GB/T 42574-2023 信息安全技术 个人信息处理中告知和同意的实施指南

《GB/T 42574—2023 信息安全技术 个人信息处理中告知和同意的实施指南》是中国国家标准委员会发布的有关个人信息保护的实施指南，旨在为组织在个人信息处理过程中如何有效进行告知和获得用户同意提供明确的技术规范和操作指南。随着个人信息保护法规的逐步完善，尤其是《个人信息保护法》（PIPL）等法律的实施，如何合法合规地处理用户个人信息，尤其是获取用户的知情同意，已经成为信息安全管理中至关重要的一环。

该指南的发布，是为了帮助组织和企业在个人信息处理活动中，做到透明、公正地告知用户信息处理的目的、范围、方式等内容，并在此基础上合法获取用户的同意，确保在个人信息保护方面符合法律法规的要求。

1. 标准背景与意义

随着互联网技术的发展，个人信息在各类应用中得到广泛收集和使用，个人信息泄露、滥用等问题引发了公众的广泛关注。全球范围内，各国纷纷出台相应的法律法规对个人信息进行保护，其中中国的《个人信息保护法》已成为指导个人信息处理活动的重要依据。

在这样的背景下，如何在信息采集阶段就做好告知与同意，是数据保护中至关重要的环节。个人信息的告知和同意不仅仅是一个法律要求，更是尊重用户隐私、维护用户信任的表现。《GB/T 42574—2023》作为个人信息保护领域的重要标准，明确了在信息处理过程中如何获得有效的用户同意，并确保用户能够清晰、准确地知晓信息处理的相关内容，进而确保数据的合法、合规处理。

2. 标准的主要内容

2.1 告知义务

《GB/T 42574—2023》明确了数据处理者在收集个人信息时应履行的告知义务。数据处理方应当采取适当方式，在获取用户信息之前，充分告知用户以下内容：

• 信息处理的目的：必须明确告知用户收集和处理其个人信息的具体目的。例如，是否用于提供服务、广告推荐、市场分析等。
• 信息处理的方式与范围：应告知用户其个人信息将如何被处理，包括数据收集的方式、存储方式以及使用范围。对于敏感信息，必须采取更加明确和透明的方式进行告知。
• 信息处理的风险：用户应被告知可能存在的风险，如数据泄露、滥用、第三方共享等，以便用户根据自己的情况做出选择。
• 第三方共享情况：如有必要，数据处理者应告知是否会将用户信息提供给第三方、合作伙伴或服务提供商，以及相关的保障措施。
• 数据存储与保留：应明确告知用户数据的存储期限，及数据处理完毕后的销毁方式。

告知内容应当真实、准确、完整，并以简明易懂的方式呈现。避免使用含糊不清或过于复杂的法律术语，确保用户能够充分理解。

2.2 同意要求

标准规定，数据处理者在收集个人信息时，必须获得用户的明示同意，而非默认同意或隐性同意。具体要求如下：

• 明确同意：同意应当通过积极的、明确的行为进行，如点击同意按钮、签署同意书等，而非通过默认勾选框、隐性操作等方式获得。
• 撤回同意：用户应当具备随时撤回同意的权利。在撤回同意后，数据处理方应停止进一步收集和处理用户的个人信息，并根据用户要求删除其已经收集的个人信息。
• 不同意的后果：用户若不同意收集其个人信息，数据处理者应当明确告知用户不同意后可能带来的后果，例如无法提供某项服务或功能，或者无法满足用户的某些请求。

2.3 特殊类型的同意

对于某些特殊类型的个人信息，如敏感信息或跨境数据流动，标准要求更高的同意要求：

• 敏感信息的处理：在处理敏感个人信息时，如健康信息、金融数据、面部识别数据等，数据处理者应额外确保用户的知情同意，并加强对该信息的保护措施。尤其是在敏感信息的收集和使用过程中，必须单独获得用户的明确同意。
• 跨境数据传输：当用户的个人信息需要传输到国外时，数据处理者应告知用户跨境数据传输的情况，并明确保障用户信息安全的措施，确保跨境传输符合相关法律法规要求。

