收集個人信息如何征得同意

征得用戶同意是處理個人信息的前提，法律法規對如何征得“同意”有明確的規定，本文特對征得同意的要求進行梳理，旨在幫助您對征得同意有全面細致的了解。

在理解“同意”的含義前希望您可以有這樣一個認識，同意機制本質上是對用戶選擇權的一種保障，既然是選擇權，即用戶可以同意、也可以拒絕、還可以撤回同意，有了這樣一個認識，就等於理解了下面的合規要求之“所以然”。同意離不開告知，一般告知的內容已經在《隱私政策應該這樣寫》中進行了梳理，本文只對隱私政策之外的告知進行提示。

一、同意的一般要求

1. 告知隱私政策的核心內容並征得同意

在用戶首次打開產品或服務、注冊賬號等情形時，應通過顯著方式告知同意隱私政策核心內容（基本業務功能，必要個人信息等），提示用戶閱讀隱私政策，並取得用戶明示同意1。目的是為了幫助用戶理解該產品或服務的個人信息處理範圍和規則，並決定是否繼續使用該產品或服務。

2. 逐一征得同意

區分產品或服務的服務類型、基本業務功能和擴展業務功能，分別征得用戶授權同意2，不采用捆綁方式強迫用戶一次性接受或拒絕所有可能收集的個人信息。

3. 非必要個人信息的收集可拒絕可撤回授權同意

用戶同意收集必要個人信息3後，非必要個人信息4的收集不能強制用戶同意。例如提供 “退出”、“上一步”、關閉”、“取消”等按鈕供等方式供用戶拒絕個人信息的收集。當用戶拒絕或撤回授權同意後，應立刻停止收集相關的個人信息。

4. 設立便捷的機制使用戶能夠變更或撤銷其授權同意。

例如很多的APP中都會設有“系統權限管理”、“授權管理”的模塊，方便用戶改變和撤銷授權。

5. 收集年滿14周歲未成年人的個人信息前，應征得未成年人或其監護人的明示同意；不滿14周歲的，應征得其監護人的明示同意。

二、單獨同意

法律法規就需要單獨取得用戶單獨同意的個人信息處理情形進行了規定，具體情形包括

1. 收集敏感個人信息。

個人信息處理者應在收集敏感個人信息信息前，征得用戶的單獨同意，並告知收集目的，且目的應清晰易懂。

2. 向境外提供個人信息。

個人信息處理者向境外提供個人信息前，應當向用戶告知境外接受方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使權力的方式和程序。

3. 向他人提供個人信息。

個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應當向信息主體告知接受方的名稱或者姓名、聯絡方式、處理目的、處理方式和個人信息的種類，並取得個人的單獨同意。

4. 公開個人信息。

個人信息處理者不得公開其處理的個人信息，取得個人單獨同意的除外。

5. 公共場所收集的個人圖像和身份識別信息用於公共安全目的之外的。

公共場所收集個人圖像和身份識別信息進行了公共安全目的限定，超出這個目的需征得個人單獨同意。例如車站向公安提供了犯罪嫌疑人在車站的錄像、照片等，不需要征得犯罪嫌疑人的單獨同意，再如物業公司將某一個業主出入小區的視頻或照片提供給了中介機構，這樣必須征得該業務單獨同意。

三、拒絕或撤回同意

當用戶拒絕或撤回個人信息的收集和權限申請時，應滿足以下要求：

1. 不應頻繁申請授權幹擾用戶正常使用。

頻繁的場景包括：單個場景取消授權後，48小時內申請授權的次數超過1次，重新打開APP或使用無關的業務功能時，都會再次向用戶索要授權或提示用戶缺少相關授權。

2. 不應暫停用戶自主選擇使用的其他業務功能，或降低其他業務功能的服務質量。

例如不強制退出APP或關閉APP，不應拒絕提供APP基礎業務功能和影響其他無關的拓展業務功能的使用，除非用戶拒絕授權必要個人信息。

說明：

1、明示同意：用戶通過書面、口頭等方式主動作出紙質或電子形式的聲明，或者自主作出肯定性動作，對其個人信息進行特定處理作出明確授權的行為。肯定性動作包括用戶主動勾選、主動點擊“同意” “注冊”“發送”“撥打”、主動填寫或提供等。
2、授權同意： 用戶對其個人信息進行特定處理作出明確授權的行為，包括通過積極的行為作出授權（即明示同意），或者通過消極的不作為而作出授權（例如信息采集區域內的用戶在被告知信息收集行為後沒有離開該區域）。

3、必要個人信息：保障基本業務功能正常運行所必須的個人信息，即當且僅當沒有該個人信息的參與，基本業務功能無法實現或無法正常運行。必要個人信息是取得用戶同意後收集個人信息的最小範圍。

4、非必要個人信息：與所提供服務直接相關但可選擇收集的個人信息，該類信息可有用戶拒絕或撤回同意收集。包括基礎業務功能可收集的個人信息(比如有些App的指紋認證、人臉認證)和拓展業務功能收集的個人信息。