人信息，但不影響撤回前基于個人同意已進(jìn)行的個人信息處理活動的效力；d)個人撤回同意后，需在承諾時限內(nèi)(不超過15日)完成對撤回同意請求的確認(rèn)，以及完成刪除或匿名化相關(guān)個人信息的操作，并向個人反饋撤回同意的結(jié)果；注1:個人發(fā)起撤回同意的請求后，至撤回同意的請求完成前，個人信息處理者不能對相關(guān)個人信息進(jìn)行處理，因個人在此期間自行使用業(yè)務(wù)功能導(dǎo)致的個人信息處理活動除外。注2:使用交互式界面向個人提供撤回同意的機(jī)制的，在個人執(zhí)行撤回同意后，立即在后臺進(jìn)行處理，如無法立即處理的需向個人說明處理的時間。e)個人撤回同意后，個人信息處理者不采用頻繁打擾等方式，反復(fù)提醒個人再次同意對個人信息的處理；f)個人撤回同意的范圍涉及已向其他個人信息處理者提供的個人信息的，個人信息處理者需向其他個人信息處理者傳達(dá)個人行使權(quán)利的訴求，或向個人提供其他個人信息處理者的申請受理機(jī)制；g)個人需變更同意的范圍的，可通過先撤回同意后再次取得同意的方式進(jìn)行變更，或直接同意新的個人信息處理規(guī)則，新的同意生效后，需中止基于此前同意的處理活動；h)個人信息處理者可通過投訴、舉報等渠道了解個人對撤回同意的反饋，評價其實施效果，并不斷補(bǔ)充、完善和更新撤回同意的機(jī)制，以增進(jìn)撤回機(jī)制的便捷性和覆蓋面。9.7同意的證據(jù)留存?zhèn)€人信息處理者可采取技術(shù)或管理措施，留存取得個人同意過程的證據(jù)，以實現(xiàn)保證處理個人信息的合法性、向有關(guān)司法、監(jiān)管部門提供必要證明材料，以及用于其他有助于保護(hù)個人權(quán)益和個人信息處理者合法利益的目的。證據(jù)留存的實施要點(diǎn)包括如下內(nèi)容。a)個人信息處理者可選擇留存的證據(jù)包括但不限于以下內(nèi)容。1)個人信息處理者對個人信息處理活動進(jìn)行評估后，設(shè)計并實施告知和同意方案的記錄。記錄可包括：個人信息保護(hù)影響評估實施的方案及記錄、根據(jù)個人信息敏感程度及可能存在的風(fēng)險等選擇告知和同意方式的判斷記錄、告知內(nèi)容的撰寫與批準(zhǔn)記錄、實施后的驗證與方案一致性的記錄等；記錄的方式可包括：個人信息處理者內(nèi)部的文檔或郵件記錄、專業(yè)咨詢機(jī)構(gòu)提供的第三方意見記錄等。2)與個人關(guān)聯(lián)的同意記錄。記錄可包括：個人標(biāo)識信息(如注冊賬戶、真實身份信息、設(shè)備標(biāo)的個人信息處理規(guī)則)等。記錄的方式可包括：直接以文件形式留存的個人同意的操作界面、與同意相關(guān)的操作日志記錄、與同意有邏輯關(guān)聯(lián)的數(shù)據(jù)庫(或數(shù)據(jù)庫中的字段)、與同GB/T42574—2023意直接相關(guān)的書面文件記錄、與同意直接相關(guān)的電子簽章記錄等。3)涉及不同時期發(fā)布的需取得個人同意的個人信息保護(hù)政策、向其他個人信息處理者提供個人信息、向境外提供個人信息的規(guī)則等向個人所告知的個人信息處理規(guī)則文本及版本。