号注册页面。2. 基于同意的法律基础的情形如果隐私政策中的所有个人信息处理活动都是基于同意的合法性基础,那么勾选隐私政策,则意味着个人表示同意。这种情形在实践中可能不多,但是也是可能存在的。此时需要重点关注同意证据保存和撤销同意的个人信息主体权利响应。根据《个人信息保护法》第15条,基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。在实践中,个人信息处理者需结合产品或服务的业务功能特点、收集个人信息的种类和方式、取得个人同意的过程等因素,设计个人撤回其同意的机制。另外,个人信息处理者需要采取技术或管理措施,留存取得个人同意过程的证据,以实现保证处理个人信息的合法性、向有关司法、监管部门提供必要证明材料。详情可查看《个人信息处理中告知和同意的实施指南》。3. 同时基于同意和非同意的法律基础的情形当隐私政策描述的数据处理活动既包括基于同意的,也包括履行合同所必需或者法定义务的合法性基础时。本文建议,可以在隐私政策或者个人信息保护政策中描述所有个人信息收集的合法性基础和业务目的。在注册页面引导个人阅读隐私政策的同时,根据情况另外设置同意事项的勾选框。例如,基于同意的合法性基础处理个人敏感信息,可以在引导用户阅读隐私政策的同时,设置单独同意勾选框以获得个人同意,也可以在收集用户个人敏感信息时再弹窗告知相关情况。例如地理定位信息处理以设备权限弹窗的形式取得单独同意。反之,如果处理个人敏感个人信息不是基于同意而是履行合同所必需的合法性基础,则不应该取得单独同意,而设备地理权限弹窗披露收集目的也仅是告知动作,不是在取得同意。总之,个人信息处理的合法性基础判断是数据合规工作的开始。而如何界定合法性基础在某些业务场景确非易事,需要结合业务常识和具体场景来认定。另外告知和同意的时机和文案设计都需要与业务目的进行调合,尽最大努力达成共赢的方案。— THE END —