标准应用| GB/T 42574中同意的撤回相关条款测试技术解析

为了更好地保护用户的个人信息权益，国家市场监督管理总局、国家标准化管理委员会在2023年5月23日发布了GB/T 42574-2023《信息安全技术个人信息处理中告知和同意的实施指南》（以下简称《指南》），其将于2023年12月1日起开始实施。《指南》对撤回同意的机制和实施等进行了细化规定，并通过注释列举了详细的实施要求，为个人信息的撤回同意提供了更细化的指引。

一、条款解读

9.6.1同意的撤回-撤回同意的机制设计
a)	个人信息处理者对撤回同意的机制设计需充分考虑个人操作的便捷性，明确个人的何种操作意味着撤回同意，采取与取得同意过程类似的方法设置撤回同意的机制。	条款解析：个人信息的撤回应采取和同意过程类似的方法设置撤回同意的机制。
b)	个人信息处理者可从个人的实际需求和产品或服务的特点出发，合理设置撤回同意机制的颗粒度。通常可采取的撤回同意机制包括： 1) 个人通过撤回某个处理个人信息的业务功能来行使撤回同意权利的，个人信息处理者不得拒绝提供其他业务功能，或降低其他业务功能的服务质量，除非撤回同意的个人信息是其他业务功能所必需； 2) 个人通过直接撤回处理某类个人信息的同意来行使撤回同意权利的，如明确了所撤回的具体处理目的的，个人信息处理者需暂停与此目的相关的处理活动，且不得拒绝或降低与此目的无关业务功能的服务质量；如未明确所撤回的具体处理目的的，不得拒绝提供或降低与此类个人信息无关业务功能的服务质量； 3) 由个人给出单独同意的个人信息处理活动，需具备与单独同意相对应的单独撤回同意机制； 4) 如因客观条件限制、撤回后对个人使用产品或服务的安全性等造成严重影响等情形，宜向个人详细说明无法直接撤回同意的理由，同时提供注销账号、停止使用产品或服务后整体删除数据等可行的方式以达到撤回同意的效果。	条款解析：个人信息处理者应该根据用户需求和业务特点，灵活设置撤回同意机制的颗粒度，以实现更好的用户体验和隐私保护。 1）个人信息的撤回应采取针对单个业务功能或特定目的，用户行使撤回权利不得拒绝提供其他业务功能（注：除非撤回同意的个人信息是其他业务功能所必需）。 2）用户可直接撤回处理个人信息的，不得拒绝提供或降低与此类个人信息无关业务功能的服务质量，明确了撤回的具体处理目的的除外。 3)单独同意的个人信息收集，应提供相对应的单独撤回同意机制。 4）因客观条件限制、撤回后无法正常使用服务或产品的，应向用户详细说明无法直接撤回同意的理由，并提供可替代撤回同意的操作方式（如：注销账号、停止使用产品或服务后整体删除数据等）。
c)	个人信息处理者可通过一般告知的方式，在个人信息保护政策中向个人说明撤回同意的具体场景和操作方法。对于可能对个人权益造成重大影响的撤回同意，可在具体场景中以即时提示的方式向个人予以强调。	需在隐私政策中告知用户撤回同意的具体场景和操作方法（对于用户个人权益影响重大的撤回同意，应在具体的撤回场景中向用户提示对于个人权限的影响）。
d)	个人撤回同意后，宜设计删除或匿名化相关个人信息的机制，并向个人主动告知相关机制，以供个人作出是否保留个人信息的选择。	用户撤回个人信息后，应删除或匿名化撤回的个人信息，若该个人信息用作其它已同意的处理目的，技术满足的情况下，应提供直接删除的选项，若技术不满足的应采取相应限制将无法删除的个人信息不再用于被撤回同意的处理目的。

二、实施思路

《指南》进一步细化撤回机制的实施，把撤回同意的机制设计分为了四部分：个人信息撤回的便捷性、撤回同意机制的颗粒度、撤回同意的操作和影响、撤回同意的删除和保留。围绕《指南》设置合理的撤回同意机制，主要从以下四个方面进行实施。

个人信息处理者对撤回同意的机制设计需充分考虑个人操作的便捷性，明确个人撤回同意的操作方法/方式，个人信息的撤回应采取和同意过程类似的方法设置撤回同意的机制。例如：通过页面表单在线填写收集的用户个人信息，应提供页面表单在线删除方式撤回同意。示例如下：

图1：通过页面表单在线删除方式撤回同意示例图

个人信息处理者可从个人的实际需求和产品或服务的特点出发，合理设置撤回同意机制的颗粒度。通常可采取的撤回同意机制包括：

1. 个人信息的撤回应采取针对单个业务功能或特定目的，用户行使撤回权利不得拒绝提供其他业务功能（注：除非撤回同意的个人信息是其他业务功能所必需）。示例如下：

图2：针对单个业务功能或特定目的撤回同意示例图

2. 用户可直接撤回处理个人信息的，不得拒绝提供或降低与此类个人信息无关业务功能的服务质量，明确了撤回的具体处理目的的除外。例如：撤回个人信息（地址）后，无法使用与该个人信息相关的必要业务功能，如购物服务。示例如下：

图3：撤回同意必要个人信息，

无法使用相关的必要业务功能示例图

3. 单独同意的个人信息收集，应提供相对应的单独撤回同意机制。例如：单独同意第三方收集的个人信息，提供相对应的第三方服务撤回同意个人信息选项。示例如下：

图4：单独撤回同意机制的示例图

4. 因客观条件限制、撤回后无法正常使用服务或产品的，应向用户说明无法直接撤回的原因，并提供可替代撤回同意的操作方式。例如：实名信息认证后不可撤回，注销账号、停止使用产品或服务后整体删除数据等。示例如下：

图5：撤回同意存在限制的示例图

需在隐私政策中告知用户撤回同意的具体场景和操作方法，对于用户个人权益影响重大的撤回同意，应在具体的撤回场景中向用户提示对于个人权益的影响。示例如下：

图6：告知撤回同意的个人权益影响示例图

用户撤回个人信息后，应删除或匿名化撤回的个人信息，若该个人信息用作其它已同意的处理目的，技术满足的情况下应提供直接删除的选项，若技术不满足的应采取相应限制将无法删除的个人信息不再用于被撤回同意的处理目的。示例如下：

图7：撤回同意的个人信息处理示例图

三、结语

近期，国家针对“为更正、删除个人信息或注销用户账号设置不必要或不合理条件”、“未向用户提供撤回同意收集个人信息的途径、方式”、“未提供有效的更正、删除个人信息及注销用户账号功能”等多项合规问题进行检测，发现多款App存在违反《网络安全法》、《个人信息保护法》相关规定，涉嫌阻止用户行使个人撤回同意个人信息的行为。针对此类行为，相关企业应按照相关法律法规要求处理撤回同意个人信息，并制定相应的管理制度和条款约束其自身收集使用行为。

“持之以恒，久久为功”，除了企业的自我约束，用户也需要具备一定的信息安全意识，了解自己的个人信息权益，以及如何合法、有效地保护自己的个人信息。同时，政府和相关监管机构也需要加强监管力度，对于违反法律法规的行为进行严厉打击，维护市场的公平竞争和用户的合法权益。只有这样，我们才能真正实现持之以恒地保护个人信息。

（本文作者：北京梆梆安全科技有限公司黄力渊陈凤萍）