GB/T 42574-2023信息安全技术个人信息处理中告知和同意的实施指南

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T42574—2023

信息安全技术个人信息处理中告知和

同意的实施指南

Informationsecuritytechnology—Implementationguidelinesfornoticesand

consentinpersonalinformationprocessing

2023-05-23发布2023-12-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T42574—2023

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

告知的适用情形

5…………………………2

收集个人信息

5.1………………………2

提供公开个人信息

5.2、…………………3

处理活动等发生变更

5.3………………3

其他情形

5.4……………3

同意的适用情形

6…………………………4

需取得同意的情形

6.1…………………4

免于取得同意的情形

6.2………………4

告知和同意的基本原则

7…………………6

告知的基本原则

7.1……………………6

同意的基本原则

7.2……………………6

告知和同意宜考虑的要素

7.3…………6

告知

8………………………7

告知的方式

8.1…………………………7

告知的内容

8.2…………………………8

告知的实施

8.3…………………………12

同意

9………………………14

同意机制的选择

9.1……………………14

同意的实施

9.2…………………………15

单独同意的实施

9.3……………………16

书面同意的实施

9.4……………………20

拒绝同意的实施

9.5……………………20

同意的撤回

9.6…………………………21

同意的证据留存

9.7……………………22

附录资料性基本业务功能与扩展业务功能的告知和同意

A()App…………………24

附录资料性嵌入第三方场景下的告知和同意

B()AppSDK………26

附录资料性处理不满周岁的未成年人个人信息的告知和同意

C()14……………28

附录资料性智慧生活场景下的告知和同意

D()………31

附录资料性公共场所场景下的告知和同意

E()………33

附录资料性个性化推送场景下的告知和同意

F()……………………35

Ⅰ

GB/T42574—2023

附录资料性云计算服务场景下的告知和同意

G()……………………37

附录资料性车内场景下的告知和同意

H()……………39

附录资料性互联网金融场景下的告知和同意

I()……………………42

附录资料性网上购物场景下的告知和同意

J()………44

附录资料性快递物流场景下的告知和同意

K()………46

附录资料性互联网房产经纪服务场景下的告知和同意

L()…………48

附录资料性个人身份认证场景下的告知和同意

M()…………………50

附录资料性可推定为同意的情形示例

N()……………52

参考文献

……………………53

Ⅱ

GB/T42574—2023

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国电子技术标准化研究院深圳市腾讯计算机系统有限公司中国信息通信研

:、、

究院北京理工大学同盾科技有限公司北京字节跳动科技有限公司完美世界控股集团有限公司北

、、、、、

京百度网讯科技有限公司北京小米移动软件有限公司华为技术有限公司全知科技杭州有限责任

、、、()

公司贝壳找房北京科技有限公司阿里巴巴北京软件服务有限公司北京邮电大学北京奇虎科技

、()、()、、

有限公司荣耀终端有限公司北京京东尚科信息技术有限公司广东移动通信有限公司重庆

、、、OPPO、

邮电大学北京小桔科技有限公司公安部第一研究所中国电子信息产业发展研究院讯联智付网络有

、、、、

限公司上海腾桥信息技术有限公司国家信息技术安全研究中心用友网络科技股份有限公司泰康保

、、、、

险集团股份有限公司顺丰速运有限公司天翼电子商务有限公司湖南财信数字科技有限公司深圳法

、、、、

大大网络科技有限公司中国人民银行数字货币研究所飞利浦中国投资有限公司蚂蚁科技集团股

、、()、

份有限公司中电长城网际系统应用有限公司京东科技控股股份有限公司中国网络安全审查技术与

、、、

认证中心中国石油兰州石化自动化研究院财付通支付科技有限公司中国石油大庆油田信息技术公

、、、

司中信银行股份有限公司

、。

本文件主要起草人何延哲赵冉冉葛鑫洪延青薛颖胡影陈湉周晨炜田申衣强刘笑岑

:、、、、、、、、、、、

朱玲凤刘俊河谭礼格娜迪娅尼亚孜张朝邓婷陈松王艳红彭骏涛庄子骏赵晓娜张灵子

、、、·、、、、、、、、、

刘熙君朱通张向拓闵京华徐彩曦符薇张屹李腾张娜王枞李昳婧陈绍良严少敏张有科

、、、、、、、、、、、、、、

康琼马可樊华蔡明阳周顿科姚一楠王维孟靖卓付伟史广龙刘晓霞王磊魏书音苏亚林

、、、、、、、、、、、、、、

徐雨晴王劲松封莎王昕焦伟李靖王芳刘明杨袁扬民宋杰何云云王超刘元兴汪巍吴甜

、、、、、、、、、、、、、、。

Ⅲ

GB/T42574—2023

信息安全技术个人信息处理中告知和

同意的实施指南

1范围

本文件给出了处理个人信息时向个人告知处理规则取得个人同意的实施方法和步骤

,、。

本文件适用于个人信息处理者在开展个人信息处理活动时保障个人权益也可为监管检查评估

,、、

等活动提供参考

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术术语

GB/T25069—2022

信息安全技术个人信息安全规范

GB/T35273—2020

信息安全技术个人信息安全影响评估指南

GB/T39335—2020

3术语和定义

和界定的以及下列术语和定义适用于本文件

GB/T25069—2022GB/T35273—2020。

31

.

个人信息personalinformation