“告知-同意”是个人信息处理规则的核心内容之一,目前不同企业对于告知与同意的细化落地标准有所差异,为了更好地保护用户的个人信息权益,国家市场监督管理总局、国家标准化管理委员会在2023年5月23日发布了GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》(以下简称《指南》),其将于2023年12月1日起开始实施。《指南》对告知与同意的适用情形和基本原则,告知的方式、内容和实施,以及同意机制的选择、实施、撤回和证据留存等进行了细化规定,并通过附录列举了常见应用场景下的告知和同意模式,为相关企业提供了更细化的指引。

告  知

什么时候宜增强告知?

《指南》进一步细化了告知机制,在一般告知(在收集前全面阐述个人信息处理规则)之外,特别规定了某些情形下宜通过精炼语言进行增强告知,这种告知形式主要用于帮助个人理解个人信息处理规则中的关键内容或与特定处理目的相关的具体规则,且通常采用个人不可绕过的方式(如设置专门界面或单独步骤)来进行告知。

宜增强告知的情形

告知内容

收集

基本业务功能开启前

个人信息保护政策的章节结构(点击后可直接访问对应内容),基本业务功能所必需的个人信息种类,收集方式、目的等,以及处理个人询问、投诉的联系方式。

使用扩展业务功能或新增业务功能

当前业务功能所必需的个人信息种类,收集方式、目的等,以及与产品或服务的完整个人信息保护政策有所区别的内容。

处理个人生物识别信息前

处理个人生物识别信息的必要性及其对个人权益的影响,处理目的、方式,以及保存期限等规则。

间接获取个人信息

个人信息来源、需获取的个人信息种类及其必要性等。

收集不满14周岁的未成年人个人信息

向未成年人的监护人告知收集个人信息的情形,以及收集未成年人个人信息的目的、必要性、监护人可代为行使的权利及实现机制等规则。

收集敏感个人信息

处理个人信息的目的、处理的必要性和对个人权益的影响。

采用软件程序或硬件设备自动采集个人信息

采集个人信息的目的。

提供

公开

首次使用涉及对外提供个人信息功能

接收方身份、提供的具体目的、涉及个人信息种类等规则。

使用涉及向境外提供个人信息功能

境外接收方的身份、出境目的、涉及个人信息的种类、具备的出境条件等。

公开个人信息前

公开的原因、涉及的个人信息种类、已采取的去标识化等安全措施、可能产生的影响。

业务功能发生变化,或因合并、分立、解散、被宣告破产等原因需要转移个人信息

接收方身份和联系方式、转移的原因、涉及个人信息种类、可能产生的影响、接收方需继续履行的义务。

变更

更新个人信息保护政策

个人信息保护政策中更新的内容。

个人信息处理活动变更

变更的原因,以及个人信息处理活动涉及的规则中发生变更后的内容。

将已收集个人信息用于临时性的目的进行处理

临时性的目的、目的达成后的处理方式。

其他

注销账号

验证身份所需个人信息种类、设置的注销条件和理由、注销后的影响等规则。

发生或可能发生安全事件

个人信息安全事件出现的原因,安全事件的内容和影响,采取的处置措施,个人信息主体自主防范和降低风险的建议,针对个人信息主体提供的补救措施,个人信息保护负责人和个人信息保护工作机构的联系方式。

例如用户想在某App中查询自己的住房公积金,因为需要处理人脸信息,所以在公积金查询页面会先弹出《用户授权协议》,告知用户处理其人脸信息的具体规则。截图如下:

什么时候宜即时提示?

