ICS35.030 GB CCS L 80 中华人民共和国国家标准 GB/T42574—2023 信息安全技术 个人信息处理中告知和 同意的实施指南 Information security technologyImplementation guidelines for notices and consent in personal information processing 2023-12-01实施 2023-05-23发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T42574—2023 目 次 前言 II 1 范围 2 规范性引用文件 术语和定义 3 缩略语 4 告知的适用情形 5 5.1 收集个人信息 5.2 提供、公开个人信息 5.3 处理活动等发生变更 5.4 其他情形 6同意的适用情形 6.1 需取得同意的情形 6.2 免于取得同意的情形 7告知和同意的基本原则 7.1 告知的基本原则 7.2 同意的基本原则 7.3 告知和同意宜考虑的要素 8告知 8.1 告知的方式 8.2 告知的内容 8.3 告知的实施 12 同意 9 9.1 同意机制的选择 9.2 同意的实施…· 15 9.3 单独同意的实施· 16 书面同意的实施· 9.4 20 9.5 拒绝同意的实施 20 9.6 同意的撤回 21 9.7 同意的证据留存. 22 附录A（资料性）App基本业务功能与扩展业务功能的告知和同意 24 附录B（资料性）App嵌人第三方SDK场景下的告知和同意 26 附录C（资料性） 处理不满14周岁的未成年人个人信息的告知和同意 28 附录D（资料性）智慧生活场景下的告知和同意 31 附录E（资料性） 公共场所场景下的告知和同意 33 附录F（资料性） 个性化推送场景下的告知和同意 35 GB/T42574—2023 附录G（资料性） 云计算服务场景下的告知和同意 37 附录H（资料性） 车内场景下的告知和同意· 39 附录（资料性） 互联网金融场景下的告知和同意 42 附录J（资料性） 网上购物场景下的告知和同意 附录K（资料性） 快递物流场景下的告知和同意 附录L（资料性） 互联网房产经纪服务场景下的告知和同意 48 附录M（资料性） 个人身份认证场景下的告知和同意 50 附录N（资料性） 可推定为同意的情形示例 52 参考文献 53 II GB/T425742023 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：中国电子技术标准化研究院、深圳市腾讯计算机系统有限公司、中国信息通信研 究院、北京理工大学、同盾科技有限公司、北京字节跳动科技有限公司、完美世界控股集团有限公司、北 京百度网讯科技有限公司、北京小米移动软件有限公司、华为技术有限公司、全知科技（杭州）有限责任 公司、贝壳找房（北京）科技有限公司、阿里巴巴（北京）软件服务有限公司、北京邮电大学、北京奇虎科技 有限公司、荣耀终端有限公司、北京京东尚科信息技术有限公司、OPPO广东移动通信有限公司、重庆 邮电大学、北京小桔科技有限公司、公安部第一研究所、中国电子信息产业发展研究院、讯联智付网络有 限公司、上海腾桥信息技术有限公司、国家信息技术安全研究中心、用友网络科技股份有限公司、泰康保 险集团股份有限公司、顺丰速运有限公司、天翼电子商务有限公司、湖南财信数字科技有限公司、深圳法 大大网络科技有限公司、中国人民银行数字货市研究所、飞利浦（中国）投资有限公司、蚂蚁科技集团股 份有限公司、中电长城网际系统应用有限公司、京东科技控股股份有限公司、中国网络安全审查技术与 认证中心、中国石油兰州石化自动化研究院、财付通支付科技有限公司、中国石油大庆油田信息技术公 司、中信银行股份有限公司。 本文件主要起草人：何延哲、赵再再、葛鑫、洪延青、薛颖、胡影、陈、周晨炜、田申、衣强、刘笑岑、 朱玲凤、刘俊河、谭礼格、娜迪娅·尼亚孜、张朝、邓婷、陈松、王艳红、彭骏涛、庄子骏、赵晓娜、张灵子、 刘熙君、朱通、张向拓、闵京华、徐彩曦、符薇、张屹、李腾、张娜、王枞、李肤婧、陈绍良、严少敏、张有科、 康琼、马可、樊华、蔡明阳、周顿科、姚一楠、王维、孟靖卓、付伟、史广龙、刘晓霞、王磊、魏书音、苏亚林、 徐雨晴、王劲松、封莎、王昕、焦伟、李靖、王芳、刘明杨、袁扬民、宋杰、何云云、王超、刘元兴、注巍、吴甜。 GB/T42574—2023 信息安全技术个人信息处理中告知和 同意的实施指南 1范围 本文件给出了处理个人信息时，向个人告知处理规则、取得个人同意的实施方法和步骤， 等活动提供参考。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 本文件。 