为了更好地保护用户的个人信息权益,国家市场监督管理总局、国家标准化管理委员会在2023年5月23日发布了GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》(以下简称《指南》),于2023年12月1日起开始实施。《指南》对撤回同意的机制和实施等进行了细化规定,并通过注释列举了详细的实施要求,为个人信息的撤回同意提供了更细化的指引。
一、 条 款 解 读
|
9.6.1同意的撤回-撤回同意的机制设计 |
||
|
a) |
|
|
|
b) |
|
条款解析:个人信息处理者应该根据用户需求和业务特点,灵活设置撤回同意机制的颗粒度,以实现更好的用户体验和隐私保护。 1)个人信息的撤回应采取针对单个业务功能或特定目的,用户行使撤回权利不得拒绝提供其他业务功能(注:除非撤回同意的个人信息是其他业务功能所必需)。 2)用户可直接撤回处理个人信息的,不得拒绝提供或降低与此类个人信息无关业务功能的服务质量,明确了撤回的具体处理目的的除外。 3)单独同意的个人信息收集,应提供相对应的单独撤回同意机制。 4)因客观条件限制、撤回后无法正常使用服务或产品的,应向用户详细说明无法直接撤回同意的理由,并提供可替代撤回同意的操作方式(如:注销账号、停止使用产品或服务后整体删除数据等)。 |
|
c) |
个人信息处理者可通过一般告知的方式,在个人信息保护政策中向个人说明撤回同意的具体场景和操作方法。对于可能对个人权益造成重大影响的撤回同意,可在具体场景中以即时提示的方式向个人予以强调。 |
|
|
d) |
个人撤回同意后,宜设计删除或匿名化相关个人信息的机制,并向个人主动告知相关机制,以供个人作出是否保留个人信息的选择。 |
|
二、 实 施 思 路
个人信息处理者对撤回同意的机制设计需充分考虑个人操作的便捷性,明确个人撤回同意的操作方法/方式,个人信息的撤回应采取和同意过程类似的方法设置撤回同意的机制。例如:通过页面表单在线填写收集的用户个人信息,应提供页面表单在线删除方式撤回同意。示例如下:
图1:通过页面表单在线删除方式撤回同意示例图
1. 个人信息的撤回应采取针对单个业务功能或特定目的,用户行使撤回权利不得拒绝提供其他业务功能(注:除非撤回同意的个人信息是其他业务功能所必需)。示例如下:
图2:针对单个业务功能或特定目的撤回同意示例图
无法使用相关的必要业务功能示例图
图5:撤回同意存在限制的示例图
图6:告知撤回同意的个人权益影响示例图
用户撤回个人信息后,应删除或匿名化撤回的个人信息,若该个人信息用作其它已同意的处理目的,技术满足的情况下应提供直接删除的选项,若技术不满足的应采取相应限制将无法删除的个人信息不再用于被撤回同意的处理目的。示例如下:
图7:撤回同意的个人信息处理示例图
三、 结 语
近期,国家针对“为更正、删除个人信息或注销用户账号设置不必要或不合理条件”、“未向用户提供撤回同意收集个人信息的途径、方式”、“未提供有效的更正、删除个人信息及注销用户账号功能”等多项合规问题进行检测,发现多款App存在违反《网络安全法》、《个人信息保护法》相关规定,涉嫌阻止用户行使个人撤回同意个人信息的行为。针对此类行为,相关企业应按照相关法律法规要求处理撤回同意个人信息,并制定相应的管理制度和条款约束其自身收集使用行为。
“持之以恒,久久为功”,除了企业的自我约束,用户也需要具备一定的信息安全意识,了解自己的个人信息权益,以及如何合法、有效地保护自己的个人信息。同时,政府和相关监管机构也需要加强监管力度,对于违反法律法规的行为进行严厉打击,维护市场的公平竞争和用户的合法权益。只有这样,我们才能真正实现持之以恒地保护个人信息。
(本文作者:北京梆梆安全科技有限公司 黄力渊 陈凤萍)
原文始发于微信公众号(梆梆安全):标准应用 | GB/T 42574中“同意的撤回”相关条款测试技术解析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论