ICS35.030
CCSL80
中华人民共和国国家标准
GB/T42571—2023
信息安全技术
区块链信息服务安全规范
Information security technology-Security specification for blockchain information service2023-05-23发布
国家市场监督管理总局
国家标准化管理委员会
2023-12-01实施
ICS35.030
CCSL80
中华人民共和国国家标准
GB/T42574—2023
信息安全技术
个人信息处理中告知和
同意的实施指南
Information security technology-Implementation guidelines for notices andconsentinpersonalinformationprocessing2023-05-23发布
国家市场监督管理总局
国家标准化管理委员会
2023-12-01实施
规范性引用文件
术语和定义
缩略语
告知的适用情形
收集个人信息
提供、公开个人信息
处理活动等发生变更
其他情形
同意的适用情形
需取得同意的情形
免于取得同意的情形
告知和同意的基本原则
告知的基本原则
同意的基本原则
告知和同意宜考虑的要素
告知的方式
告知的内容
告知的实施·
同意·
同意机制的选择
同意的实施
单独同意的实施
书面同意的实施
拒绝同意的实施
同意的撤回…
同意的证据留存
附录A（资料性）
附录B（资料性）
附录C（资料性）
附录D（资料性）
附录E（资料性）
附录F（资料性）
App基本业务功能与扩展业务功能的告知和同意App嵌人第三方SDK场景下的告知和同意处理不满14周岁的未成年人个人信息的告知和同意智慧生活场景下的告知和同意…公共场所场景下的告知和同意
个性化推送场景下的告知和同意GB/T42574-2023
GB/T42574—2023
附录G（资料性）
附录H（资料性）
附录1（资料性）
附录J（资料性）
附录K（资料性）
附录L（资料性）
附录M（资料性）
附录N（资料性）
参考文献
云计算服务场景下的告知和同意车内场最下的告知和同意…
互联网金融场景下的告知和同意网上购物场景下的告知和同意
快递物流场景下的告知和同意
互联网房产经纪服务场景下的告知和同意个人身份认证场景下的告知和同意……可推定为同意的情形示例
GB/T42574-2023
本文件按照GBT11一2020标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草，
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本文件起草单位：中国电子技术标准化研究院、深圳市腾讯计算机系统有限公司、中国信息通信研究院、北京理工大学、同盾科技有限公司、北京字节跳动科技有限公司、完美世界控股集团有限公司、北京百度网讯科技有限公司、北京小米移动软件有限公司、华为技术有限公司、全知科技（杭州）有限责任公司、贝壳找房（北京）科技有限公司、阿里巴巴（北京）软件服务有限公司、北京邮电大学、北京奇虎科技有限公司、荣耀终端有限公司、北京京东尚科信息技术有限公司、OPPO广东移动通信有限公司，重庆椰电大学·北京小桔科技有限公司、公安部第限公司、上海腾桥信息技术有限公司、国家信息险集团股份有限公司、顺丰速运有限公充所、中国电手信息产业发展研究院、讯联智付网络有术安全研究中心、用友网络科技股份有限公司、泰康保商务有限公司、湖南财信数学科技有限公司、深圳法大大网络科技有限公司、中国人民银行数学货市研究所，飞利浦（中国）投资有限公司、蚂数科技集团股份有限公司、中电长城网际系统应用有限公司、京东科技控股股份有限公司、中国网络安全审查技术与认证中心、中国石油兰州石化自动化研究院、财付通支付科技有限公司、中国石油大庆油田信息技术公司、中信银行股份有限公司
本文件主要起章人：何延暂、赵再再、葛鑫、洪延青、薛颖、胡影、陈活、周晨炜、田审、农强、刘笑零、朱玲风、刘俊河、潭礼格、娜迪娅·尼亚孜、张朝、邓婷、陈松、王艳红、彭骏涛、庄子骏、赵晓娜、张灵子、刘熙君、朱通、张向拓、闵京华、徐彩曦、符薇藏、张吃、李腾、张娜、王枞、李肤婧、陈绍良、严少敏、张有科、康琼、马可、樊华、蔡明阳、周顿科、姚一楠、王维、孟靖卓、付伟、史广龙、刘晓霞、王磊、魏书音、苏亚林、徐雨晴、王劲松、封莎、王昕、焦伟、李靖、王芳、刘明杨、袁扬民、宋杰、何云云、王超、刘元兴、汪巍、吴甜。1范围
