网络数据安全管理条例（2024年）第二十二条

第三章个人信息保护

第二十二条网络数据处理者基于个人同意处理个人信息的，应当遵守下列规定：

收集个人信息为提供产品或者服务所必需，不得超范围收集个人信息，不得通过误导、欺诈、胁迫等方式取得个人同意；

处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的，应当取得个人的单独同意；

处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意；

不得超出个人同意的个人信息处理目的、方式、种类、保存期限处理个人信息；

不得在个人明确表示不同意处理其个人信息后，频繁征求同意；

个人信息的处理目的、方式、种类发生变更的，应当重新取得个人同意。

法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。