《指南》在一般告知和增强告知之外,还特别提出了即时提示这种新型告知模式。即时提示主要用于在个人使用产品或服务过程中,用弹窗、浮窗或浮层、文字说明、状态栏提示、提示条或提示框、提示音、短消息等方式,进一步强化个人对收集个人信息的目的的理解、方便个人获取有价值的信息等。

宜即时提示的情形

提示内容

收集需个人予以配合(例如点头)

提醒收集的具体时机、注意点等。

个人信息可能被公开

提醒个人谨慎使用,以免造成个人信息泄露。

使用涉及其他个人信息处理者的业务功能

提醒其身份与注意事项。

首次使用其他个人信息处理者提供的交互式界面、窗口

告知提供服务的其他个人信息处理者身份,并提醒个人关注该等其他个人信息处理者提供的个人信息保护政策等处理规则。

处理的个人信息涉及个人以外的其他人

告知可能产生的影响,并提醒个人向所涉及的其他人告知相关情况以取得对方的同意。

停止运营

告知复制或转移个人信息的方法、删除或匿名化的限定期限。

个人行使权利

告知可能产生的影响。

基于同意以外的法定基础处理个人信息,且需个人主动提供个人信息

具体的依据,以及处理的目的、方式、范围等规则。

通过个人行为分析得出其个人信息可能存在泄露、被诈骗等风险

进行风险预警及提出安全建议。

个人遇到个人信息保护相关的疑惑、问题

展示处理个人询问、投诉的渠道。

通过分析投诉、举报信息、社会反映情况等方式得知个人对某些个人信息处理规则不明

在个人使用产品或服务过程中进一步解释说明。

例如,当用户从A应用程序界面中点击了B应用程序,因使用的服务发生变更,个人信息处理者从A应用程序转为B应用程序,所以会马上弹出页面,告知B应用程序的个人信息处理规则,截图如下:

如何进行告知?

针对告知要求,《指南》特别细化了三种告知时机,即首次告知、同步告知、再次告知,来尽可能使得用户可以对于个人信息处理规制有更清晰的理解,通过优化不同阶段告知的内容的体量,以提升个人的接受度。通常情况下,首次告知采用的是一般告知的方式,同步告知、再次告知采用增强告知或即时提示的机制。

合规事项

具体说明

告知界面

  1. 在个人注册界面、登录界面、App启动页、首页等显著位置展示个人信息处理规则;

  2. 可设置关键字搜索、客服自动回复等方式指向告知界面;

  3. 没有可供个人直接操作的界面时,可采用设置公屏倒计时结束后自动关闭的单独窗口、二维码、特定范围张贴告知内容等方式,必要时,还可通过广播通知、声光提示等方式提醒个人关注告知内容;

  4. 产品或服务涉及个人主动填写和提交个人信息时,可在填写或选择框中简述目的等内容。

展示形式

  1. 可采用多层次的告知方式,如直接展示核心内容、提示关键内容、提供完整告知内容的链接等方式;

  2. 告知的内容中涉及敏感个人信息、对个人权益有显著影响的条款、个人信息处理规则发生重大变化的部分,需明确标识或突出显示(如字体加粗、增大字号、醒目颜色等);

  3. 针对易引起异议或争端的部分,可采用主动推送、优先展示等方式尽可能保证个人可获取,必要时可设置确认个人确认已获知的机制;

  4. 个人不多于4次点击、滑动等操作能查看到个人信息保护政策。

告知时机

首次告知

个人在首次使用产品或服务前。

同步告知

  1. 产品或服务在收集个人信息时,对个人权益影响较大、收集的必要性需要单独强调、相关业务功能收集目的不易理解的;

  2. 对外提供个人信息前;

  3. 个人注销账户时;

  4. 在停止业务功能运营前;

  5. 发生对个人信息有严重影响的安全事件时;

  6. 通过其他载体收集或间接获取个人信息时。

再次告知

  1. 通过其他载体收集或间接获取个人信息时,因客观条件所限需在获取个人信息后才能告知的;

  2. 个人信息处理者变更个人信息处理目的、方式、范围前;

  3. 当个人拒绝对收集、提供、变更目的等的请求后;

  4. 产品或服务更新后个人信息保护政策发生变化的。

同  意

哪些情形下无需获取同意?