信息安全技术个人信息处理中告知和同意的实施指南
GB/T42574-2023
本文件给出了处理个人信息时，向个人告知处理规则取得个人同意的实施方法和步骤，本文件适用于个人信息处理者在开展个人信息处理活动时保障个人权益，也可为监管、检查、评估等活动提供参考。
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T25069—2022
GB/T352732020
信息安全技术术语
信息安全技术个人信息安全规范GB/T39335-2020
信息安全技术个人信息安全影响评估指南3术语和定义
GB/T25069-2022和GB/T35273—2020界定的以及下列术语和定义适用于本文件3.1
personalinformation
个人信息
以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括医名化处理后的信息。
［来源：GB/T35273—2020.3.1.有修改3.2
敏感个人信息
sensitivepersonal information一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。
注：敏感个人信息包括生物识别，宗教信仰、特定身份、医疗健康，金融账户，行踪轨迹等，以及不满14周岁未成年人的个人信息。
个人信息处理者
personal informationhandler
在个人信息处理活动中自主决定处理目的、处理方式的组织或个人，注：与GB/T35273一2020中的~个人信息控制者\所指一致3.4
告知notice
使个人知晓其个人信息处理活动及其有关规则的行为。1
GB/T42574—2023
注：个人信息处理活动包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。3.5
同意consent
个人对其个人信息进行处理自愿，明确作出授权的行为。注：包括通过积极的行为作出授权（却明示同意），或者通过个人的行为面推定其作出授权来源：GB/T35273-2020.3.7.有修改3.6
明示同意
explicit consent
个人通过书面、口头等方式主动作出声明，或者自主作出青定性动作，对其个人信息进行处理作出明确授权的行为
注：青定性动作包括个人主动勾选，主动点击\同意”“注册”“发送”拨打”主动填写或提供等［来源：GB/T35273—2020.3.6，有修改3.7
separate consent
单独同意
个人针对其个人信息进行特定处理而专门作出具体、明确授权的行为，不包括一次性针对多种目的或方式的个人信息处理活动作出的同意。注；单独同意的告知内容与取得同意的方式需与其他处理活动于以区分。3.8
provision
个人信息处理者通过共享、转移等方式将个人信息传输或披露给其他个人信息处理者的行为。注，委托第三方处理个人信息的，不属于向其他个人信息处理者提供个人信息的行为。3.9
个人信息保护影响评估
personal information protectionimpactassessment针对个人信息处理活动·检验其合法合规程度，判断其对个人合法权益造成损害的各种风险，以及评估用于保护个人的各项措施有效性的过程。注：个人信息保护影响评估也称“个人信息安全影响评估”［来源：GB/T39335—2020.3.4.有修改4缩略语
下列缩略语适用于本文件。
API：应用程序编程接口（ApplicationProgrammingInterface）App：移动互联网应用程序（MobileInternetApplication）loT：物联网（InternetofThings)IP：互联网协议（InternetProtocol）SDK：软件开发工具包（SoftwareDevelopmentKit）告知的适用情形
收集个人信息
个人信息处理者收集个人信息包括但不限于以下情形。通过个人填写，勾选，上传等方式收集个人信息。a）
通过软件程序或硬件设备等自动采集个人信息。2
注1：包括SDK，API、树览器.智能终端、传感器、摄像头等e)与个人交互并记录个人的行为。注2：包括记录个人测览、交易，客服咨询、使用服务等行为从第三方间接获取个人信息。
