《专业视角》：《信息安全技术 个人信息处理中告知和同意的实施指南》—— 构建“告知 – 同意”体系

《个人信息保护法》的发布，初步构建了“告知-同意”的个人信息处理规则和个人信息处理的一种合法性基础，但个人信息处理者在实践中对于告知与同意的具体操作标准尚存疑问。例如，企业按照《个人信息保护法》要求，处理敏感个人信息时应获取个人的“单独同意”，但在实际操作过程中，企业发现很难定义实施“单独同意”的表现形式（单独制定处理敏感个人信息隐私政策并要求获取个人同意，或在现有隐私政策中突出显示关于处理敏感个人信息的个人信息处理规则）。与此同时，处理规则告知不清晰，一揽子同意等现象时有发生。

2023年5月23日，国家标准化管理委员会和国家市场监督管理总局联合发布了国标GB/T 42574—2023 《信息安全技术 个人信息处理中告知和同意的实施指南》（《Information security technology－Implementation guidelines for notices and consent in personal information processing》）（简称《指南》），将于2023年12月1日正式生效。《指南》对告知与同意的适用情形、告知和同意的基本原则、告知的方式、内容和实施，以及同意机制的选择、实施、撤回和证据留存等进行了细致的规定，并通过附录详细列举了不同场景下的告知和同意。

本期专业视角就如何根据《指南》构建“告知-同意”体系予以详尽解析。

点击“下载”阅读全文。

下载（中文版）   下载（日本語）