4)涉及向其他個人信息處理者提供個人信息、與其他個人信息處理者構(gòu)成共同個人信息處理者、接入其他個人信息處理者的產(chǎn)品或服務(wù)等的，在告知和同意過程中涉及多個角色時，除需要留存上述1)～3)中的記錄外，還需要考慮到與其他個人信息處理者相關(guān)的要素；記錄可包括：其他個人信息處理者的具體身份、其他個人信息處理者的個人信息處理規(guī)則、與其他個人信息處理者對告知和同意責(zé)任分配的約定記錄、與其他個人信息處理者簽署的合同或協(xié)議、對其他個人信息處理者的盡職調(diào)查記錄等。5)涉及向境外提供個人信息的情形，除需要留存上述1)～4)中的記錄外，還可留存的記錄息跨境提供相關(guān)的認(rèn)證記錄(如有)等。b)個人信息處理者可根據(jù)相關(guān)法律法規(guī)要求和自身舉證的需要決定證據(jù)留存的時限，留存時間宜不少于3年，法律法規(guī)另有規(guī)定的除外。c)個人信息處理者留存同意的證據(jù)需遵循最小必要原則，避免以留存同意證據(jù)為由，擴(kuò)大個人信息的收集范圍。d)個人信息處理者需對留存證據(jù)的使用范圍嚴(yán)格限制，不通過留存證據(jù)分析個人的習(xí)慣、意圖、想法，并采取嚴(yán)格的訪問控制措施防止留存證據(jù)被用于法律法規(guī)要求和自身舉證以外的任何e)個人信息處理者需采取充分的技術(shù)措施和其他必要措施，確保留存證據(jù)的數(shù)據(jù)安全，防止其被f)個人信息處理者因自身舉證等目的向有關(guān)部門披露留存的證據(jù)時，以及因澄清異議或爭議等目的向個人披露留存的證據(jù)時，僅披露最少必要的信息且披露的信息僅用于證明個人信息處理活動是否取得了個人同意，披露過程還需采取適當(dāng)?shù)募夹g(shù)或管理措施防止留存證據(jù)被無關(guān)組織或人員獲知。GB/T42574—2023(資料性)App基本業(yè)務(wù)功能與擴(kuò)展業(yè)務(wù)功能的告知和同意A.1概述為滿足用戶的使用需求，App可能提供多種類型服務(wù)，其中實現(xiàn)用戶最主要使用目的的一種服務(wù)類型，通常被認(rèn)為是為App的服務(wù)類型(即基礎(chǔ)服務(wù)類型)。App常見的服務(wù)類型見GB/T41391—2022附錄A。每種服務(wù)類型可能提供多項業(yè)務(wù)功能，按照App主要服務(wù)目的可分為基本業(yè)務(wù)功能和擴(kuò)展業(yè)務(wù)功能?；緲I(yè)務(wù)功能是App的基礎(chǔ)服務(wù)類型中實現(xiàn)用戶根本使用需求的業(yè)務(wù)功能，基本業(yè)務(wù)功能之外的其他業(yè)務(wù)功能屬于擴(kuò)展業(yè)務(wù)功能。用戶首次使用App時，基本業(yè)務(wù)功能和擴(kuò)展業(yè)務(wù)功能需采用不同的A.2告知的內(nèi)容除8.2、GB/T41391—2022第6章中的相關(guān)內(nèi)容外，可參考的告知內(nèi)容包括：a)App的服務(wù)類型，以及App的基礎(chǔ)服務(wù)類型外提供的其他服務(wù)類型情況(如有);b)App的基本業(yè)務(wù)功能和擴(kuò)展業(yè)務(wù)功能劃分情況；c)為保障App基本業(yè)務(wù)功能正常運(yùn)行所必需的個人信息種類及對應(yīng)的處理目的；d)用戶開啟或使用基本業(yè)務(wù)功能的方式；A.3基本業(yè)務(wù)功能告知和同意的實施除第8章、第9章和GB/T41391—2022第6章相關(guān)內(nèi)容外，以下實施注意點(diǎn)可供參考。