从非完全公开集道获取个人信息e
GB/T42574-2023
注3：非完全公开通常是指个人披露信息，但信息无法被任意人员通过互联网直接访间的状态，如设置了账户登录。关注，安装客户端、开通代理等条件E免费标准bzxz.net
从与个人相关的他人账号收集个人信息。使用大数据、人工智能等技术分析、关联或生成个人信息。提供、公开个人信息
个人信息处理者提供公开个人信息包括但不限于以下情形：a)
向其他个人信息处理者提供个人信息：向境外提供个人信息：
在一定范围内或向不特定范围公开个人信息：d)
因合并、分立、解散、被宣告破产等原因转移个人信息。5.3
处理活动等发生变更
处理活动等发生变更包括但不限于以下情形个人信息的处理目的、处理方式发生变更，a)
注1：处理目的、方式的变更通常指个人信息处理者超出与收集个人信息时所告知的目的、方式具有直接或合理关联的范围处理个人信息。
注2：将不同产品或服务所收集的个人信息进行汇聚融合通常属于处理方式的变更，处理的个人信息种类发生变更
注3：处理的个人信息种类的变更通常包括：现有业务功能处理个人信息种类增加、新增业务功能处理额外个人信息种类，向其他个人息处理者提供个人信息种类增加因合并、分立、解散、被宣告破产等原因转移个人信息·接收方变更原先的处理自的、处理方式的。
向其他个人信息处理者提供其处理的个人信息，接收方变更原先的处理目的、处理方式的。注4，接收方包括境外接收方，
公开的范围发生变更，如从一定范围内公开变为向不特定范围公开，e
个人信息的保存期限延长
个人信息处理者的名称或者姓名和联系方式发生变更，注5：包括涉及向其他个人信息处理者提供个人信息或向境外提供个人信息时，接收方的名称或者姓名和联系方式发生变更的情形，
b）个人行使其权利的方式和程序发生变更。5.4其他情形
其他情形包括但不限于以下情形。a)
两个及以上的个人信息处理者共同决定个人信息的处理目的和处理方式的b）
在产品或服务中接人需处理个人信息的其他个人信息处理者的产品或服务的处理的个人信息涉及该个人以外的其他人的。d
处理已公开的个人信息，对个人权益有重大影响的。3
GB/T42574-—2023
停止运营某类业务功能，或停止运营产品或服务时，f
个人行使权利，可能对其权益产生影响的注：通常包括个人拒绝同意、撒回同意、更正补充、删除、注销账号等情形。发生或者可能发生个人信息泄露、寡改、丢失等安全事件时。g
以下情形中处理个人信息的，采取适当方式向个人进行告知：h)
为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依1
法签订的集体合同实施人力资源管理所必需；2)
为履行法定职责或者法定义务所必需：为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需：为公共利益实施新闻报道、奥论监督等行为，在合理的范围内处理个人信息：5）
在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；6)
法律法规规定的其他情形。
6同意的适用情形
需取得同意的情形
涉及5.1、5.2、5.3a)~e）、5.4a)～d)中的情形，个人信息处理者处理个人信息前，除有6.2中的情形外，需在告知的基础上取得个人同意。免于取得同意的情形
6.2.1订立、履行合同所必需
为订立、履行个人作为一方当事人的合同所必需，或按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的：可免于取得个人同意，可被视为相关情形的个人信息处理活动：包括但不限于以下情形。
为订立、履行个人作为一方当事人的合同，向个人提供产品或服务中的基本业务功能时，仅处a）
理必要的个人信息。例如，按照电子商务合同约定配送货物面处理个人的收货地址、联系方式。
注1：个人信息处理者需明确出于何种日的、在何种场录下和范围内处理个人信息属于订立、履行合同的情形，并将相关事项以单独成文、成段等显著方式在个人使用基本业务功能前子以明确告知。注2：不能将个人信息保护政策等公开个人信息处理规则的文件视为与个人订立的合同，注3：必要是指该个人信息为实现产品或服务的基本业务功能所必需，且该实现方式对个人权益影响最小（如最少类型、最少数量、最低精度，最低频率等）b)
