《GB/T 42574-2023 信息安全技术 个人信息处理中告知和同意的实施指南》(二)

来源:TMT法律论坛

文章摘要
2023年5月23日,国家标准化管理委员会和国家市场监督管理总局联合发布了《GB/T42574-2023 信息安全技术个人信息处理中告知和同意的实施指南》(以下简称“《实施指南》”)。

2023年5月23日,国家标准化管理委员会和国家市场监督管理总局联合发布了《GB/T42574-2023 信息安全技术个人信息处理中告知和同意的实施指南》(以下简称“《实施指南》”)。
个人信息收集和使用前的告知和同意如何落地实施一直是相关企业关注的重点。作为支撑个人信息保护相关法律法规落地的重要参考文件,该《实践指南》的颁布旨在通过技术语言和操作实例,对于告知和同意相关的合规义务进行拆解和阐释,从而在产品设计、交互界面等环节为企业合规实践提供指导。
本期为《实施指南》系列解读文章第二期“个人信息处理中的告知”。
在就告知的适用情形与基本原则作了整体阐述后,《实践指南》进一步就告知的方式、内容及具体实施提供了详细的指引。
1. 告知的方式
《实施指南》将告知分为一般告知、增强告知与即时提示三种类型,具体如下图所示(点击可查看大图)。个人信息处理者可根据产品、服务、业务特点,选择性适用或组合适用。

2. 告知的内容
《实践指南》承接《个人信息保护法》第十七条对个人信息处理规则透明性的要求,对个人信息处理全生命周期,特别是收集、提供、公开个人信息、处理活动发生变更(含个人信息处理者的名称或姓名和联系方式变更)等情形下的推荐性告知内容进行补充说明。
《实践指南》特别关注到如下场景:
涉及自动采集个人信息的,说明自动采集个人信息的方式、时机、频次,如涉后台长期自动采集(如语音识别助手长期监听),还需说明必要性、安全措施、关闭方式等处理规则;
涉及Cookies等同类技术收集个人信息的,需简要说明相关机制,包括收集个人信息的目的、种类,拒绝或清除记录的方法等;
涉及自动化决策的,如经个人信息保护影响评估认为可能对个人权益产生重大影响,宜主动说明自动化决策的基本原理、对个人权益的重大影响和拒绝自动化决策的方式;
以个人操作视角,分步骤描述个人权利实现机制。
3. 告知的实施
在明确告知方式与内容后,个人信息处理者即可选择适当的告知界面或渠道、清晰易懂的告知展示方式、合理的告知时机和频率,以具体实施告知:
使用便于个人立即阅读、获取告知内容的界面或渠道,如在个人不可操作的大屏幕或IoT等小型显示屏上设置二维码,扫描展示告知内容,对于已通过合法渠道获取联系方式的,可主动联系提供告知内容;
以个人视角的用户体验和权益保障为出发点,以清晰易懂、内容简洁、主次分明为目标展示内容,如明确标识或突出显示对个人权益有显著影响的条款,主动推送、优先展示存在易引起异议或争端的部分;
结合使用“首次告知”(常适用于一般告知)、“同步告知”与“再次告知”(二者常适用于增强告知或即时提示),提高告知的充分性和有效性。
同时,《实践指南》特别针对基本业务功能、扩展业务功能、第三方SDK嵌入、不满14周岁未成年人个人信息等13个常见场景给出了具体的告知建议。以不满14周岁未成年人个人信息处理场景为例,《实践指南》提出如产品或服务的目标人群为不满 14 周岁的未成年人的,应采取一定身份鉴别措施,并设置专门的个人信息保护政策;如人群无限制,则可灵活考虑,必要时可设置一定身份鉴别机制。此外,《实践指南》建议个人信息处理者宜对告知内容是否有效送达进行记录,并对告知的效果进行评估,不断优化告知的方式。

技术驱动法律,专业成就未来