《个人信息保护法》第13条规定了无需获取同意的具体情形。目前实践中,相关企业比较常用的主要是订立或履行合同所必需、履行法定职责或法定义务所必需、在合理范围内处理已公开的个人信息这三类合法性基础,为了进一步厘清适用边界,《指南》对于具体的适用范围进行了列举性说明。

场景情形

列举说明

为订立、履行合同所必需

  1. 按照电子商务合同约定配送货物而处理个人的收货地址、联系方式;

  2. 商业银行、支付机构为履行支付服务合同义务,向重要支付系统等国家金融基础设施提供交易信息等必要的个人信息;

  3. 为履行合同约定的售后服务条款,处理购买记录、联系方式等必要的个人信息;

  4. 为履行合同约定,维护所提供产品或服务的安全、稳定运行所必需,且产品或服务无法安全、稳定运行将可能导致个人权益产生重大影响的,如为发现、处置健康状态监测设备的故障,收集必要的运行诊断数据等。

  5. 用人单位因与个人订立劳动合同而收集姓名、联系方式、学历、工作履历等必要的个人信息。

实践示例

履行法定职责或者法定义务所必需

  1. 履行反洗钱、反恐怖融资、反赌、反诈等监管要求,处理个人真实身份信息及相关交易记录;

  2. 履行法律法规规定的网络实名认证要求,处理有效身份证件、移动电话号码等可以验证个人真实身份的必要的个人信息;

  3. 履行法律规定的网络运营管理和网络安全保护等义务,处理相关网络日志信息,如IP地址、访问时间等;

  4. 差旅住宿、航空、铁路运输、出行服务等行业,按照相关法律法规规定处理个人的实名身份信息;

  5. 重要支付系统、证券结算系统等国家金融基础设施为履行法定义务,提供支付结算、证券登记等服务,处理必要的个人信息;

  6. 与《中华人民共和国国家安全法》《中华人民共和国国防法》等法律规定国家安全、国防安全面临现实、紧迫的危险有关的个人信息处理活动;

  7. 根据法律法规规定,为配合执法或司法机关要求提供相关个人信息;

  8. 根据法律明确规定的方式与程序,对具体案件开展的与犯罪侦查直接相关的调查活动中涉及的个人信息处理活动。

实践示例

在合理的范围内处理公开的个人信息

  1. 公开信息范围

  2. 个人自行公开且已知悉或应当知悉可被不特定用户访问的个人信息;

  3. 个人向有关单位提供的信息,在提供时明确知悉其提供的信息将会被向社会公众公开;

  4. 新闻媒体公开报道的信息;

  5. 司法、行政机关依据法定职责向社会公众公布的信息。

  6. 合理范围

个人未明确拒绝处理、处理未显著违背个人公开目的且未对个人权益造成重大影响。

实践示例

什么情形可以获取推定同意?

原则上《个人信息保护法》等法律规范中所要求获取的同意应该是明示同意,也就是通过个人主动勾选、填写、上传个人信息或主动开启个人信息收集权限等主动选择的方式来表达自己同意的意愿,但是《指南》考虑到现实场景中有些情形确实难以获取明示同意,所以特别指出在某些情形下可以获取推定同意。

合规事项

具体说明

可获取推定同意的条件

(同时满足)

  1. 取得明示同意存在显著困难(例如环境、差异人群的反馈方式受限,或拒绝后将导致个人使用产品或服务的安全性严重下降,或为训练反欺诈模型、违法信息与音视频的识别等维护个人合法权益或公共利益等目的,使用去标识化后的个人信息等);

  2. 经个人信息保护影响评估确认个人信息的处理不会对个人权益造成不利影响;

  3. 采取了适当的方式向个人告知了个人信息处理规则;

  4. 不影响个人行使撤回同意的权利。

可推定为同意的示例

  1. 个人收到个人信息保护政策的文本、链接、弹窗、电子邮件、信函等,未主动作出明示同意的操作或未明确表示拒绝,但仍继续主动执行提供个人信息的操作;