用人单位因与个人订立劳动合同而收集姓名、联系方式，学历、工作履历等必要的个人信息e
商业银行、支付机构为履行支付服务合同义务，向重要支付系统等国家金融基础设施提供交易信息等必要的个人信息。
为履行合同约定的售后服务条款，处理购买记录，联系方式等必要的个人信息，为履行合同约定，维护所提供产品或服务的安全、稳定运行所必需，且产品或服务无法安全、稳定运行将可能导致个人权益产生重大影响的，如为发现、处置健康状态监测设备的故障，收集必要的运行诊断数据等。
注4，出于该目的处理的数据，不能关联个人身份，且在披露的处理规则中详细说明处理的必要性，如处理个人信息的日的、方式、范围超出合同约定，则不属于该情形。4
6.2.2履行法定职责或者法定义务所必需GB/T42574-2023
履行法定职责或者法定义务所必需的个人信息处理活动，包括但不限于以下情形：a)
履行反洗钱、反融资、反赌、反诈等监管要求·处理个人真实身份信息及相关交易记录：b)
履行法律法规规定的网络实名认证要求，处理有效身份证件、移动电话号码等可以验证个人真实身份的必要的个人信息：
履行法律规定的网络运营管理和网络安全保护等义务，处理相关网络日志信息，如TP地址、访问时间等：
差旅住宿、航空，铁路运输、出行服务等行业，按照相关法律法规规定处理个人的实名身份信息：
重要支付系统、证券结算系统等国家金融基础设施为履行法定义务，提供支付结算、证券登记e
等服务，处理必要的个人信息；与中华人民共和国国家安全法》中华人民共和国国防法》等法律规定国家安全、国防安全面临现实、紧追的危险有关的个人信息处理活动：g
根据法律法规规定，为配合执法或司法机关要求提供相关个人信息：h
根据法律明确规定的方式与程序，对具体案件开展的与犯罪侦查直接相关的调查活动中涉及的个人信息处理活动。例如，为侦套刑事案件，侦查机关根据法律规定，向其他个人信息处理者或他人收集犯罪嫌人、被告人的指纹、脱氧核糖核酸（DNA）等生物信息、通话记录、上网记录等个人信息。
6.2.3为应对突发公共卫生事件或者紧急情况所必需为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需的个人信息处理活动，包括但不限于以下情形：a)在突发重大传染病疫情、群体性不明原因疾病、重大食物中毒或重大职业中毒事件以及其他严重影响公众健康的事件时，为推进应急处理工作：有关国家部门、医疗机构、疾病预防控制机构、卫生监督机构、出入境检验检疫机构等应急参与机构向有关个人或个人信息处理者收集、处理相关个人的姓名、住址、联系方式、行踪轨迹等必要的个人信息：因惠者陷人严重昏迷等情形无法取得本人同意，不及时救助将使得其生命健康遭受现实，紧迫b
的威胁，医疗机构为实施教助，处理该个人的身体健康状况、身份信息、既往病史等必要的个人信息：
发生自然灾害、事故灾难导教个人的人身安全遭受现实、紧道的戚胁，为实施救助，处理该个人的身份信息、位置等必要的个人信息；其他为了使自然人生命健康、财产安全免受正在进行的不法侵害或正在发生的危险，为阻断不d)
法侵害或排除危险处理个人信息的情形。6.2.4为公共利益实施新闻报道、奥论监督等行为在合理的范围内处理个人信息为公共利益实施新明报道、奥论监督等行为在合理的范用内处理个人信息，包括但不限于以下情形：
新闻媒体为公共利益报道时事新闻、热点事件等，合理使用自然人的姓名等个人信息：a)
b）新闻媒体为公共利益实施奥论监督行为，合理使用自然人的姓名等个人信息。5
GB/T42574-—2023
6.2.5在合理的范围内处理已公开的个人信息在合理的范围内处理个人自行公开或者其他已合法公开的个人信息·包括但不限于以下情形。a）个人自行公开或其他已合法公开的个人信息，包括但不限于以下内容1）个人自行公开且已知悉或应当知悉可被不特定用户访问的个人信息。2）个人向有关单位提供的信息，在提供时明确知悉其提供的信息将会被向社会公众公开。例如，用人单位在网站，宜传册等公开员工提供的简要职业服历等信息，新闻媒体公开报道的信息。
司法、行政机关依据法定职责向社会公众公布的信息。例如，犯罪嫌疑人，被告人、失信被4)
执行人等主体的信息。
合理范围内处理是指个人未明确拒绝处理、处理未显著违背个人公开目的且未对个人权益造b)
成重天影响，
