lSO29151标淮PII的同意权

目标:通过行使有意义、知情、自由的同意权，使PII主体积极参与有关处理其PlI的决策过程，除非法律和法规另有限制。

组织应为PII主体提供必要的手段，以行使有意义的、知情的、明确的和自由的同意权。除非:PII主体不能自由拒绝同意，适用法律允许在没有主体同意的情况下处理PIL保始PII的实施指南组织应该;

a）确定获得PI主体同意的流程，并分析所选择的流程不可用的情况下，确定替代解决方案，以确保在任何处理开始前获得同意;

b)在可行、适当、法律上要求的情况下，为PI主体提供同意的手段，以确保在任何处理开始前获得同意。处理内容包括收集，存储，更改，检索，咨询，披露，识别，匿名，传播或以其他方式提供，删除或销毁PH;

c)在法律代理人（例如代表儿童或法定无行为能力的人）提供同意的情况下，存储同意记录;

d)如有必要，向PI主体通报PII转让给第三方的所有情况，并为PU主体提供他们同意此类转让的适当方式;

e)在任何新的使用或披需先前收集的PH之前，从PI1主体获得同意，并确保在进一步处理开始前获得该同意;

f）确保在处理目的方面以知情和透明的方式获得同意，并确保为某一种特定目的而获得同意;

g）例如通过更新的公告通知;

h)为PI主体修改其同意范围提供了一种机制:任何修改同意都应该及时采取行动，并且应该根据修改后的同意，修改或停止处理;

i)确保同意遵守所有适用的法律要求，包括在适当情况下明确同意敏感PII的要求;

j)在适当的情况下，允许隐含的同意’其中PII主体已经清楚地知道处理并且没有反对;

k)在所有加工操作实施之前事先通知所有加工操作;

I)在需要时确认PII主体或PII主体授权代理人的身份，提交处理同意书:

要求评审的信息应保持在最低限度，只有在必要时才能保留，并且在不再需要时应妥善处理。

其他信息用干保护PII

根据适用法律，组织应通过选择或默示同意方式获得同意。

选择同意是首选的方法，但并不总是可行的。选择加入，则要求PII主体应采取肯定行动，允许组织收集或使用PII。如果使用电子介质收集同意，则组织应确定是否需要简单的选择，或是否需要双重选择。

如果选择退出，组织可以假定PII主体已经隐含同意处理其PII,除非PII主体采取肯定行动以其他方式发出信号。

默示同意通常是由个人的行为、缺省行为、特殊情况推断出来的。

默示同意示例:客户向在线零售商提供送货地址，零售商严格使用该值息以交付客户购买的商品。

在收集识别号码（例如，社会安全号码，居民身份证号码，护照号码）时，组织应提供切实可行的手段以获得PH主体的单独同意。

例如，组织可以提供PII主体的分项选择，以便他们为了不同目的而联系他们。在这种情况下，组织会建立同意机制，以确保组织的运营尽可能符合PII主体的选择。

根据适用的监管要求和实际考虑，同意可以是电子版或硬拷贝。

如果PII转移到另一个组织或从另一个组织转移而来，那么组织应建立一个更新其记录的流程，以反映PII主体做出的内容更新和同意变更（例如，修改，撤销)，并确保这些更新/更改将传递给与其共享PII的组织。

只有确保所需记录、更新的信息最小量，才能从PII主体收集并与其他组织共享。组织应定期审查他们的过程,以确保不会处理不必要的PII。