个人信息安全“用户同意”浅析

2020年10月1日实施的《信息技术安全个人信息安全规范》（GB/T 35273-2020）（以下简称《个人信息安全规范》），将“个人信息安全”这一长久存在但总被忽视的问题推至大众的目光下。

虽然，作为国家推荐标准，《个人信息安全规范》没有法律法规的强制约束力，但从国家网信办关于个人信息安全监管的执法口径分析，该文件内容的指导意义不容小觑；尤其是目前个人信息保护法律法规尚缺乏可操作性条文的情况下，该文件内容对行政执法甚至司法审判均可能产生实质性影响。

《个人信息安全规范》首次提出“明示同意”的概念，在学界和实务界掀起热议，有人欣慰于我国的个人信息安全保护标准终于能向国际看齐，而有人也质疑实践中要做到明示同意的困难性。无论怎样，今后用户同意及其方式将随之逐渐演变是大势所趋，而本文旨在通过分析《个人信息安全规范》的规定，结合实务，帮助企业正确理解用户同意及适用相关方式。

一、尊重用户的同意自由

征求用户同意，其核心是赋予用户的同意自由。同意自由则包含两层含义，即同意的自由和不同意的自由。结合《个人信息安全规范》，用户同意在其中表现为两大原则：选择同意原则与主体参与原则。

选择同意原则，指向个人信息主体明示个人信息处理目的、方式、范围、规则等，征求其授权同意。换而言之，选择同意原则即是要求企业尊重用户的事先同意权，征求同意的行为需发生在未对用户个人信息采取任何措施之前，例如在注册APP前需先勾选同意用户协议等。同时，用户同意也不是一劳永逸的，如果原先同意范围、目的、内容等发生变化的，企业仍需在用户适用变化后的规则前提示其同意相关变化。

主体参与原则，指向个人信息主体提供能够访问、更正、删除其个人信息，以及撤回同意、注销账户等方法。可见，主体参与原则赋予用户的是事后监督权，保护的是用户事后的反悔权，或者是用户不同意的自由。根据实践，相较于选择同意权，企业更容易忽视用户的主体参与权利。甚至，许多企业会在用户协议中约定“用户一旦同意授权则不可撤销”等类似安排，以期获取“一次同意、终身授权”的效果。对于此类安排，笔者认为合规风险较大，理由有二：其一，该等内容与《个人信息安全规范》倡导的主体参与原则相悖；其二，该等条款作为格式条款，一旦被判定双方权利义务不对等或企业未对用户尽到足够的风险提示时，则可能被认定为无效条款。

因此，企业切忌为了维护用户粘度，而将用户“撤回同意”、“删除信息”以及“注销账户”的功能隐藏起来。实务中，许多热门APP也已推出用户同意的撤回功能。

综上，用户同意的合法合规，从建立尊重用户同意自由的体系开始，企业在征求用户同意时需恪守选择同意原则和主体参与原则，以给予用户同意自由的最大保障和尊重。

二、牢记三种情形需采用明示同意

根据《个人信息安全规范》，企业在三种情形中必须获得明示同意。

(1) 何为明示同意？

明示同意指个人信息主体通过书面声明或主动做出肯定性动作，对其个人信息进行特定处理做出明确授权的行为。由此可见，明示同意需由用户主动作出肯定性动作，包括主动作出电子或纸质形式的声明、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”等。实践中，对于“主动勾选、主动点击”的行为，我们理解应不仅限于“手动勾选”、“点击”等行为，比如用户通过“语音识别”功能用声音发出指令的行为也应视为明示同意。

(2) 明示同意的三种情形分别为哪三种？

经梳理《个人信息安全规范》，企业应在下述三类情形中征求用户的明示同意：

其一，仅仅取得用户明示同意并不足够，还需具备确需公开的合理事由，两者兼备才可公开。现实中，合理事由可能多种多样，比如租房等商业需求、再比如寻人等紧急需求。

其二，公开披露的个人信息无论是否涉及个人敏感信息均需取得用户的明示同意，且若涉及敏感信息需通过逐条列举的方式事前告知用户。

三、谨慎使用授权同意

除了明示同意之外，《个人信息安全规范》还规定了授权同意，但对其概念却未释明。有学者认为，明示同意指用户需作出明确授权，作出肯定性动作；那授权同意即是指用户无需作出明确授权，无需作出肯定性动作；换而言之，授权同意就是默示同意的另一种表达。

对此观点，企业大多鼓掌欢迎。明示同意对互联网企业提出了很高的要求，从根本上颠覆了各家企业往常获取用户同意的方式，许多暗度陈仓的行为被暴露在了阳光下，导致一些互联网平台用户粘度的降低。而有了“默示同意”的双胞胎“授权同意” 的存在，企业是否又可以在用户同意的设置上见雀张罗，等待用户自投罗网了呢？

《个人信息安全规范》主要起草人洪延青如是回复：《个人信息安全规范》未提及默示同意，而采用“授权同意”，是鼓励互联网企业采用明示同意，防止互联网企业滥用默示同意，同时在现实情况中无法做到明示同意时采用授权同意。

由此可见，授权同意的形式要求可能较明示同意较低，但其绝非等同于默示同意。此外，从洪延青的回复推知，授权同意是对“现实情况中无法做到明示同意时”的弥补。因此，企业在采用授权同意时，首先需考虑是否无法做到明示同意。比如，笔者认为实践中较为常见的以“默认勾选”方式征求用户同意则不属于授权同意的范畴。首先，一款软件能代替用户作出“默认肯定选择”显然可以做到将“肯定选择”留给客户自行勾选，因此该等安排不属于“现实情况中无法做到明示同意”的情形；其次，设置不显眼的“默认勾选”很可能侵犯用户的选择同意自由，显然与《个人信息安全规范》的选择同意原则背道而驰。

此外，授权同意在实际采用时还有一大难点，即个人敏感信息的区分。根据《个人信息安全规范》，授权同意仅适用于个人一般信息，而涉及敏感信息的必须获取用户的明示同意。但在实践中，个人一般信息和个人敏感信息可能互相转化，相伴相依。

首先，许多APP等网络产品和服务在最初的《用户协议》中列示的对用户信息的收集、使用和处理，通常同时包含用户的个人一般信息和敏感信息。

其次，实践中，个人一般信息和敏感信息并未存在明确界限。根据《个人信息安全规范》后附的资料性附录，个人信息中的绝大部分均可能构成个人敏感信息，而这与取得个人信息的数量以及之间的关联度有着紧密的联系。以网页浏览记录为例，单条网页浏览记录可能仅构成个人一般信息，但数以亿计的网页浏览记录中通常包含着大量个人敏感信息。

在《个人信息安全规范》出台前，南京市中级人民法院曾认定“百度以默认勾选的方式征求用户同意以收集用户的浏览记录不构成侵犯用户的隐私权”，因为“用户的浏览记录非个人敏感信息”。值得注意的是，虽然当时南京中院认定“用户的浏览记录非个人敏感信息”，但其认定的依据系《信息安全技术公共及商用服务信息系统个人信息保护指南》（GB／Z28828-2012），而该等标准并未像《个人信息安全规范》对个人敏感信息作出概括+举例的详细描述。因此，若该案发生于《个人信息安全规范》出台后，法院是否会依据新的判断标准，作出不同的裁判而未可知。

因此，基于“现实情况中无法做到明示同意时”这一采取授权同意的前提条件门槛较高，“鉴别个人敏感信息”的现实操作难度较大，真正能够适用授权同意的空间则很小，若企业任意套用授权同意，则个人信息安全的合规风险将显著增加。