5.4 收集個人信息時的授權同意

對個人信息控制者的要求包括：

a) 收集個人信息，應向個人信息主體告知收集、使用個人信息的目的、方式和范圍，并獲得個人信息主體的授權同意；

注1：如產品或服務僅提供一項收集、使用個人信息的業務功能時，個人信息控制者可通過個人信息保護政策的形式，實現向個人信息主體的告知；產品或服務提供多項收集、使用個人信息的業務功能的，除個人信息保護政策外，個人信息控制者宜在實際開始收集特定個人信息時，向個人信息主體提供收集、使用該個人信息的目的、方式和范圍，以便個人信息主體在作出具體的授權同意前，能充分考慮對其的具體影響。

注2：符合本標準5.3和5.4a）要求的實現方法，可參考附錄C。

b) 收集個人敏感信息前，應征得個人信息主體的明示同意，并應確保個人信息主體的明示同意是其在完全知情的基礎上自主給出的、具體的、清晰明確的意愿表示；

c) 收集年滿14周歲未成年人的個人信息前，應征得未成年人或其監護人的明示同意；不滿14周歲的，應征得其監護人的明示同意；

d) 間接獲取個人信息時：

1) 應要求個人信息提供方說明個人信息來源，并對其個人信息來源的合法性進行確認；

2) 應了解個人信息提供方已獲得的個人信息處理的授權同意范圍，包括使用目的，個人信息主體是否授權同意轉讓、共享、公開披露、刪除等；

3) 如開展業務所需進行的個人信息處理活動超出已獲得的授權同意范圍的，應在獲取個人信息后的合理期限內或處理個人信息前，征得個人信息主體的明示同意，或通過個人信息提供方征得個人信息主體的明示同意。