說明、提示條、提示音等形式)向用戶告知App所對應(yīng)的服務(wù)類型，以及基本業(yè)務(wù)功能的b)App運(yùn)營者可提供基本業(yè)務(wù)功能模式設(shè)置項，并在用戶首次使用App時，以顯著方式展示開c)App運(yùn)營者需在用戶通過肯定性動作作出同意后提供基本業(yè)務(wù)功能。如用戶不同意被收集d)上述內(nèi)容的實現(xiàn)方法參考A.5。A.4擴(kuò)展業(yè)務(wù)功能告知和同意的實施除第8章、第9章和GB/T41391—2022第6章相關(guān)內(nèi)容外，以下實施注意點(diǎn)可供參考：a)App運(yùn)營者可在用戶使用擴(kuò)展業(yè)務(wù)功能前，通過交互式界面(如彈窗、文字說明、提示條等形式)向用戶告知擴(kuò)展業(yè)務(wù)功能的個人信息處理規(guī)則；GB/T42574—2023b)App運(yùn)營者提供多個其他服務(wù)類型的，可參考A.3a)的告知和同意方式，并由用戶自主選擇是否開啟或使用相應(yīng)的服務(wù)類型；注：區(qū)分其他服務(wù)類型時，需從保障用戶自主選擇的權(quán)利角度出發(fā)，服務(wù)類型不可拆分的，需向用戶說明不可拆分的原因，且確保如用戶放棄開啟或使用其他服務(wù)類型，不影響App基本業(yè)務(wù)功能的正常使用。c)用戶不同意收集擴(kuò)展業(yè)務(wù)功能所必需的個人信息的，不影響基本業(yè)務(wù)功能使用或降低基本業(yè)務(wù)功能的服務(wù)質(zhì)量；d)上述內(nèi)容的實現(xiàn)方法參考A.5。A.5告知和同意的方案設(shè)計示例App運(yùn)營者可參考以下示例，設(shè)計告知和同意的方案。示例1:在用戶首次進(jìn)入App時，通過個人信息保護(hù)政策(指引、聲明等)等告知用戶提供基本業(yè)務(wù)功能模式所需的示例2:在用戶首次進(jìn)入App時，通過個人信息保護(hù)政策(指引、聲明等)等告知用戶提供基本業(yè)務(wù)功能模式所需的必要個人信息及相關(guān)處理規(guī)則；同時在該界面同步列舉本App涉及的擴(kuò)展業(yè)務(wù)功能，以及所需的必要個人信息等內(nèi)容，視為用戶主動同意開啟基本業(yè)務(wù)功能與該擴(kuò)展業(yè)務(wù)功能。示例3:在用戶首次進(jìn)入App時，通過個人信息保護(hù)政策(指引、聲明等)等對本產(chǎn)品所涉及的整體功能情況進(jìn)行告示例4:在用戶首次進(jìn)入App時，通過彈窗等顯著方式向用戶說明基本業(yè)務(wù)功能所需的必要個人信息等規(guī)則，并提供直接點(diǎn)擊即進(jìn)入基本業(yè)務(wù)功能的通道。當(dāng)用戶主動觸發(fā)擴(kuò)展業(yè)務(wù)功能時，通過個人信息保護(hù)政策(指引、聲明等)等方GB/T42574—2023(資料性)App嵌入第三方SDK場景下的告知和同意SDK通常為協(xié)助App開發(fā)的軟件庫工具，用以實現(xiàn)App的具體業(yè)務(wù)功能。常見的SDK種類主要本附錄中所述的SDK指第三方SDK,即由App運(yùn)營者之外的第三方所提供的SDK。B.2告知的內(nèi)容App嵌入第三方SDK時，除8.2和GB/T41391—2022中6.6.2的相關(guān)內(nèi)容外，可參考的告知內(nèi)容b)SDK的個人信息處理規(guī)則。