一、背景
近年来,随着云计算、大数据、区块链、5G、人工智能等新一代信息通信技术的快速发展和应用普及,促进了互联网与传统实体经济的融合,数字经济的高速增长也在无形中增加了对公民的个人信息的收集、加工、使用, App过度收集个人信息、大数据杀熟等问题层出不穷。2021年至2022年,我国互联网普及率已超过70%,持续排名全球第一网民大国。加强个人信息保护逐渐成为国家、群众密切关注的重大迫切问题。社会各界不由呼吁:尽快制定出台个人信息保护领域专门的法律规定。
2021年8月,《中华人民共和国个人信息保护法》表决通过,并于2021年11月1日起正式施行。这是我国第一部从法律层面对个人信息保护的专门立法,不仅弥补了我国个人信息保护领域法律体系的立法缺失,其中借鉴了国外发达国家、地区的经验,更与此前已经出台施行的《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国电子商务法》、《中华人民共和国民法典》、《中华人民共和国刑法》相关内容进行衔接与发展,创设了单独同意的规定。
二、法律规定
我国《个人信息保护法》在《民法典》第1035条的基础上,充分吸收海内外个人信息保护立法重要成果,进一步将“同意”细化为“单独同意”。第13条规定除为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;为履行法定职责或者法定义务所必需;为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;法律、行政法规规定的其他情形。个人信息处理者取得个人同意方可处理个人信息。
同时,该法指出需要取得个人单独同意的个人信息处理活动共有五类:一向其他个人信息处理者提供个人信息;二公开个人信息;三将在公共场合安装图像采集、个人身份识别设备所收集的个人图像、身份识别信息用于维护公共安全之外的其他目的;四处理敏感个人信息;五向中华人民共和国境外提供个人信息。我们发现,这五类个人信息处理活动都对个人信息权益有着重大影响,有必要通过一定方式提醒个人高度重视这些处理活动、审慎考虑是否同意对个人信息进行这样的处理。因此,这对个人信息处理者设定更高门槛,防止个人信息处理者随意公开个人信息,造成个人信息泄露。
三、单独同意
概念理解单独同意,即信息主体在被充分告知某些特定的信息处理行为后,独立并且特定指向的认可,与之相对应的是“一揽子同意”和“概括同意”,也有人理解为专项同意或者逐项同意,例如在《网络交易监督管理办法》第13条约定:“网络交易经营者收集、使用消费者个人信息…不得采用一次概括授权、默认授权、与其他授权捆绑、停止安装使用等方式,强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息。收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的,应当逐项取得消费者同意…”。
单独同意实质是一种特殊的同意,过程包含了三个步骤,即“告知、知情、同意”,底层逻辑如下:一是以形式上有效的告知而不是展示冗长和高阅读成本的文本;二是最大程度上确保信息主体的知情;三是最终获得处理该信息的授权同意。
四、具体操作要求
(一)告知要求的强化。
信息处理者应通过增强式告知或即时提示的方式,针对需要单独同意的事项予以专门、充分的告知。如果其中所涉及的个人信息处理场景或规则较为复杂,可选用单行页面或弹窗等列举处理规则、进行增强告知。
(二)同意事项的颗粒度小。
单独同意的核心点在于:所需同意的事项应针对特定且清晰的业务目的或业务场景,不应与其他不相关的目的或业务功能相捆绑或混同,也不得糅杂或隐匿在其他事项中。因此,用户仅点击或勾选同意产品或服务的整体隐私政策,可以构成“明示”、 “同意”,但无法构成的单独同意。同样,如果用户拒绝单独同意或撤回单独同意,信息处理者应该确保不会影响单独同意所涉目的或业务功能之外的其他个人信息处理目的和业务功能。
(三)同意动作的主动性强。
上文所述“单独同意”适用的情形涉及个人重大权益或高风险处理活动,个人信息处理者应该获得信息主体的主动、明示同意的的单独同意,避免以默认或间接推定的方式作出,从而确保个人所作出的单独同意是清晰、明确和无歧义的。例如,在设计单独的同意界面时,应与其余的一般条款区分开,用户需要手动逐一勾选确认“同意”或“已知悉”项。