  2. 个人信息处理者明确告知个人特定行为将导致收集其个人信息后,个人未主动表示拒绝继续执行操作,或未改变其当前的活动状态;

  3. 产品或服务具有普遍性,能够推断个人已知正常使用产品或服务所需收集的必要个人信息,个人虽未主动作出明示同意的操作,但在直接使用产品或服务时发生了收集个人信息的行为;

  4. 产品或服务进行升级、更新后,个人信息处理规则发生变化,但个人自行更换联系方式,个人信息处理者无法与个人立即取得联系进行告知,且如果中止处理个人信息将可能导致个人权益受到损害。

什么情形需要获取书面同意?

《个人信息保护法》特别指出,法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。《指南》就书面同意特别细化了相关要求。

合规事项

具体说明

同意的实施

设置易于展示、便于操作的书面同意实施方案,例如,个人在纸质界面、电子硬件载体、网页交互式界面或对话框上进行手写签名、签章等。

法律法规要求取得书面同意的情形

  1. 在广告中使用他人名义或者形象;

  2. 通过指定网络通道送达某些类型的诉讼文书;

  3. 采集人类遗传资源;

  4. 征信机构采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息;

  5. 向征信机构查询个人信息;

  6. 使用金融信用信息基础数据库查询个人信息;

  7. 从事信贷业务功能的机构向金融信用信息基础数据库或者其他主体提供信贷信息等。

其他规范性文件要求取得个人书面同意的情形

  1. 邮政企业、快递企业及其从业人员向他人提供用户的个人身份信息及其使用邮政服务、快递业务功能的信息;

  2. 为宣传报道和奖励检举有功人员而公开检举人的相关个人信息;

  3. 用人单位公开劳动者的个人信息;

  4. 商业银行与合作机构共享客户个人信息等。

App嵌入SDK场景下的告知同意

App运营者在嵌入SDK时,需要告知什么内容?

告知SDK的名称及其提供者名称、联系方式、SDK的个人信息处理规则。SDK的个人信息保护规则可以链接文本等方式体现,App如果嵌入一个或多个SDK的,可采用表格、链接文本等形式在App个人信息保护政策中逐一列举。此规定也和工信部发布的《关于开展信息通信服务感知提升行动的通知》中提出的双清单要求是一致的,即建立已收集个人信息清单和与第三方(包括SDK)共享个人信息清单。目前实践中大部分的App已通过清单、列表等形式进行了披露,例如,知乎的披露截图如下,但是单独披露SDK提供者联系方式(电话、邮箱等)的App较少。

App运营者和SDK提供者之间应如何实施告知和同意?

鉴于SDK提供者缺乏直接面对用户的界面,所以具体的告知同意行为都需要App运营者根据合作关系来进行协助。《指南》还进一步指出,如果涉及《个人信息保护法》等法律法规所规定的免于同意的情形,SDK提供者、App运营者也要在各自的个人信息保护政策等文本中向使用App的用户进行告知。

SDK的角色

告知同意的实施方式

受托处理者

由App运营者向使用App的用户告知SDK的个人信息处理规则并取得用户同意后,SDK才可处理个人信息。

个人信息处理者

  1. 在用户使用SDK相关的业务功能时,在App的界面中或从App跳转至相关的业务功能界面中,可以SDK提供者的名义向使用App的用户进行相关的告知并取得其同意;

  2. App协助SDK以设置单独界面等方式实施告知和同意的,需SDK提供者同步用户作出同意的信息或记录。

个性化推送场景下的告知同意

什么是个性化推送?

《指南》的附录F指出,个性化推送一般是指个人信息处理者利用个人信息,基于个人行为习惯、兴趣爱好或者经济、健康、信用状况等向用户有针对性地推送商品、新闻、资讯、音视频、广告等信息。仅根据热度、地区或时间流等自然排序的信息分发模式通常不属于个性化推送。因为个性化推送功能并不属于实现用户基本使用需求的业务功能,所以会视为是一种扩展业务功能。如果用户不同意,也不能拒绝提供基本业务功能。

告知什么内容?

