一、GB/T 35273-2020 5.3 标准原文

GB/T 35273-2020 5.3 多项业务功能的自主选择
条款原文：当产品或服务提供多项需收集个人信息的业务功能时，个人信息控制者不应违背个人信息主体的自主意愿，强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。对个人信息控制者的要求包括：
a. 不应通过捆绑产品或服务各项业务功能的方式，要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求；
b. 应把个人信息主体自主作出的肯定性动作，如主动点击、勾选、填写等，作为产品或服务的特定业务功能的开启条件。个人信息控制者应仅在个人信息主体开启该业务功能后，开始收集个人信息；
c. 关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样方便。个人信息主体选择关闭或退出特定业务功能后，个人信息控制者应停止该业务功能的个人信息收集活动；
d. 个人信息主体不授权同意使用、关闭或退出特定业务功能的，不应频繁征求个人信息主体的授权同意；
e. 个人信息主体不授权同意使用、关闭或退出特定业务功能的，不应暂停个人信息主体自主选择使用的其他业务功能，或降低其他业务功能的服务质量；
f. 不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由，强制要求个人信息主体同意收集个人信息。

提示：完整原文请参阅 GB/T 35273-2020 正式文本

引用：5.3的核心，是把“用户愿不愿意开启某项功能”与“组织能不能据此收集相应个人信息”严格绑定起来。

二、条款解读说明

2.1 5.3针对的是多功能产品中的典型滥用问题

在移动应用、平台型产品、智能硬件和互联网服务中，一个产品往往同时提供注册登录、内容浏览、精准推荐、社交互动、位置服务、营销触达、会员服务、风控反欺诈、客服支持等多项业务功能。组织容易把这些功能打包在一起，一次性索取大量权限和个人信息，并以“整体体验”或“统一授权”作为理由。GB/T 35273-2020第5.3条正是针对这种场景提出要求：个人信息主体应当对具体业务功能拥有真实、可撤回、可分离的选择权，而不是被迫一次性接受全部功能及对应的信息收集。

2.2 5.3本质上是在解决“功能捆绑”和“授权捆绑”问题

标准要求	核心含义	常见违规表现	合规重点
不得捆绑功能和授权	未使用功能不得强制一并授权	注册即默认开启推荐、定位、通讯录同步	按功能拆分收集请求
仅在功能开启后收集	收集行为必须以用户主动开启为前提	未点开服务前就预先读取权限	用肯定性动作触发收集
退出应同样方便	开启容易、关闭也应容易	开启一键完成，关闭要多层跳转	保证退出路径对等
不得频繁骚扰式索权	用户拒绝后不应反复施压	每次打开App都弹同一授权请求	建立拒绝后的冷静期和策略
不得因拒绝扩展功能而降质基本服务	用户拒绝某扩展功能，不应影响其他已选功能	拒绝推荐授权后无法浏览内容	区分基本功能与扩展功能

2.3 “肯定性动作”是5.3中的关键触发机制

标准明确要求把个人信息主体自主作出的肯定性动作作为特定业务功能的开启条件。这意味着，组织不能以默认勾选、预装启用、模糊授权、沉默视为同意等方式激活扩展功能。只有当用户主动点击、勾选、填写或发起某项业务时，组织才可以基于该动作启动相应的信息收集。这个要求直接约束了产品交互设计和技术触发逻辑。

2.4 关闭路径对等，是检验自主选择是否真实的重要标准

很多产品在开启扩展功能时非常顺滑，但在关闭时故意增加层级、隐藏入口、使用模糊命名，甚至要求用户联系客服才能退出。这样的设计会使所谓“自主选择”沦为表面机制。5.3要求关闭或退出的路径和方式与开启同样方便，本质上是在保障用户拥有持续、可实际行使的控制权。

2.5 “改善体验”不能成为强制收集的万能理由

这是实践中最常见的灰区。组织经常以“提升体验”“个性化推荐”“更安全”“便于后续研发”等理由，要求用户开放本可选的权限和信息处理活动。但标准已经明确，不能仅以这些宽泛目的强制要求同意。换言之，这些理由可能支持组织提出可选项，却不能天然支持强制收集。是否必要，仍要回到5.2的最小必要原则和5.4的授权规则。

三、实施要点

3.1 划分基本业务功能与扩展业务功能

明确哪些功能是产品核心服务不可或缺的，哪些属于可选增强功能。
不要把营销、推荐、社交、画像分析等扩展功能包装成基础功能。
对每一项功能说明对应的信息类型和授权条件。

