SEC08-03 数据主体的选择和同意

数据主体的选择和同意是指在个人数据被收集、处理或使用之前，数据处理者需要获得数据主体（个人）的明确同意，并且数据主体有权选择是否同意其个人数据被处理的过程。

• 风险等级

  高

• 关键策略
  • 收集或使用个人数据前，须明确提示用户，并获得用户的同意，并且允许用户随时关闭对个人数据的收集和使用。
  • 从数据主体系统中传出包含个人数据的错误报告之前，必须提供机制告知数据主体，并获得其同意。
  • 若需要将个人数据用于营销、用户画像、市场调查，数据控制者和设备供应者必须提供机制单独获取数据主体明示同意，并提供随时撤销同意的机制。
  • 设置或读取在数据主体系统上的Cookie前（如用于营销或广告），应提供获取数据主体同意及撤销的机制。
  • 修改用户个人空间的行为（如系统或应用配置变更、下载软件、对用户系统或软件升级），须得到用户的同意。
  • 对未成年人提供服务或收集了包含年龄信息的个人信息时，需要实现从未成年人的监护人处获取同意的功能。
  • 数据控制者应提供对用户的同意和撤销同意行为进行记录的机制。