用户授权的动态管理（如撤回、更新）合规要求？

用户授权的动态管理（撤回、更新）需以“用户控制权”为核心，严格遵循个人信息保护法规的“透明性、便捷性、可追溯性”要求。

首先，撤回授权方面，依据《个人信息保护法》《GDPR》等规定，用户享有“随时撤回同意”的权利，企业需提供便捷、无障碍的撤回渠道（如APP内独立“隐私设置”入口），不得通过强制联系客服、提交复杂材料等方式阻碍；撤回后应立即停止基于该授权的信息处理（除非有法律规定的其他合法基础，如履行合同），并明确告知用户撤回的具体影响（如某功能无法使用）。

其次，更新授权方面，当处理目的、范围或方式发生实质性变化（如从“内部运营”扩展至“第三方共享”）时，企业必须重新获取用户“明确同意”——需以显著、易懂的方式（如单独弹窗提示）告知变化内容，禁止“默认勾选”“捆绑同意”；若原授权涉及跨境传输，更新时需再次明确披露跨境接收方信息。

此外，企业需完整记录授权与撤回的时间、方式、用户操作痕迹，确保可追溯；隐私政策应清晰披露授权管理流程（如如何撤回、更新），保持文本与实际操作一致。

整体需将“用户知情权、选择权”贯穿始终，避免企业利用信息差损害用户权益，确保动态管理符合“合法、正当、必要”原则。

摘自《可信数据空间合规100问》