注3:SDK的個人信息處理規(guī)則(如個人信息保護(hù)政策)能鏈接文本等方式體現(xiàn)，但需保證鏈接文本來源的準(zhǔn)確性，B.3告知和同意的實施SDK提供者與App運(yùn)營者之間的合作模式?jīng)Q定了App就SDK處理個人信息進(jìn)行告知和同意的實施方式。SDK提供者有義務(wù)披露其個人信息處理規(guī)則，并與App運(yùn)營者協(xié)作完成對使用App的用戶進(jìn)行的告知和同意。App嵌入的SDK處理個人信息的，除第8章、第9章和GB/T41391—2022中提供者需至少向App運(yùn)營者披露SDK的個人信息處理規(guī)則，由App運(yùn)營者向使用App的用戶告知SDK的個人信息處理規(guī)則并取得用戶同意后，SDK才可處理個人信息；注1:如SDK無法觸達(dá)使用App的用戶或用戶在使用App過程中無法感知到SDK的，App協(xié)助SDK提供者將SDK需告知的內(nèi)容以鏈接等方式置于App相關(guān)交互式界面或個人信息保護(hù)政策中進(jìn)行展示。b)當(dāng)SDK作為個人信息處理者時，SDK提供者需向App運(yùn)營者、使用App的用戶披露SDK的個人信息處理規(guī)則。在用戶使用SDK相關(guān)的業(yè)務(wù)功能時，在App的界面中或從App跳轉(zhuǎn)至相關(guān)的業(yè)務(wù)功能界面中，可以SDK提供者的名義向使用App的用戶進(jìn)行相關(guān)的告知并取得注2:如在網(wǎng)上購物App的支付環(huán)節(jié)，使用App的用戶點(diǎn)擊或選中支付SDK的圖標(biāo)后，App會跳轉(zhuǎn)注3:App收集個人信息后向作為個人信息處理者的SDK提供個人信息的，同樣參考上述方法進(jìn)行告知和同意；注4:App協(xié)助SDK以設(shè)置單獨(dú)界面等方式實施告知和同意的，需向SDK提供者同步用戶作出同意的信息或GB/T42574—2023c)SDK提供者需披露SDK處理個人信息的具體時機(jī)，App運(yùn)營者在適配App的業(yè)務(wù)功能后，可在SDK收集個人信息之前或同步展示相應(yīng)的SDK處理個人信息告知內(nèi)容；d)在App運(yùn)營者或作為個人信息處理者的SDK提供者沒有確認(rèn)取得使用App的用戶之同意之前，App中嵌入的SDK需避免收集處理個人信息，除非法律法規(guī)另有規(guī)定；e)SDK提供者在其個人信息處理規(guī)則發(fā)生變更后，如5.3中情形，需及時向App運(yùn)營者同步告知，并參考8.2.3采取重新告知和同意等措施。注5:SDK提供者和App運(yùn)營者之間合作模式的變化也屬于變更。B.4免于取得同意的情形涉及6.2中的情形處理個人信息的，SDK提供者、App運(yùn)營者可在各自的個人信息保護(hù)政策等文本中向使用App的用戶進(jìn)行告知。如App運(yùn)營者嵌入SDK的目的是達(dá)成6.2中的情形，可進(jìn)行單獨(dú)說明，以確保使用App的用戶充分知情。GB/T42574—2023(資料性)處理不滿14周歲的未成年人個人信息的告知和同意處理不滿14周歲的未成年人個人信息前，需將個人信息處理規(guī)則告知不滿14周歲的未成年人的C.2告知的內(nèi)容a)不滿14周歲的未成年人個人信息的敏感性、處理活動可能會對用戶權(quán)益產(chǎn)生的影響；b)針對不滿14周歲的未成年人個人信息所采取的特別安全保障措施；c)監(jiān)護(hù)人管理不滿14周歲的未成年人個人信息、行使相關(guān)權(quán)利的方式和途徑；d)響應(yīng)監(jiān)護(hù)人訴求的專門渠道(如電話、郵箱等);e)提示監(jiān)護(hù)人正確履行監(jiān)護(hù)職責(zé)；f)如涉及幼兒園、學(xué)校等采用自動化設(shè)備收集不滿14周歲的未成年人個人信息的，可說明采取C.3鑒別不滿14周歲的未成年人和監(jiān)護(hù)人身份的方式個人信息處理者可結(jié)合產(chǎn)品或服務(wù)的目標(biāo)人群情況，采取合理措施鑒別用戶是否為不滿14周歲的未成年人。