GB_T 42574—2023 《信息安全技术 个人信息处理中告知和同意的实施指南》.docx

ICS35.030

CCSL80

中华

人民共和国国家标准

GB/T42574—2023

信息安全技术个人信息处理中告知和同意的实施指南

Informationsecuritytechnology－Implementationguidelinesfornoticesandconsentinpersonalinformationprocessing

2023-05-23发布

2023-12-01实施

GB/T42574—2023

I

目次

前言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 2

5告知的适用情形 3

5.1收集个人信息 3

5.2提供、公开个人信息 3

5.3处理活动发生变更 3

5.4其他情形 4

6同意的适用情形 4

6.1需取得同意的情形 4

6.2免于取得同意的情形 4

7告知和同意的基本原则 6

7.1告知的基本原则 6

7.2同意的基本原则 6

7.3告知和同意宜考虑的要素 7

8告知 7

8.1告知的方式 7

8.2告知的内容 8

8.3告知的实施 12

9同意 14

9.1同意机制的选择 14

9.2同意的实施 15

9.3单独同意的实施 16

9.4书面同意的实施 20

GB/T42574—2023

II

9.5拒绝同意的实施 20

9.6同意的撤回 21

9.7同意的证据留存 22

附录A(资料性)App基本业务功能与扩展业务功能的告知和同意 24

附录B(资料性)App嵌入第三方SDK场景下的告知和同意 26

附录C(资料性)处理不满14周岁的未成年人个人信息的告知和同意 28

附录D(资料性)智慧生活场景下的告知和同意 31

附录E(资料性)公共场所场景下的告知和同意 33

附录F(资料性)个性化推送场景下的告知和同意 35

附录G(资料性)云计算服务场景下的告知和同意 37

附录H(资料性)车内场景下的告知和同意 38

附录I(资料性)互联网金融场景下的告知和同意 41

附录J(资料性)网上购物场景下的告知和同意 43

附录K(资料性)快递物流场景下的告知和同意 45

附录L(资料性)互联网房产经纪服务场景下的告知和同意 47

附录M(资料性)个人身份认证场景下的告知和同意 49

附录N(资料性)可推定为同意的情形示例 51

参考文献 52

GB/T42574—2023

III

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。

本文件起草单位：中国电子技术标准化研究院、深圳市腾讯计算机系统有限公司、中国信息通信研究院、北京理工大学、同盾科技有限公司、北京字节跳动科技有限公司、完美世界控股集团有限公司、北京百度网讯科技有限公司、北京小米移动软件有限公司、华为技术有限公司、全知科技(杭州)有限责任公司、贝壳找房(北京)科技有限公司、阿里巴巴(北京)软件服务有限公司、北京邮电大学、北京奇虎科技有限公司、荣耀终端有限公司、北京京东尚科信息技术有限公司、OPPO广东移动通信有限公司、重庆邮电大学、北京小桔科技有限公司、公安部第一研究所、中国电子信息产业发展研究院、讯联智付网络有限公司、上海腾桥信息技术有限公司、国家信息技术安全研究中心、用友网络科技股份有限公司、泰康保险集团股份有限公司、顺丰速运有限公司、天翼电子商务有限公司、湖南财信数字科技有限公司、深圳法大大网络科技有限公司、中国人民银行数字货币研究所、飞利浦(中国)投资有限公司、蚂蚁科技集团股份有限公司、中电长城网际系统应用有限公司、京东科技控股股份有限公司、中国网络安全审查技术与认证中心、中国石油兰州石化自动化研究院、财付通支付科技有限公司、中国石油大庆油田信息技术公司、中信银行股份有限公司等。

本文件主要起草人：何延哲、赵冉冉、葛鑫、洪延青、薛颖、胡影、