6法律法规规定的其他情形
法律法规规定的其他可免于取得个人同意的情形。7告知和同意的基本原则
告知的基本原则
个人信息处理者在实施告知时需考虑以下基本原则：a）
公开透明：公布处理个人信息的种类、目的、方式，安全措施等处理规则，不采取故意遮挡、隐藏等方式诱导个人略过告知内容：有效传达：尽可能通过交互式界面、邮件、电话或短信等方式向相关个人进行告知；b)2
适时充分：在收集、提供、公开等个人信息处理活动发生之前或同时，对个人进行充分告知；e
真实明确：告知个人信息的处理种类、目的、方式等规则与实际情况一致，且需结合实际业务功d
能，不使用笼统、宽泛的表述；清晰易懂：告知文本符合个人的语言习惯，使用通用且无歧义的语言、数字、图示等。e
注：主要面向境内个人提供产品或服务的，需提供规范汉字版（汉字简化字）的告知文本，7.2
同意的基本原则
个人信息处理者在取得个人同意时需考虑以下基本原则：告知一致：取得同意的范围不超出所告知的内容：a）
自主选择：支持个人通过自行操作的方式作出同意，不使用默认勾选的方式取得同意：时机恰当：在个人信息收集行为发生前，且同步传达告知内容时，取得个人同意，以增进个人对e
业务功能与所收集的个人信息之间关联性的理解：避免捆绑：区分产品或服务的业务功能，不采用捆绑方式强追个人一次性同意多种业务功能可d
能收集的个人信息或多个处理活动：个人拒绝同意时，不影响与该个人信息无关的业务功能的正常使用。
7.3告知和同意宜考虑的要素
个人信息处理者在实施告知和同意时宜考虑以下要素，优化告知和同意的方案和机制：6
GB/T42574-2023
友好展示：使用友好、生动、形象的方式编辑告知内容，优化告知内容组织形式，以便于个人a
理解；
适配媒体：告知内容、展示形式、取得同意的方式等可根据告知媒体的种类、界面特点进行适应性设计，如适宜的学型大小、学体颜色、额外的震动和语音提示等：考虑影响：设计告知和同意方案时，可考惠个人信息处理活动对个人权益的影响程度以及个人的体验、习惯、合理预期等因素：区分阶段：根据个人使用产品或服务的不同阶段及交互场景，选用个人信息保护政策、弹窗提d)
示，文学说明等不同的告知和同意方案：兼顾差异，考虑复杂多样的网络条件、软硬件差异、个人的知识水平和理解能力、身体机能差异e
等，使用可广泛适用且兼顾特定群体的告知和同意方案，8告知
8.1告知的方式
个人信息处理者实施告知时，需结合产品或服务的业务功能特点，选择适当的告知方式或多种告知方式的组合，具体包括如下内容。a）一股告知，主要用于个人信息处理者在处理个人信息前向个人全面阐述个人信息处理规则，且通常采用制定，展示个人信息保护政策（或被称为“隐私协议“隐私政策”“隐私权政策”等）的形式进行告知，包括以下内容。以公开且便于个人查阅的方式展示个人信息保护政策：个人信息保护政策支持考员，下载等方式以便于个人保存其内容。注1：使用交互式界面长期展示个人信息保护政策时，不能藏盟太深，如打开产品或服务的主界面后，个人不多于4次点击、滑动等操作能查看到个人信息保护政策，2）个人信息处理者宜将个人信息保护政策的完整内容置于产品或服务的基本业务功能开启时与告知相关的交互式界面中，并通过弹窗提示、提醒勾选、突出链接等明显方式，主动提示个人阅读个人信息保护政策。3）无法实现交互式界面展示个人信息保护政策的，需考虑以其他方式且在收集个人信息前的必要环节，以发送通知、邮件（或信件）、提供文档（包括电子版或纸质版）、张贴告示、播放音视等方式向个人主动提供或展示。4）当向个人逐一告知的成本过高或者有显著困难时，可通过公告的形式发布个人信息保护政策。
注2：个人信息保护影响详估认为个人信息处理活动对个人权益可能有重大影响的，即便存在显著困难，仍需坚持遵一告知的方式
增强告知，主要用于帮助个人理解个人信息处理规则中的关键内容或与特定业务功能处理目6）
的相关的个人信息处理规则，且通常采用个人不可绕过的方式（如设置专门界面或单独步骤）向个人告知相关信息，以协助个人作出是否同意的决定，包括以下内容。1）增强告知的内容需浓缩一般告知的关键规则，突出展示个人最关心的内容，语言简洁、精练，方使阅读。
2）增强售知的方式需凸显与一般售知方式的差异，其告知内容更加容易被个人所理解和获取。例如，一般告知采用要求个人勾选、点击等方式以达到提醒阅读的目的，而增强告知采用弹窗等方式向个人直接展示或送达关键内容