一、背景
近年來,隨著雲計算、大數據、區塊鏈、5G、人工智能等新一代信息通信技術的快速發展和應用普及,促進了互聯網與傳統實體經濟的融合,數字經濟的高速增長也在無形中增加了對公民的個人信息的收集、加工、使用, App過度收集個人信息、大數據殺熟等問題層出不窮。2021年至2022年,我國互聯網普及率已超過70%,持續排名全球第一網民大國。加強個人信息保護逐漸成為國家、群眾密切關注的重大迫切問題。社會各界不由呼籲:盡快制定出臺個人信息保護領域專門的法律規定。
2021年8月,《中華人民共和國個人信息保護法》表決通過,並於2021年11月1日起正式施行。這是我國第一部從法律層面對個人信息保護的專門立法,不僅彌補了我國個人信息保護領域法律體系的立法缺失,其中借鑒了國外發達國家、地區的經驗,更與此前已經出臺施行的《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國電子商務法》、《中華人民共和國民法典》、《中華人民共和國刑法》相關內容進行銜接與發展,創設了單獨同意的規定。
二、法律規定
我國《個人信息保護法》在《民法典》第1035條的基礎上,充分吸收海內外個人信息保護立法重要成果,進一步將“同意”細化為“單獨同意”。第13條規定除為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需;為履行法定職責或者法定義務所必需;為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;為公共利益實施新聞報道、輿論監督等行為,在合理的範圍內處理個人信息;依照本法規定在合理的範圍內處理個人自行公開或者其他已經合法公開的個人信息;法律、行政法規規定的其他情形。個人信息處理者取得個人同意方可處理個人信息。
同時,該法指出需要取得個人單獨同意的個人信息處理活動共有五類:一向其他個人信息處理者提供個人信息;二公開個人信息;三將在公共場合安裝圖像采集、個人身份識別設備所收集的個人圖像、身份識別信息用於維護公共安全之外的其他目的;四處理敏感個人信息;五向中華人民共和國境外提供個人信息。我們發現,這五類個人信息處理活動都對個人信息權益有著重大影響,有必要通過一定方式提醒個人高度重視這些處理活動、審慎考慮是否同意對個人信息進行這樣的處理。因此,這對個人信息處理者設定更高門槛,防止個人信息處理者隨意公開個人信息,造成個人信息泄露。
三、單獨同意
概念理解單獨同意,即信息主體在被充分告知某些特定的信息處理行為後,獨立並且特定指向的認可,與之相對應的是“一攬子同意”和“概括同意”,也有人理解為專項同意或者逐項同意,例如在《網絡交易監督管理辦法》第13條約定:“網絡交易經營者收集、使用消費者個人信息…不得采用一次概括授權、默認授權、與其他授權捆綁、停止安裝使用等方式,強迫或者變相強迫消費者同意收集、使用與經營活動無直接關系的信息。收集、使用個人生物特征、醫療健康、金融賬戶、個人行蹤等敏感信息的,應當逐項取得消費者同意…”。
單獨同意實質是一種特殊的同意,過程包含了三個步驟,即“告知、知情、同意”,底層邏輯如下:一是以形式上有效的告知而不是展示冗長和高閱讀成本的文本;二是最大程度上確保信息主體的知情;三是最終獲得處理該信息的授權同意。
四、具體操作要求
(一)告知要求的強化。
信息處理者應通過增強式告知或即時提示的方式,針對需要單獨同意的事項予以專門、充分的告知。如果其中所涉及的個人信息處理場景或規則較為複雜,可選用單行頁面或彈窗等列舉處理規則、進行增強告知。
(二)同意事項的顆粒度小。
單獨同意的核心點在於:所需同意的事項應針對特定且清晰的業務目的或業務場景,不應與其他不相關的目的或業務功能相捆綁或混同,也不得糅雜或隱匿在其他事項中。因此,用戶僅點擊或勾選同意產品或服務的整體隱私政策,可以構成“明示”、 “同意”,但無法構成的單獨同意。同樣,如果用戶拒絕單獨同意或撤回單獨同意,信息處理者應該確保不會影響單獨同意所涉目的或業務功能之外的其他個人信息處理目的和業務功能。
(三)同意動作的主動性強。
上文所述“單獨同意”適用的情形涉及個人重大權益或高風險處理活動,個人信息處理者應該獲得信息主體的主動、明示同意的的單獨同意,避免以默認或間接推定的方式作出,從而確保個人所作出的單獨同意是清晰、明確和無歧義的。例如,在設計單獨的同意界面時,應與其餘的一般條款區分開,用戶需要手動逐一勾選確認“同意”或“已知悉”項。