2.4 同意管理与记录

为了确保同意的合法性和可追溯性，标准要求数据处理者建立完整的同意管理与记录机制：

• 同意记录：应保存用户同意的详细记录，包括同意的时间、内容、方式以及用户所同意的具体信息范围。以便在需要时提供证据支持。
• 管理平台：应为用户提供便捷的同意管理平台，允许用户随时查看、修改或撤回其同意。这些平台应具备清晰的界面设计，使用户能够轻松了解和管理其隐私设置。
• 定期审查：数据处理方应定期审查和更新用户的同意记录，确保数据处理活动始终遵循用户授权的方式和目的。

2.5 适用范围

《GB/T 42574—2023》适用于所有涉及个人信息处理的服务和系统，包括但不限于：

• 在线服务平台：包括电子商务、社交网络、在线教育、金融服务等平台。
• 移动应用：包括智能手机应用、健康管理应用、支付应用等。
• IoT 设备：涉及到用户数据采集和处理的智能硬件设备，如智能家居设备、穿戴设备等。
• 大数据与人工智能系统：涉及大量用户数据收集、分析和处理的系统。

2.6 法律法规的合规性要求

《GB/T 42574—2023》要求数据处理者在进行个人信息收集和处理时，必须遵循中国以及全球范围内的隐私保护和数据保护法律法规，包括：

• 《个人信息保护法》：依据《个人信息保护法》的相关规定，确保所有的个人信息处理行为都能在合法、合规的框架下进行。
• 《数据安全法》：确保个人信息的收集和使用过程中，不会损害国家安全、社会稳定和公共利益。
• 国际标准：对于跨境数据传输的情况，应当遵循国际隐私保护标准，如欧盟的 GDPR 等。

3. 标准的应用场景

《GB/T 42574—2023》适用于所有涉及个人信息收集、处理、存储和传输的组织和平台，尤其在以下场景中具有重要意义：

• 电子商务平台：收集用户的个人信息如姓名、地址、支付信息等，用于交易和商品配送。
• 社交媒体平台：收集用户的个人资料、行为数据等，以提供个性化的服务和广告。
• 金融服务：收集用户的身份信息、金融数据等，用于提供银行、保险、投资等服务。
• 健康医疗：处理用户的健康信息、疾病记录、体检数据等，提供个性化医疗服务。
• 物联网（IoT）设备：智能家居设备、健康监控设备等，通过数据采集用户的日常活动和健康信息。

4. 实施中的挑战与建议

尽管《GB/T 42574—2023》为个人信息处理中的告知和同意提供了详细的实施指南，但在实际应用中，组织可能面临以下挑战：

• 用户同意的多样化需求：随着服务的多样化，用户的同意方式和内容可能存在差异，如何灵活应对并兼顾用户体验是一个挑战。
• 合规性压力：随着个人信息保护法律的日益严格，确保合规性并进行定期审查，可能会增加企业的合规成本和运营难度。
• 数据处理过程的透明性：如何有效地将数据处理目的和方式清晰告知用户，并确保其理解，避免因信息过于复杂或难以理解导致用户误解。

为此，建议：

• 加强用户隐私教育：提高用户的隐私保护意识，帮助他们理解和管理个人信息的收集和使用。
• 优化同意流程：设计简洁、透明且易于操作的同意流程，确保用户在同意之前能够充分了解信息处理的内容。
• 定期审查与更新：组织应定期审查其个人信息处理活动，确保始终符合最新的法规要求，并根据变化及时更新用户的同意记录。

《GB/T 42574—2023 信息安全技术 个人信息处理中告知和同意的实施指南》为组织在处理个人信息时提供了详细的规范，帮助企业和服务平台在合法合规的框架内有效获取用户同意，并确保用户隐私的保护。这不仅提升了用户的信任，也助力组织在日益严格的法律环境中合规运营。