《信息安全技术 个人信息处理中告知和同意的实施指南-编制说明》

一、工作简况

1.1任务来源

2019年4月，在宁波召开的信安标委会议周，云计算及大数据特别工作组讨

论会议上，同意编制《个人信息告知同意指南》。本标准为自主制定标准，标准

由中国电子技术标准化研究院牵头，深圳市腾讯计算机系统有限公司、中国信息

通信研究院等参与编制，归口单位为全国信息安全标准化技术委员会（简称信息

安全标委会，TC260）。

1.2主要起草单位和工作组成员

标准由中国电子技术标准化研究院牵头，深圳市腾讯计算机系统有限公司、

华为技术有限公司、北京小米科技有限责任公司、等参与编制，归口单位为全国

信息安全标准化技术委员会（简称信息安全标委会，TC260）。

本标准主要起草人：何延哲、赵冉冉、洪延青等。

1.3主要工作过程

1、2018年4月，《个人信息告知同意指南》研究项目立项，标准研究项目

工作组对个人信息告知同意有关的国内外法律法规、标准等进行详细调研，形成

研究报告和相应标准草案。

2、2019年2月，《个人信息告知同意指南》研究项目验收后，标准编制组

开始筹备立项申请工作，并初步组建标准编制组。

3、2019年4月，《个人信息告知同意指南》在宁波召开的信安标委会议周，

云计算及大数据特别工作组进行立项汇报，工作组同意标准编制申请。

4、2019年9月，《个人信息告知同意指南》获得全国信息安全标准化技术

委员会正式立项后，发出征集《信息安全技术个人信息告知同意指南》标准参

编单位的通知，向外界广泛征集参编单位。

5、2019年9月，《个人信息告知同意指南》正式成立标准编制组，标准由

中国电子技术标准化研究院牵头，深圳市腾讯计算机系统有限公司、中国信息通

信研究院等共同组成标准编制组，并对标准内容进行研讨，并进行分工修改完善

标准草案。

5、2019年10月，《个人信息告知同意指南》在信安标委重庆第二次标准会

1

议周的大数据工作组内进行汇报，与组内专家进行讨论，最后顺利将标准推进至

征求意见稿。

6、2019年11月，标准工作组召开第二次工作组内会议，对信安标委重庆

会议周期间的意见进行讨论，完善标准征求意见稿内容。

7、2020年1月，标准编制组召开第三次工作组内会议，进一步对标准文本

进行修改完善。

二、标准编制原则和确定主要内容的论据及解决的主要问题

《个人信息告知同意指南》通过借鉴国外立法和标准的研究，结合国内应

用实践和标准编制组的科研成果，提出与国际标准接轨、适合我国国情，并具有

一定创新性的标准。为组织、监管部门、第三方测评机构等开展评估工作提供的

指导和依据。

本标准的编制遵循以下原则：

(1)先进性：标准反映当今个人信息保护的先进技术水平；

(2)开放性：标准的编制、评审与使用具有开放性；

(3)适应性：标准结合我国国情；

(4)简明性：标准易于理解、实现和应用；

(5)中立性：公正、中立，不与任何利益攸关方发生关联；

(6)一致性：术语与国内外标准所用术语最大程度保持一致。

指南将针对组织提出个人信息处理过程中，告知的内容、结构及征得个人

信息主体同意收集、使用、对外提供个人信息的方式提供指导。适用于规范网络

运营者在网络环境中进行个人信息告知同意的情形。

本标准主要内容分为9个章节，分别针对个告知同意的适用情形、免于告

知同意的情形、告知同意的基本原则和具体执行方法等进行了详细的说明。

同时，标准还针对未成年人个人信息的告知同意、SDK收集使用个人信息场

景下的告知同意、IoT场景下的告知同意、公共场合场景下的告知同意、个性化

推荐场景下的告知同意、互联网金融场景下的告知同意、车载场景下的告知同意、

网上购物场景下的告知同意等场景提出相关建议。

三、主要试验情况分析

无。

2

四、知识产权情况说明

无。

五、产业化情况、推广应用论证和预期达到的经济效果

个人信息保护工作的复杂性，往往体现在个人信息边界的模糊性，动态性，

个人信息处理活动的广泛性，个体认识的差异性等方面，如果对其简单进行理想

化、原则性的完全保护，会大大制约基于数据的信息化产业发展，这正是个人信

息安全工作最大的矛盾和争议。

网络安全法针对个人信息安全提出了明确的要求，国家标准《信息安全技

术个人信息安全规范》围绕个人信息安全针对个人信息控制者提出了更为详尽

的要求。针对告知同意过程的具体方式，本标准给出了具体的安全指南。与网安

法和《信息安全技术个人信息安全规范》保持了一致和协调。

通过发布可指导企业实践的精细化指南类标准，一方面个人权益得到了最大

程度的保护，另一方面也大大减轻了组织负担，在个人信息的处理过程中保留了

适当的灵活度，降低了对业务的影响，以促进企业能找到安全和发展的平衡点。

六、采用国际标准和国外先进标准情况

无。

七、与现行相关法律、法规、规章及相关标准的协调性

本标准与现行法律、法规以及国家标准不存在冲突与矛盾。

2016年，《个人信息安全规范》标准制定项目在全国信息安全标准化技术委

员会立项，被列为重点标准项目，从更专业、更全面的角度对个人信息安全管理

工作提出要求，为加强我国个人信息安全工作解了燃眉之急。《个人信息安全规

范》已经正式发布，标准号为GB/T35273-2017。

本标准是《个人信息安全规范》的配套标准，研究过程中将借鉴国内外在个

人信息告知同意相关最新的法律规定、制度设计、实践做法，提出科学有效符合、

信息化发展需要、具有明确实施指导意义的个人信息告知同意指南。

八、重大分歧意见的处理经过和依据

无。

九、标准性质的建议

建议本标准作为推荐性国家标准发布实施。

十、贯彻标准的要求和措施建议

3

本标准为网络运营者个人信息处理告知的内容、结构及征得个人信息主体同

意收集、使用、对外提供个人信息的方式提供指导。

本标准适用于规范网络运营者在网络环境中进行个人信息告知同意的情形。

建议本标准与GB/T35273《个人信息安全规范》配套使用。

十一、替代或废止现行相关标准的建议

无。

十二、其它应予说明的事项

无。

《个人信息告知同意指南》