(四)其他補強方式。
不得以“與其他授權捆綁”“不點擊同意就不提供服務”的方式強迫或變相強迫作出的同意,否則該同意無效;設置的拒絕選項不應存在視覺誤導,例如同意選項顯而易見而拒絕選項難以識別或無法點擊;提供替代方式供用戶選擇以滿足自願性的要求,用戶可通過輸入密碼或驗證碼等方式繼續使用某項服務功能,保證用戶做出“同意”的自願性,這點我們可以參考“粵省事”小程序上面的頁面設置:
五、新國家標準下的單獨同意亮點
2023年5月23日,國家市場監督管理總局、國家標準化管理委員會發布了GB/T 42574-2023《信息安全技術 個人信息處理中告知和同意的實施指南》(下簡稱《實施指南》),並將於2023年12月1日起開始實施。
《實施指南》在《個人信息保護法》和GB/T 35273-2020《信息安全技術 個人信息安全規範》的基礎上,細化了處理個人信息時,向個人告知處理規則、取得個人同意的實施方法和步驟,不僅適用於個人信息處理者在開展個人信息處理活動時保障個人權益,也可為監管、檢查、評估等活動提供參考。
六、《實施指南》9.3條單獨同意的實施
關於個人信息單獨同意
《實施指南》在《個人信息保護法》第32條的基礎上,提出了“若向多個其他個人信息處理者提供個人信息,如提供個人信息的目的、方式、種類等一致,提供過程同時或同一場景發生的,可在告知內容中逐一列舉接收方的身份和聯系方式,由個人一並進行同意”,同時也注明“針對同一處理目的或業務功能同時處理多項個人信息字段,且逐項拆分字段後無法達成處理個人信息目的或無法實現該業務功能的,就多項字段一並告知並一次取得個人單獨同意的,不視為一攬子取得同意”。這兩項規定給個人信息處理者提供了新的解決方案,在滿足特定條件下,能夠避免APP在實踐中因接收方不同而導致個人進行多次重複單獨同意的情形,也較好地解決了App設計中因同一處理目的接入多個其他個人信息處理者的代碼或插件的情況。
關於敏感個人信息單獨同意
《實施指南》提出,如為實現某一特定目的需要同時處理多項敏感個人信息的,可一並告知並一次性取得個人單獨同意。該條款簡化了單獨同意的實踐操作,若收集多項敏感個人信息時均需要分別獲得個人信息主體的單獨同意,大大增加了個人信息處理者的操作難度,也為個人信息主體帶來了操作重複的不便。
關於公共場所收集信息用於維護公共安全之外的目的
《實施指南》在《個人信息保護法》第26條的基礎上,提出了個人信息處理者在公共場所通過圖像采集、個人身份識別設備所收集的個人圖像、身份識別信息的,需向個人告知處理與該目的相關的個人信息處理規則,並取得個人的單獨同意。
例如在會員身份確認的場景下,可通過引導個人通過掃描二維碼等方式了解相應個人信息處理規則後,由其主動點擊“同意”方式進行授權;涉及多人處理時,可由多人共同簽署同一個授權書也能視為取得單獨同意。
關於個人信息跨境傳輸的單獨同意
《實施指南》還提出可視為單獨同意的情形,即個人在自行了解境外接收方所公布的個人信息處理規則後,主動以郵件、短信息、點擊啟動服務、在線提交信息或直接確認等方式向境外接收方發送涉及其個人信息內容的。
《實施指南》最新明確,收集個人信息時已事前單獨就個人信息出境取得個人同意,滿足出境其他條件的前提下,後續在出境時可不再次取得個人單獨同意。這對於跨國個人信息處理企業設計App和小程序界面與規則設計提供了明確的可行性依據。
關於新增的單獨同意情形
除《個人信息保護法》規定的需要獲得個人單獨同意的情形外,《實施指南》建議個人信息處理者要尤其關注該項,後續不斷更新需要執行單獨同意的清單。該標準將可能對個人權益帶來重大影響的個人信息處理活動也納入需要獲取個人單獨同意的情形,要求個人信息處理者充分履行告知義務。例如實施對個人信用、績效評定、所接受服務的質量、交易價格等會對自然人人格尊嚴、人身或財產安全等產生重大直接影響的自動化決策的情形。
總結
單獨同意設置的初衷是為了讓同意規則回歸個人自決,但在實踐中又拘泥於法規以及標準的形式要求,不同法律適用者的價值選擇不同,利益衡量也就不同。相信隨著法律法規、司法實踐的發展,不斷完善單獨同意的利益衡量模型,能夠更好地好地維持人格權益保護和商業利用之間的平衡。
作者介紹:
張若芳,德賽西威法律運營
發表評論 取消回複