《个人信息安全规范》在数据生命周期第一步个人信息收集环节，严格界定了个人信息控制者的权利和义务，规定在收集个人信息前，应当向信息主体明示相关内容并取得同意；涉及间接方式获取个人信息时，应要求个人信息提供方说明来源，并确认合法性。

《个人信息安全规范》对个人信息控制者的要求提出了以下三点：

（1）合法性，要求个人信息控制者在法律法规规定的范围内采用合法的手段和获取信息的渠道，在征得个人信息主体同意的前提下收集个人信息或要求信息主体提供个人信息。

a) 不得欺诈、诱骗、强迫个人信息主体提供其个人信息;

b) 不得隐瞒产品或服务所具有的收集个人信息的功能;

c) 不得从非法渠道获取个人信息;

d) 不得收集法律法规明令禁止收集的个人信息。

（2）最小化，要求个人信息的收集类型、频率和数量应在必要性的最小要求之内，即符合最少够用原则。在能达到所需目的条件下，只处理最少的个人信息类型和数量。

a)  收集的个人信息的类型应与实现产品或服务的业务功能有直接关联。直接关联是指没有该信息的参与，产品或服务的功能无法实现;

b)  自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;

c)  间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。

（3）授权同意，要求个人信息控制者处理个人信息时的目的、方式、范围以及相关规则，均要经过个人信息主体的授权同意。

a)  收集个人信息前，应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型，以及收集、使用个人信息的规则(例如收集和使用个人信息的目的、收集方式和频率、存放地域、存储期限、自身的数据安全能力、对外共享、转让、公开披露的有关情况等)，并获得个人信息主体的授权同意;

b)  间接获取个人信息时:

    1)  应要求个人信息提供方说明个人信息来源，并对其个人信息来源的合法性进行确认;

    2)  应了解个人信息提供方已获得的个人信息处理的授权同意范围，包括使用目的，个人信息主体是否授权同意转让、共享、公开披露等。如本组织开展业务需进行的个人信息处理活动超出该授权同意范围，应在获取个人信息后的合理期限内或处理个人信息前，征得个人信息主体的明示同意。

《个人信息安全规范》还指出了在以下几方面无需个人信息主体的授权同意：

a)  与国家安全、国防安全直接相关的;

b)  与公共安全、公共卫生、重大公共利益直接相关的;

c)  与犯罪侦查、起诉、审判和判决执行等直接相关的;

d)  出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;

e)  所收集的个人信息是个人信息主体自行向社会公众公开的;

f)  从合法公开披露的信息中收集个人信息的，如合法的新闻报道、政府信息公开等渠道;

g)  根据个人信息主体要求签订和履行合同所必需的;

h)  用于维护所提供的产品或服务的安全稳定运行所必需的，例如发现、处置产品或服务的故障;

i)  个人信息控制者为新闻单位且其在开展合法的新闻报道所必需的;

j)  个人信息控制者为学术研究机构，出于公共利益开展统计或学术研究所必要，且其对外提供学术研究或描述的结果时，对结果中所包含的个人信息进行去标识化处理的;

k)  法律法规规定的其他情形。

《个人信息安全规范》针对个人敏感信息的收集提出了额外的要求，考虑到敏感度较高的个人信息收集与提供对个人信息主体带来的不同范围的利害影响，要求个人信息控制者要在个人信息主体完全知情的基础上给出自愿的、具体的、清晰明确的同意表示。针对个人敏感信息在收集时，个人信息主体应逐项明确其针对功能的必需性，并且可逐项进行同意或者拒绝。对未满14周岁的未成年人在收集时提出了额外监护人授权同意的要求。

a)  收集个人敏感信息时，应取得个人信息主体的明示同意。应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示;

b)  通过主动提供或自动采集方式收集个人敏感信息前，应:

    1)  向个人信息主体告知所提供产品或服务的核心业务功能及所必需收集的个人敏感信息，并明确告知拒绝提供或拒绝同意将带来的影响。应允许个人信息主体选择是否提供或同意自动采集;

    2)  产品或服务如提供其他附加功能，需要收集个人敏感信息时，收集前应向个人信息主体逐一说明个人敏感信息为完成何种附加功能所必需，并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息。当个人信息主体拒绝时，可不提供相应的附加功能，但不应以此为理由停止提供核心业务功能，并应保障相应的服务质量。

c) 收集年满14的未成年人的个人信息前，应征得未成年人或其监护人的明示同意;不满14周岁的，应征得其监护人的明示同意。

个人敏感信息收集示例：

《个人信息安全规范》还要求个人信息控制者制定相关的隐私政策：说明其自身的基本情况、收集行为的目的和业务范围、收集的方式和频率、存储的地域和期限、后续共享、转让、公开披露的目的，、第三方接收者的类型、数据安全防护的能力、个人信息主体的权利和实现机制、可能存在的风险以及投诉询问的方式等。隐私政策的发布方式要以最基本的法律法规以及相关规范作为基准，以真实易懂的信息内容，采取公开发布或易于访问的方式逐一送达或公告送达相关个人信息主体。

a) 个人信息控制者应制定隐私政策，内容应包括但不限于:

    1)  个人信息控制者的基本情况，包括注册名称、注册地址、常用办公地点和相关负责人的联系方式等;

    2)  收集、使用个人信息的目的，以及目的所涵盖的各个业务功能，例如将个人信息用于推送商业广告，将个人信息用于形成直接用户画像及其用途等;

    3)  各业务功能分别收集的个人信息，以及收集方式和频率、存放地域、存储期限等个人信息处理规则和实际收集的个人信息范围;

    4)  对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型，以及所承担的相应法律责任;

    5)  遵循的个人信息安全基本原则，具备的数据安全能力，以及采取的个人信息安全保护措施;

    6)  个人信息主体的权利和实现机制，如访问方法、更正方法、删除方法、注销账户的方法、撤回同意的方法、获取个人信息副本的方法、约束信息系统自动决策的方法等;

    7)  提供个人信息后可能存在的安全风险，及不提供个人信息可能产生的影响;

    8)  处理个人信息主体询问、投诉的渠道和机制，以及外部纠纷解决机构及联络方式。

b)  隐私政策所告知的信息应真实、准确、完整;

c)  隐私政策的内容应清晰易懂，符合通用的语言习惯，使用标准化的数字、图示等，避免使用有歧义的语言，并在起始部分提供摘要，简述告知内容的重点;

d)  隐私政策应公开发布且易于访问，例如，在网站主页、移动应用程序安装页、社交媒体首页等显著位置设置链接;

e)  隐私政策应逐一送达个人信息主体。当成本过高或有显著困难时，可以公告的形式发布;

f)  在本条a)所载事项发生变化时，应及时更新隐私政策并重新告知个人信息主体。

《个人信息安全规范》加强了个人信息主体对其个人信息的控制权，在个人信息主体明示同意的前提下，才可以进行相关的个人信息收集，并要求个人信息控制者应当对其收集的用户信息建立健全个人信息保护技术措施和管理制度，且应当遵循合法、正当、必要的原则，公开使用信息的目的、方式和范围，并经被收集者同意。

个人信息安全规范（一）：基本原则

个人信息安全规范（二）：数据生命周期--个人信息收集

个人信息安全规范（三）：数据生命周期--个人信息存储

个人信息安全规范（四）：数据生命周期--个人信息使用

个人信息安全规范（五）：数据生命周期--个人信息对外提供

个人信息安全规范（六）：个人信息安全事件处置

个人信息安全规范（七）：个人信息管理制度与技术措施