個人信息安全“用戶同意”淺析

2020年10月1日實施的《信息技術安全個人信息安全規範》（GB/T 35273-2020）（以下簡稱《個人信息安全規範》），將“個人信息安全”這一長久存在但總被忽視的問題推至大眾的目光下。

雖然，作為國家推薦標準，《個人信息安全規範》沒有法律法規的強制約束力，但從國家網信辦關於個人信息安全監管的執法口徑分析，該文件內容的指導意義不容小觑；尤其是目前個人信息保護法律法規尚缺乏可操作性條文的情況下，該文件內容對行政執法甚至司法審判均可能產生實質性影響。

《個人信息安全規範》首次提出“明示同意”的概念，在學界和實務界掀起熱議，有人欣慰於我國的個人信息安全保護標準終於能向國際看齊，而有人也質疑實踐中要做到明示同意的困難性。無論怎樣，今後用戶同意及其方式將隨之逐漸演變是大勢所趨，而本文旨在通過分析《個人信息安全規範》的規定，結合實務，幫助企業正確理解用戶同意及適用相關方式。

一、尊重用戶的同意自由

征求用戶同意，其核心是賦予用戶的同意自由。同意自由則包含兩層含義，即同意的自由和不同意的自由。結合《個人信息安全規範》，用戶同意在其中表現為兩大原則：選擇同意原則與主體參與原則。

選擇同意原則，指向個人信息主體明示個人信息處理目的、方式、範圍、規則等，征求其授權同意。換而言之，選擇同意原則即是要求企業尊重用戶的事先同意權，征求同意的行為需發生在未對用戶個人信息采取任何措施之前，例如在注冊APP前需先勾選同意用戶協議等。同時，用戶同意也不是一勞永逸的，如果原先同意範圍、目的、內容等發生變化的，企業仍需在用戶適用變化後的規則前提示其同意相關變化。

主體參與原則，指向個人信息主體提供能夠訪問、更正、刪除其個人信息，以及撤回同意、注銷賬戶等方法。可見，主體參與原則賦予用戶的是事後監督權，保護的是用戶事後的反悔權，或者是用戶不同意的自由。根據實踐，相較於選擇同意權，企業更容易忽視用戶的主體參與權利。甚至，許多企業會在用戶協議中約定“用戶一旦同意授權則不可撤銷”等類似安排，以期獲取“一次同意、終身授權”的效果。對於此類安排，筆者認為合規風險較大，理由有二：其一，該等內容與《個人信息安全規範》倡導的主體參與原則相悖；其二，該等條款作為格式條款，一旦被判定雙方權利義務不對等或企業未對用戶盡到足夠的風險提示時，則可能被認定為無效條款。

因此，企業切忌為了維護用戶粘度，而將用戶“撤回同意”、“刪除信息”以及“注銷賬戶”的功能隱藏起來。實務中，許多熱門APP也已推出用戶同意的撤回功能。

綜上，用戶同意的合法合規，從建立尊重用戶同意自由的體系開始，企業在征求用戶同意時需恪守選擇同意原則和主體參與原則，以給予用戶同意自由的最大保障和尊重。

二、牢記三種情形需采用明示同意

根據《個人信息安全規範》，企業在三種情形中必須獲得明示同意。

(1) 何為明示同意？

明示同意指個人信息主體通過書面聲明或主動做出肯定性動作，對其個人信息進行特定處理做出明確授權的行為。由此可見，明示同意需由用戶主動作出肯定性動作，包括主動作出電子或紙質形式的聲明、主動勾選、主動點擊“同意”、“注冊”、“發送”、“撥打”等。實踐中，對於“主動勾選、主動點擊”的行為，我們理解應不僅限於“手動勾選”、“點擊”等行為，比如用戶通過“語音識別”功能用聲音發出指令的行為也應視為明示同意。

