TPCAC 0001-2023 个人支付信息保护指引

TPCAC 0001-2023《个人支付信息保护指引》是近年来个人数据保护领域的重要文件。在该标准的新旧版本对比中，有一条内容的变化尤为值得关注，即关于“个人敏感信息处理同意机制”的调整。

在旧版标准中，对于个人敏感信息的处理仅要求获得用户的明示同意即可。然而，在新版标准中，增加了对同意过程的具体规范，强调了“主动、具体、知情和可撤销”的原则。这意味着企业在获取用户同意时，不仅需要确保用户明确知晓信息被收集的目的、范围及使用方式，还需保证用户能够方便地撤回其同意。

以电商行业为例，当平台要求用户提供身份证号码这类敏感个人信息用于实名认证时，应遵循以下步骤来符合新版标准的要求：

1. 在首次请求提供身份证号码之前，向用户展示清晰且易懂的通知，包括但不限于：

- 收集此信息的具体用途（如验证身份以开通服务）；

- 信息将如何被存储与保护；

- 用户有权随时撤回此同意。

2. 提供一个独立于其他操作流程之外的界面让用户表达同意意愿，并记录下同意的时间戳等信息以便日后核查。

3. 确保整个同意过程中不存在任何强迫性因素，比如通过设置默认勾选框等方式误导用户认为已自动授权。

4. 定期检查并更新隐私政策，告知用户最新的信息处理实践情况，并再次征求他们对于新增或变更条款下的同意。

5. 建立便捷的渠道让用户可以轻松找到如何撤回同意的方法，并及时响应相关请求。

总之，《个人支付信息保护指引》TPCAC 0001-2023通过对同意机制提出更严格的规定，旨在进一步保障消费者的合法权益不受侵害。企业应当根据自身业务特点认真审视现有做法，必要时作出相应调整以满足新规的要求。