確認(rèn)用戶為不滿14周歲的未成年人，則可采取合理措施鑒別其監(jiān)護(hù)人的身份。可參考的鑒a)產(chǎn)品或服務(wù)的目標(biāo)人群為不滿14周歲的未成年人的，如面向不滿14周歲的未成年人提供教(如要求提供身份證信息),進(jìn)行監(jiān)護(hù)人身份鑒別。不滿14周歲的，需在取得監(jiān)護(hù)人同意后才可使用相關(guān)產(chǎn)品或服務(wù)，或直接拒絕不滿14周歲的用戶注冊使用。必要時，可采取驗證強(qiáng)度較低的方式對用戶身份進(jìn)行鑒別，發(fā)現(xiàn)存在不滿14周歲未成年人的，可在取得其監(jiān)護(hù)人同意前暫停GB/T42574—2023戶通過登錄賬戶后訂票過程中提供的實名信息均為成年人，則無需再去鑒別用戶是否為未成年人。c)如使用服務(wù)或產(chǎn)品的用戶注冊信息等顯示為成年人用戶，但個人信息處理者通過該用戶在使用產(chǎn)品或服務(wù)中的行為特征等有合理理由推斷該用戶疑似為不滿14周歲的未成年人的，則在觸發(fā)一些對用戶個人信息權(quán)益影響較大的操作時(如綁定第三方賬號、向其他處理者提供個人信息、開通支付功能),可采用合理手段進(jìn)一步鑒別用戶身份，如確認(rèn)用戶為不滿14周的未成年人的，后續(xù)按照未成年人進(jìn)行保護(hù)。d)產(chǎn)品或服務(wù)為未成年人和監(jiān)護(hù)人提供了不同服務(wù)界面或應(yīng)用程序的，可直接在監(jiān)護(hù)人專用服務(wù)界面或應(yīng)用程序中鑒別監(jiān)護(hù)人身份。注4:例如，在不滿14周歲的未成年人的服務(wù)界面提示為滿足國家有關(guān)兒童個人信息保護(hù)的要求，需要兒童將有關(guān)產(chǎn)品或服務(wù)的個人信息處理規(guī)則等信息告知其監(jiān)護(hù)人，此時該兒童的終端或應(yīng)用界面上已生成用于分享給其監(jiān)護(hù)人的鏈接或二維碼。兒童能分享鏈接或二維碼至其監(jiān)護(hù)人，其監(jiān)護(hù)人打開該鏈接或掃描該二維碼之后下載或進(jìn)入監(jiān)護(hù)人專用的服務(wù)界面或應(yīng)用程序，確認(rèn)其是否為兒應(yīng)用程序上完成注冊并確認(rèn)身份后，監(jiān)護(hù)人端與兒童端通過局域網(wǎng)、藍(lán)牙、移動網(wǎng)絡(luò)等方式進(jìn)行連接并確認(rèn)綁e)產(chǎn)品或服務(wù)宜提供監(jiān)護(hù)人主動申報渠道，在以上措施未能有效鑒別用戶身份的情況下，監(jiān)護(hù)人可主動向產(chǎn)品或服務(wù)提出進(jìn)行補(bǔ)充驗證。例如，設(shè)置人工服務(wù)渠道供監(jiān)護(hù)人提交與被監(jiān)護(hù)人相關(guān)的信息進(jìn)行人工核驗等。f)根據(jù)以上方式鑒別用戶身份為不滿14周歲未成年人的，宜根據(jù)個人信