(2) 明示同意的三種情形分別為哪三種？

經梳理《個人信息安全規範》，企業應在下述三類情形中征求用戶的明示同意：

其一，僅僅取得用戶明示同意並不足夠，還需具備確需公開的合理事由，兩者兼備才可公開。現實中，合理事由可能多種多樣，比如租房等商業需求、再比如尋人等緊急需求。

其二，公開披露的個人信息無論是否涉及個人敏感信息均需取得用戶的明示同意，且若涉及敏感信息需通過逐條列舉的方式事前告知用戶。

三、謹慎使用授權同意

除了明示同意之外，《個人信息安全規範》還規定了授權同意，但對其概念卻未釋明。有學者認為，明示同意指用戶需作出明確授權，作出肯定性動作；那授權同意即是指用戶無需作出明確授權，無需作出肯定性動作；換而言之，授權同意就是默示同意的另一種表達。

對此觀點，企業大多鼓掌歡迎。明示同意對互聯網企業提出了很高的要求，從根本上顛覆了各家企業往常獲取用戶同意的方式，許多暗度陳倉的行為被暴露在了陽光下，導致一些互聯網平臺用戶粘度的降低。而有了“默示同意”的雙胞胎“授權同意” 的存在，企業是否又可以在用戶同意的設置上見雀張羅，等待用戶自投羅網了呢？

《個人信息安全規範》主要起草人洪延青如是回複：《個人信息安全規範》未提及默示同意，而采用“授權同意”，是鼓勵互聯網企業采用明示同意，防止互聯網企業濫用默示同意，同時在現實情況中無法做到明示同意時采用授權同意。

由此可見，授權同意的形式要求可能較明示同意較低，但其絕非等同於默示同意。此外，從洪延青的回複推知，授權同意是對“現實情況中無法做到明示同意時”的彌補。因此，企業在采用授權同意時，首先需考慮是否無法做到明示同意。比如，筆者認為實踐中較為常見的以“默認勾選”方式征求用戶同意則不屬於授權同意的範疇。首先，一款軟件能代替用戶作出“默認肯定選擇”顯然可以做到將“肯定選擇”留給客戶自行勾選，因此該等安排不屬於“現實情況中無法做到明示同意”的情形；其次，設置不顯眼的“默認勾選”很可能侵犯用戶的選擇同意自由，顯然與《個人信息安全規範》的選擇同意原則背道而馳。

此外，授權同意在實際采用時還有一大難點，即個人敏感信息的區分。根據《個人信息安全規範》，授權同意僅適用於個人一般信息，而涉及敏感信息的必須獲取用戶的明示同意。但在實踐中，個人一般信息和個人敏感信息可能互相轉化，相伴相依。

首先，許多APP等網絡產品和服務在最初的《用戶協議》中列示的對用戶信息的收集、使用和處理，通常同時包含用戶的個人一般信息和敏感信息。

其次，實踐中，個人一般信息和敏感信息並未存在明確界限。根據《個人信息安全規範》後附的資料性附錄，個人信息中的絕大部分均可能構成個人敏感信息，而這與取得個人信息的數量以及之間的關聯度有著緊密的聯系。以網頁浏覽記錄為例，單條網頁浏覽記錄可能僅構成個人一般信息，但數以億計的網頁浏覽記錄中通常包含著大量個人敏感信息。

在《個人信息安全規範》出臺前，南京市中級人民法院曾認定“百度以默認勾選的方式征求用戶同意以收集用戶的浏覽記錄不構成侵犯用戶的隱私權”，因為“用戶的浏覽記錄非個人敏感信息”。值得注意的是，雖然當時南京中院認定“用戶的浏覽記錄非個人敏感信息”，但其認定的依據系《信息安全技術公共及商用服務信息系統個人信息保護指南》（GB／Z28828-2012），而該等標準並未像《個人信息安全規範》對個人敏感信息作出概括+舉例的詳細描述。因此，若該案發生於《個人信息安全規範》出臺後，法院是否會依據新的判斷標準，作出不同的裁判而未可知。

因此，基於“現實情況中無法做到明示同意時”這一采取授權同意的前提條件門槛較高，“鑒別個人敏感信息”的現實操作難度較大，真正能夠適用授權同意的空間則很小，若企業任意套用授權同意，則個人信息安全的合規風險將顯著增加。