收集个人信息如何征得同意

征得用户同意是处理个人信息的前提，法律法规对如何征得“同意”有明确的规定，本文特对征得同意的要求进行梳理，旨在帮助您对征得同意有全面细致的了解。

在理解“同意”的含义前希望您可以有这样一个认识，同意机制本质上是对用户选择权的一种保障，既然是选择权，即用户可以同意、也可以拒绝、还可以撤回同意，有了这样一个认识，就等于理解了下面的合规要求之“所以然”。同意离不开告知，一般告知的内容已经在《隐私政策应该这样写》中进行了梳理，本文只对隐私政策之外的告知进行提示。

一、同意的一般要求

1. 告知隐私政策的核心内容并征得同意

在用户首次打开产品或服务、注册账号等情形时，应通过显著方式告知同意隐私政策核心内容（基本业务功能，必要个人信息等），提示用户阅读隐私政策，并取得用户明示同意1。目的是为了帮助用户理解该产品或服务的个人信息处理范围和规则，并决定是否继续使用该产品或服务。

2. 逐一征得同意

区分产品或服务的服务类型、基本业务功能和扩展业务功能，分别征得用户授权同意2，不采用捆绑方式强迫用户一次性接受或拒绝所有可能收集的个人信息。

3. 非必要个人信息的收集可拒绝可撤回授权同意

用户同意收集必要个人信息3后，非必要个人信息4的收集不能强制用户同意。例如提供 “退出”、“上一步”、关闭”、“取消”等按钮供等方式供用户拒绝个人信息的收集。当用户拒绝或撤回授权同意后，应立刻停止收集相关的个人信息。

4. 设立便捷的机制使用户能够变更或撤销其授权同意。

例如很多的APP中都会设有“系统权限管理”、“授权管理”的模块，方便用户改变和撤销授权。

5. 收集年满14周岁未成年人的个人信息前，应征得未成年人或其监护人的明示同意；不满14周岁的，应征得其监护人的明示同意。

二、单独同意

法律法规就需要单独取得用户单独同意的个人信息处理情形进行了规定，具体情形包括

1. 收集敏感个人信息。

个人信息处理者应在收集敏感个人信息信息前，征得用户的单独同意，并告知收集目的，且目的应清晰易懂。

2. 向境外提供个人信息。

个人信息处理者向境外提供个人信息前，应当向用户告知境外接受方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使权力的方式和程序。

3. 向他人提供个人信息。

个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向信息主体告知接受方的名称或者姓名、联络方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。

4. 公开个人信息。

个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。

5. 公共场所收集的个人图像和身份识别信息用于公共安全目的之外的。

公共场所收集个人图像和身份识别信息进行了公共安全目的限定，超出这个目的需征得个人单独同意。例如车站向公安提供了犯罪嫌疑人在车站的录像、照片等，不需要征得犯罪嫌疑人的单独同意，再如物业公司将某一个业主出入小区的视频或照片提供给了中介机构，这样必须征得该业务单独同意。

三、拒绝或撤回同意

当用户拒绝或撤回个人信息的收集和权限申请时，应满足以下要求：

1. 不应频繁申请授权干扰用户正常使用。

频繁的场景包括：单个场景取消授权后，48小时内申请授权的次数超过1次，重新打开APP或使用无关的业务功能时，都会再次向用户索要授权或提示用户缺少相关授权。

2. 不应暂停用户自主选择使用的其他业务功能，或降低其他业务功能的服务质量。

例如不强制退出APP或关闭APP，不应拒绝提供APP基础业务功能和影响其他无关的拓展业务功能的使用，除非用户拒绝授权必要个人信息。

说明：

1、明示同意：用户通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。肯定性动作包括用户主动勾选、主动点击“同意” “注册”“发送”“拨打”、主动填写或提供等。
2、授权同意： 用户对其个人信息进行特定处理作出明确授权的行为，包括通过积极的行为作出授权（即明示同意），或者通过消极的不作为而作出授权（例如信息采集区域内的用户在被告知信息收集行为后没有离开该区域）。

3、必要个人信息：保障基本业务功能正常运行所必须的个人信息，即当且仅当没有该个人信息的参与，基本业务功能无法实现或无法正常运行。必要个人信息是取得用户同意后收集个人信息的最小范围。

4、非必要个人信息：与所提供服务直接相关但可选择收集的个人信息，该类信息可有用户拒绝或撤回同意收集。包括基础业务功能可收集的个人信息(比如有些App的指纹认证、人脸认证)和拓展业务功能收集的个人信息。