核心要点

具体要求

算法原理

实现个性化推送需处理的个人信息种类、实现个性化推送的简单原理、算法说明,如形成画像的过程、评分的要素、推送的渠道等。

管理方式

用户如何重置、修改、调整个性化推送的标签、参数,如何标注或屏蔽不感兴趣的信息、广告等。

退出方式

用户关闭、退出、拒绝、撤回个性化推送的方法。

权益影响

开关个性化推送可能对用户权益造成的影响。

第三方

如果个性化推送由第三方提供并由其直接处理个人信息的,向用户告知第三方主体身份、第三方为提供个性化推送服务所必需的个人信息种类及处理方式等。

目前实践中,例如,某App就在设置里包含了广告管理、个性化推荐选项,告知了算法原理、选择机制、标签管理方式等内容,具体截图如下:

某App针对不同服务的类型提供了不同的个性化管理设置,点击在具体功能项旁边的“i”按钮会出现具体的解释,具体截图如下:

如何进行告知?

核心要点

具体要求

区分告知

在信息流、文章、音视频相关位置进行标识,或者在栏目、版块、频道的页面相关位置标注相关信息是通过个性化推送方式推送的。

基本原理

程序化广告服务提供商可在专门界面或可访问的文档中以简单通俗的方式描述程序化广告服务的基本原理,产品或服务接入程序化广告的,可在服务界面、个人信息保护政策文本中将相关内容以链接等方式予以展示。

分发原理

用户主动提交的信息被用于个性化推送的,需告知该信息被分发的方式或基本原理。

告知内容

  1. 如果个性化推送是产品的核心业务功能(例如资讯浏览),可在用户首次使用其产品或服务前,通过交互设计(弹窗、文字说明、提示条、提示框、提示音)等方式告知个性化推送的机制和相关内容;

  2. 如果产品通过部分业务功能、栏目、版块、频道进行个性化推送的,可在用户首次使用相关功能前,通过弹窗、提示条、浮层等显著提示的方式告知。

某App还会通过视频的方式讲解个性化推荐的基本原理。具体截图如下:

总 结

《个人信息保护法》提出了告知同意的要求,但是如何进行有效告知、如何获取用户的有效同意仍然在实践中存在诸多难点。《指南》基于《个人信息保护法》的要求,对相关内容进行细化规范,以指南标准形式提出实施建议,为相关企业提供指导参考。

针对告知,《个人信息保护法》已经明确了告知的内容,目前用户打开App时一般都会先看到隐私政策,并在勾选同意之后才能使用,但是隐私政策的内容非常繁杂,用户往往很快就会遗忘,甚至很多人为了方便,连看都没有看就直接点击同意,因此用户的知情权其实并没有得到有效的保障。所以告知的时点就非常重要,《指南》特别新增规定了告知方式(一般告知、增强告知、即时提示)和告知时机(首次告知、同步告知、再次告知),在关键的行为节点用凝练的语言再次告知相关内容,例如处理目的等重要信息,可以帮助用户更好地理解个人信息处理规则,从而做出选择。

针对同意,《个人信息保护法》将同意定义为由个人在充分知情的前提下自愿、明确作出的动作,并规定了需要单独同意的情形。因客观条件限制、个人自身习惯、保护各方合法利益等原因,确存在难以取得明示同意的场景,所以《指南》将同意进一步区分为明示同意和推定同意,例如,个人已知公共场所的图像采集区域的存在而继续选择进入该区域或在该区域停留,可以推定为同意。此外,《指南》还特别强调了同意证据留存的问题,要求相关证据的留存期限不宜少于3年。

针对《指南》对告知和同意的新增核心内容,具体汇总如下:

(本文作者:北京腾云天下科技有限公司 葛梦莹 南钰彤)

声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。