查看原文
其他

附下载|《个人信息处理中告知和同意的实施指南》发布!







GB/T 35273《信息安全技术 个人信息安全规范》国家标准实施以来,个人信息收集、使用前的告知和同意一直成为实践中关注的重点工作。2021年11月1日,我国《个人信息保护法》正式发布,阐明了个人信息处理的合法性基础,即明确了个人信息的处理是基于同意或免于同意但具备其他合法性事由。合法性基础对于个人信息处理可谓意义重大,没有此基础,后续处理活动则无法达到合法合规的要求,是绝对意义上的“必要条件”


本标准根据《网络安全法》《网络安全法》迎来五周年 共谋数据安全新征程!《个人信息保护法》亮点“十”足!一图读懂《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等有关要求,重点围绕个人信息处理的公开透明、选择同意等原则,在GB/T 35273《信息安全技术 个人信息安全规范》的基础上,给出了处理个人信息时,向个人告知处理规则、取得个人同意的实施方法和步骤
GB/T 42574—2023 《信息安全技术 个人信息处理中告知和同意的实施指南》(2023年12月1日实施),作为支撑个人信息保护相关法律法规落地的重要参考文件,引起了高度关注。本标准适用于个人信息处理者在开展个人信息处理活动时保障个人权益,也可为监管、检查、评估等活动提供参考。
指南标准主要提到:1标准第5章和第6章分别给出了告知和同意的适用情形。标准给出的适用情形与《个人信息保护法》中提出的要求保持一致,其中告知的适用情形包括:收集个人信息、提供、公开个人信息、处理活动发生变更、其他情形。免于取得个人同意的情形则与《个人信息保护法》第十三条(二)~(七)保持一致。以上均是在法律基础上,对相关情形予以细化、拆解、举例,以便于标准应用人员能更深入、准确理解相应条款要求,明晰个人信息处理合规工作的边界。

2、标准第7章提出了告知和同意的基本原则,与《个人信息保护法》、GB/T 35273—2020《信息安全技术 个人信息安全规范》相关的原则一脉相承,并予以细化。其中,告知的原则包括:公开透明、有效传达、适时充分、真实明确、清晰易懂;同意的原则包括:告知一致、自主选择、时机恰当、避免捆绑。同时还进一步提出了:友好展示、适配媒体、兼顾差异等宜考虑的要素。

关注"数据安全域”,回复“20230530”下载指南全文

全文如下:



来源: CCIA数据安全工作委员会  ,关注"数据安全域”,回复“20230530”下载白皮书全文。


END
往期推荐01观点|2023中关村数据安全分论坛专家分享整理02葡萄牙因安全风险在5G建设中禁用华为设备,华为回应!03招标 | 近期数据安全招标中标信息汇总5(信通院、国家税务局、交通运输局)

继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存