一、前 言
在数字化时代,随着信息技术的飞速发展和互联网的普及,个人信息的安全性和隐私保护面临着严峻的挑战。为了规范个人信息的处理行为,保障信息主体的权益,国家市场监督管理总局、国家标准化管理委员会发布了GB/T 42574标准,其中包括了关于“告知和同意的基本原则”。本文将从合规解读的角度,深入探讨该标准在个人信息保护中的重要性和实践意义。
二、条款解析
条款原文
在GB/T 42574中的第7章有提及到个人信息处理时需考虑的基本原则,主要是指在个人信息处理或信息共享等情景下,确保信息的透明性、用户知情权和同意权的原则。这些原则主要是指:
●透明性:用户应清楚地了解其个人数据将被如何收集、使用、存储和分享等。
●知情权:用户有权知晓个人信息处理的相关信息,包括信息类型、处理目的、处理方式、安全措施等。
●同意权:用户有权同意或拒绝其个人信息被处理,以及在何种条件下同意。
三、合规思路
(一)告知的基本原则
首先我们要了解告知的基本原则。个人信息处理者在实施告知时需要考虑以下五个方面:
●公开透明:信息处理者需公布处理规则,禁止故意诱导
App在用户使用服务前,可通过隐私政策公开透明的告知个人信息收集和使用规则,并请求用户勾选同意隐私政策复选框。
合规示例
●有效传达:通过多种方式确保信息主体接收并理解告知内容
App主流的做法是在收集使用个人信息的目的、方式、范围发生变化时,通过页面弹窗展示更新的内容以及提示用户阅读。
合规示例
●适时充分:在处理活动之前或同时,进行充分告知
App在收集个人信息前,可以通过弹窗的方式告知用户其目的。
合规示例
●真实明确:告知内容应与实际处理活动相符,避免笼统宽泛的描述
App实际收集的个人信息与所明示的个人信息处理规则一致,且目的描述通俗易懂。
合规示例
●清晰易懂:使用通俗易懂的语言,考虑个人信息主体的语言习惯
App内有关收集使用规则的内容应简单易懂、清晰明了、易于用户理解。
合规示例
(二)同意的基本原则
其次,我们要了解同意的基本原则。个人信息处理者在取得个人同意时需要考虑以下四个方面:
●告知一致:获取的同意范围需与告知内容相匹配
App在取得用户同意收集个人信息的范围没有超出所公示的收集规则内容。
合规示例
●自主选择:允许个人信息主体自主作出选择,不采用默认勾选等方式
在登录注册环节时,用户可自主选择是否同意用户协议和隐私政策,且复选框没有默认勾选。
合规示例
● 时机恰当:在收集个人信息前获取同意,帮助理解业务功能与个人信息的关联
App在申请打开可收集个人信息的权限或者敏感个人信息时,应取得个人同意,且同步告知用户其目的,且目的明确、易于用户理解。
合规示例
● 避免捆绑:不强迫用户一次性同意多种业务功能的个人信息收集
App没有使用捆绑方式强迫一次性同意多种业务功能可能收集的个人信息,在拒绝位置权限后,不影响用户正常使用与位置权限无关的功能。
合规示例
(三)告知和同意宜考虑的要素
此外,在实施告知和同意时,个人信息处理者还需考虑以下五个要素:
a)友好展示:使用友好、生动的方式编辑和优化告知内容;
b)适配媒体:考虑媒体类型、界面特点进行适应性设计;
c)考虑影响:考虑个人信息处理对个人的影响和个人的体验、习惯等因素;
d)区分阶段:根据产品或服务的不同阶段和交互场景,选用不同的告知和同意方案;
e)兼顾差异:考虑网络条件、软硬件差异、个人的知识水平和理解能力等因素,使用广泛适用且兼顾特定群体的方案。
四、总结
GB/T 42574标准中的“告知和同意的基本原则”是保障个人信息安全的重要法规,对于构建和谐、安全、有序的信息社会具有重要意义。“不以规矩,不能成方圆”,在数字化时代,这一原则的重要性日益凸显,无论是企业还是个人,都应当深刻理解并严格遵守这一原则,共同维护一个安全、透明、可信的信息环境。
(本文作者:北京梆梆安全科技有限公司 张佳俊、陈凤萍)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。