3.2 按功能触发收集，不做预先打包索取

用户未使用某项功能前，不应提前申请与之对应的权限和信息。
当用户主动开启某功能时，再进行分层告知和定向授权。
技术实现上应做到“不开启、不采集，不继续、不持续采集”。

3.3 设计等价的退出与关闭机制

确保关闭入口清晰可见，不隐藏在复杂设置路径中。
用户关闭功能后，应同步停止对应的信息收集和处理。
关闭后如仍保留部分数据，应另行说明其法律和业务依据。

3.4 建立拒绝后的克制性提醒机制

用户拒绝扩展功能后，不应频繁弹窗反复索权。
可在用户再次主动访问该功能时重新提示，而非日常无差别打扰。
对高频骚扰式索权进行产品审计和投诉监控。

3.5 防止“隐性惩罚”式设计

拒绝某一扩展功能授权后，不应降低其他已选业务功能的正常服务质量。
对功能不可用的场景，应能证明确与该功能所需信息直接相关。
把5.3要求纳入产品评审、运营活动和AB测试审查机制。

四、常用工具与实施方法

工具/方法	适用场景	实施重点	关键输出
功能分级清单	业务设计阶段	区分基本功能与扩展功能	功能分类表
授权触发流程图	交互与开发设计	确保收集发生在用户主动开启之后	触发逻辑图
退出路径对等评估	产品体验审查	检查关闭入口和开启入口是否对等	评估报告
骚扰索权检测	弹窗和提醒治理	监测拒绝后频繁征求同意问题	检测记录
功能降质影响分析	拒绝授权场景	判断是否存在隐性惩罚	影响说明

注意：5.3看的是“用户是否真的可以选”，而不是“页面上是否形式上给了一个按钮”。

五、典型案例

案例1：内容平台将个性化推荐与基本浏览功能强行绑定

背景：某内容平台要求用户开启画像与推荐授权，否则无法进入首页浏览。
问题：个性化推荐属于增强性功能，不应成为使用基本内容浏览服务的前提。
改进：将推荐功能改为可选项，并提供非个性化内容浏览模式。

案例2：地图应用未使用定位服务前即索取持续定位

背景：用户仅浏览地图首页，应用即要求始终允许位置权限。
问题：持续定位不应在功能尚未开启前预先索取。
改进：改为用户主动点击导航或附近服务时，再触发按需授权。

案例3：关闭扩展功能路径过深导致用户无法真正退出

背景：某App开启通讯录同步一键完成，但关闭需进入多级设置并联系客服确认。
问题：这种设计不符合“开启和关闭同样方便”的要求。
改进：将关闭入口前置，并在关闭后立即停止对应数据同步。

六、成文信息管理要求

5.3要求组织能够证明多项业务功能下的选择机制是真实、分离、可退出的，因此需要保留功能设计和执行证据。

建议保留的成文信息
- 业务功能分级清单及判断依据
- 功能开启条件、授权逻辑和页面设计记录
- 关闭/退出路径设计和验证记录
- 用户拒绝后提醒策略和骚扰索权整改记录
- 功能降质评估和投诉处理记录
管理要求
- 应保留能够还原用户开启和关闭过程的产品证据，如页面截图、交互稿和逻辑说明。
- 功能与收集行为之间的关系应有结构化映射，而非口头解释。
- 文档和版本更新应与产品迭代同步。

七、常见误区及踩坑提醒

误区	常见表现	正确做法
把所有功能都算基础功能	一次性要求用户接受全部信息收集	明确区分基础与扩展功能
未开启先采集	用户还没点开功能就预先索权	以肯定性动作作为收集触发条件
开启容易关闭难	退出路径隐藏、复杂、模糊	确保开启和关闭路径对等
拒绝后反复打扰	每次进入页面都弹同样授权请求	建立克制性提醒和冷静期机制
拒绝扩展功能就降质基本服务	不给定位就连基础浏览也不能用	确保已选其他功能正常可用

警告：5.3若执行走样，组织最容易落入“表面上给了选择，实际上没有真实选择”的合规陷阱。

小结：5.3要求组织在多功能产品中真正尊重个人信息主体的自主意愿，把功能启用、信息收集和退出机制做成可分离、可撤回、可验证的真实控制链。

GB/T 35273-2020 认证标准解读 5.3 多项业务功能的自主选择