信息安全技术术语 GB/T25069—2022 信息安全技术个人信息安全规范 GB/T35273—20201 GB/T39335—2020 信息安全技术个人信息安全影响评估指南 3术语和定义 GB/T25069一2022和GB/T35273一2020界定的以及下列术语和定义适用于本文件。 3.1 个人信息personalinformation 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后 的信息。 ［来源：GB/T35273—2020，3.1，有修改 3.2 敏感个人信息sensitivepersonalinformation 信息。 注：敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等，以及不满14周岁未成年 人的个人信息 3.3 个人信息处理者personalinformationhandler 在个人信息处理活动中自主决定处理目的、处理方式的组织或个人。 注：与GB/T35273一2020中的“个人信息控制者”所指一致。 3.4 告知notice 使个人知晓其个人信息处理活动及其有关规则的行为。 1 GB/T42574—2023 注：个人信息处理活动包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。 3.5 同意 consent 个人对其个人信息进行处理自愿、明确作出授权的行为。 注：包括通过积极的行为作出授权（即明示同意），或者通过个人的行为而推定其作出授权。 【来源：GB/T35273一2020，3.7，有修改 3.6 明示同意explicitconsent 个人通过书面、口头等方式主动作出声明，或者自主作出肯定性动作，对其个人信息进行处理作出 明确授权的行为。 注：肯定性动作包括个人主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。 ［来源：GB/T35273—2020，3.6，有修改］ 3.7 单独同意 separate consent 个人针对其个人信息进行特定处理而专门作出具体、明确授权的行为，不包括一次性针对多种目的 或方式的个人信息处理活动作出的同意 注：单独同意的告知内容与取得同意的方式需与其他处理活动予以区分。 3.8 提供provision 个人信息处理者通过共享、转移等方式将个人信息传输或披露给其他个人信息处理者的行为。 注：委托第三方处理个人信息的，不属于向其他个人信息处理者提供个人信息的行为。 3.9 个人信息保护影响评估 personal information protection impact assessment 针对个人信息处理活动，检验其合法合规程度，判断其对个人合法权益造成损害的各种风险，以及 评估用于保护个人的各项措施有效性的过程。 注：个人信息保护影响评估也称“个人信息安全影响评估”。 ［来源：GB/T39335—2020，3.4，有修改］ 4缩略语 下列缩略语适用于本文件。 API：应用程序编程接口（ApplicationProgrammingInterface） App：移动互联网应用程序（MobileInternetApplication） IoT：物联网(InternetofThings) IP：互联网协议（InternetProtocol) SDK：软件开发工具包（SoftwareDevelopmentKit） 5告知的适用情形 5.1收集个人信息 个人信息处理者收集个人信息包括但不限于以下情形。 a）通过个人填写、勾选、上传等方式收集个人信息。 b）通过软件程序或硬件设备等自动采集个人信息。 2 GB/T42574—2023 注1：包括SDK、API、浏览器、智能终端、传感器、摄像头等， c）与个人交互并记录个人的行为。 注2：包括记录个人浏览、交易、客服咨询、使用服务等行为。 d）从第三方间接获取个人信息。 e) 从非完全公开渠道获取个人信息 注3：非完全公开通常是指个人披露信息，但信息无法被任意人员通过互联网直接访问的状态，如设置了账户登录、 关注、安装客户端、开通代理等条件。 f) 从与个人相关的他人账号收集个人信息 g) 使用大数据、人工智能等技术分析、关联或生成个人信息。 提供、公开个人信息 5.2 个人信息处理者提供、公开个人信息包括但不限于以下情形： a)[ 向其他个人信息处理者提供个人信息； 向境外提供个人信息； b) c)不 在一定范围内或向不特定范围公开个人信息； d）因合并、分立、解散、被宣告破产等原因转移个人信息 5.3 处理活动等发生变更 处理活动等发生变更包括但不限于以下情形。 a）个人信息的