来这里找志同道合的小伙伴！

为了更好的保障用户的个人信息安全，国家市场监督管理总局、国家标准化管理委员会在2023年5月23日发布了GB/T 42574-2023《信息安全技术个人信息处理中告知和同意的实施指南》（以下简称《实施指南》）。本《实施指南》于2023年12月1日起开始实施，在《实施指南》中更加细化的说明告知的时机和频率，并且通过注释方式列举了更加具象化的场景，有效帮助个人信息处理者更加准确地掌握个人信息处理规则。

《实施指南》为了使个人信息处理者充分了解如何设置合理的告知时机和频率，将告知的时机大致划分为三种：首次告知、同步告知、再次告知。根据《实施指南》合理的告知时机和频率，主要从以下三个方面进行解析。

首次告知，顾名思义，也就是在用户第一次使用该产品或服务前，个人信息处理者应向用户进行一次告知，如在用户首次进入App时，提示用户阅读隐私政策。示例如下：

隐私政策示例图

同步告知分别有以下几种情况：

1.产品或服务在收集个人信息时

（1）个人信息处理者在收集个人信息的同时，对个人权益影响较大、收集的必要性需要单独强调的行为，需要进行同步告知。如获取重要权限，收集个人敏感信息等行为。示例如下：

获取相机权限示例图

实名认证示例图

（2）对于相关业务功能难以理解，且收集目的不易理解的，个人信息处理者在收集该相关个人信息时需要进行同步告知，示例如下：

虚拟账号备案同步告知示例图

2.个人注销账户时

个人注销账户时，个人信息处理者需要对用户进行同步告知，示例如下：

账号注销示例图

3.在停止业务功能运营前

在停止业务功能运营前，App运营商需要对用户进行同步告知，示例如下：

运营商停止运营示例图

4.通过其他载体收集或间接获取个人信息时

通过其他载体收集或间接获取个人信息时（如App通过第三方授权后收集或者间接获取个人信息），个人信息处理者需对用户进行同步告知，示例如下：

通过第三方授权获取个人信息示例图

5.对外提供个人信息前

对外提供个人信息前（如用户在App中使用第三方服务购买门票时，需提供姓名以及联系电话），需要提供给第三方个人信息前，个人信息处理者需对用户进行同步告知，示例如下：

对外提供个人信息示例图

6.发生对个人信息有严重影响的安全事件时

发生对个人信息有严重影响的安全事件时，App运营商应在隐私政策中说明如何响应个人信息安全信息事件的发生，以及用何种方式来同步告知用户，并且该方式实际有效，示例如下：

个人信息安全信息事件响应示例图

再次告知可分为以下几种情况：

1.当个人拒绝对收集、提供、变更目的等的请求后

当个人拒绝对收集、提供、变更目的等的请求后，App可采用再次告知的方式向个人说明必要性和对个人权益的影响（如用户拒绝了权限申请，App可采用再次告知的形式说明不给予权限会造什么影响，但不得频繁弹出权限申请弹窗骚扰用户）。示例如下：

再次告知弹窗示例图

2.产品或服务更新后个人信息保护政策发生变化的

产品或服务更新后个人信息保护政策发生变化的，App可对用户进行再次告知（即更新隐私政策后，再次使用需要弹窗告知用户该隐私政策已更新）。示例如下：

隐私政策更新示例图

3.个人信息处理者变更个人信息处理目的、方式、范围前

个人信息处理者变更个人信息处理目的、方式、范围前（即个人信息处理目的、方式、范围发生变化时，隐私政策中应提供相应的告知方式提前告知用户，如电子邮件，推送消息等，且提供的方式应真实有效），示例如下：

隐私政策变更后告知方式示例图

《个人信息保护法》初步明确对于告知的要求，但如何对用户进行有效的告知，告知的频率是否合适，仍然存在着诸多难点。《实施指南》在个人《个人信息保护法》的基础上，对相关内容进行了更加细致的剖析，以指南标准形式提出实施建议，为相关企业提供指导参考。

《个人信息保护法》虽然已经明确了告知的内容，但很多用户由于隐私政策复杂繁琐，存在无阅览隐私政策直接同意现象。此操作现象，对于用户自身个人安全非常不利，告知的时机是否恰当，显得犹为重要的。因此相关监管部门在《实施指南》新增了告知时机（首次告知、同步告知、再次告知），在关键的行为节点用凝练的语言再次告知相关内容，有效帮助用户更好地理解个人信息处理规则，从而做出正确的选择。

国家层面上陆续制定相应的管理制度和条款整治App违规行为的乱象，也取得了可观的成效。在政策推动下，相关企业遵守国家法律及政策要求同时，作为APP直接使用者，也需要加强个人信息安全保护意识，清晰个人的权益，合法且有效的保护自身个人信息安全。从源头上双管齐下，阻断个人信息违规行为的乱象，真正保护公民信息安全。

嘉佑安科
网络安全服务商