(四)其他补强方式。
不得以“与其他授权捆绑”“不点击同意就不提供服务”的方式强迫或变相强迫作出的同意,否则该同意无效;设置的拒绝选项不应存在视觉误导,例如同意选项显而易见而拒绝选项难以识别或无法点击;提供替代方式供用户选择以满足自愿性的要求,用户可通过输入密码或验证码等方式继续使用某项服务功能,保证用户做出“同意”的自愿性,这点我们可以参考“粤省事”小程序上面的页面设置:
五、新国家标准下的单独同意亮点
2023年5月23日,国家市场监督管理总局、国家标准化管理委员会发布了GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》(下简称《实施指南》),并将于2023年12月1日起开始实施。
《实施指南》在《个人信息保护法》和GB/T 35273-2020《信息安全技术 个人信息安全规范》的基础上,细化了处理个人信息时,向个人告知处理规则、取得个人同意的实施方法和步骤,不仅适用于个人信息处理者在开展个人信息处理活动时保障个人权益,也可为监管、检查、评估等活动提供参考。
六、《实施指南》9.3条单独同意的实施
关于个人信息单独同意
《实施指南》在《个人信息保护法》第32条的基础上,提出了“若向多个其他个人信息处理者提供个人信息,如提供个人信息的目的、方式、种类等一致,提供过程同时或同一场景发生的,可在告知内容中逐一列举接收方的身份和联系方式,由个人一并进行同意”,同时也注明“针对同一处理目的或业务功能同时处理多项个人信息字段,且逐项拆分字段后无法达成处理个人信息目的或无法实现该业务功能的,就多项字段一并告知并一次取得个人单独同意的,不视为一揽子取得同意”。这两项规定给个人信息处理者提供了新的解决方案,在满足特定条件下,能够避免APP在实践中因接收方不同而导致个人进行多次重复单独同意的情形,也较好地解决了App设计中因同一处理目的接入多个其他个人信息处理者的代码或插件的情况。
关于敏感个人信息单独同意
《实施指南》提出,如为实现某一特定目的需要同时处理多项敏感个人信息的,可一并告知并一次性取得个人单独同意。该条款简化了单独同意的实践操作,若收集多项敏感个人信息时均需要分别获得个人信息主体的单独同意,大大增加了个人信息处理者的操作难度,也为个人信息主体带来了操作重复的不便。
关于公共场所收集信息用于维护公共安全之外的目的
《实施指南》在《个人信息保护法》第26条的基础上,提出了个人信息处理者在公共场所通过图像采集、个人身份识别设备所收集的个人图像、身份识别信息的,需向个人告知处理与该目的相关的个人信息处理规则,并取得个人的单独同意。
例如在会员身份确认的场景下,可通过引导个人通过扫描二维码等方式了解相应个人信息处理规则后,由其主动点击“同意”方式进行授权;涉及多人处理时,可由多人共同签署同一个授权书也能视为取得单独同意。
关于个人信息跨境传输的单独同意
《实施指南》还提出可视为单独同意的情形,即个人在自行了解境外接收方所公布的个人信息处理规则后,主动以邮件、短信息、点击启动服务、在线提交信息或直接确认等方式向境外接收方发送涉及其个人信息内容的。
《实施指南》最新明确,收集个人信息时已事前单独就个人信息出境取得个人同意,满足出境其他条件的前提下,后续在出境时可不再次取得个人单独同意。这对于跨国个人信息处理企业设计App和小程序界面与规则设计提供了明确的可行性依据。
关于新增的单独同意情形
除《个人信息保护法》规定的需要获得个人单独同意的情形外,《实施指南》建议个人信息处理者要尤其关注该项,后续不断更新需要执行单独同意的清单。该标准将可能对个人权益带来重大影响的个人信息处理活动也纳入需要获取个人单独同意的情形,要求个人信息处理者充分履行告知义务。例如实施对个人信用、绩效评定、所接受服务的质量、交易价格等会对自然人人格尊严、人身或财产安全等产生重大直接影响的自动化决策的情形。
总结
单独同意设置的初衷是为了让同意规则回归个人自决,但在实践中又拘泥于法规以及标准的形式要求,不同法律适用者的价值选择不同,利益衡量也就不同。相信随着法律法规、司法实践的发展,不断完善单独同意的利益衡量模型,能够更好地好地维持人格权益保护和商业利用之间的平衡。
作者介绍:
张若芳,德赛西威法律运营
发表评论 取消回复