目前我國數(shù)據(jù)立法的結(jié)構(gòu),總體而言即以《國家安全法》作為我國數(shù)據(jù)立法的基石,在此基石之下,《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》成為規(guī)制數(shù)據(jù)安全的“三駕馬車”,在這三部法律之下,又有《信息安全技術(shù) 個人信息安全規(guī)范》《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)出境安全評估指南》《數(shù)據(jù)出境安全評估辦法》《個人信息出境標準合同規(guī)定》《個人信息保護認證實施規(guī)則》等多部規(guī)范性文件對“三駕馬車”進行細化規(guī)定。
我國數(shù)據(jù)保護立法雖相對而言起步較晚,但發(fā)展迅速,相關(guān)合規(guī)問題亦呈現(xiàn)“井噴式”爆發(fā)趨勢,這其中涉及個人信息數(shù)據(jù)“單獨同意”的問題尤為突出。颯姐法律團隊在此簡要梳理《個人信息保護法》中要求的個人信息“單獨同意”的情形,并提供相應(yīng)的注意事項。
一、什么是單獨同意?
《個人信息保護法》第十三條規(guī)定了個人信息處理者處理個人信息的七項條件,即:
(一)取得個人的同意;
(二)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需;
(三)為履行法定職責或者法定義務(wù)所必需;
(四)為應(yīng)對突發(fā)公共衛(wèi)生事件,或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需;
(五)為公共利益實施新聞報道、輿論監(jiān)督等行為,在合理的范圍內(nèi)處理個人信息;
(六)依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息;
(七)法律、行政法規(guī)規(guī)定的其他情形。
根據(jù)該法條的規(guī)定,個人信息處理者處理個人信息的過程符合第(二)至第(七)這六項條件中的任何一項的時候,就可以不經(jīng)個人的同意而處理個人信息,反之,則必須得到個人的同意。這就是《個人信息保護法》規(guī)定的個人信息處理的“個人同意”制度。
《個人信息保護法》第十三條第(一)項規(guī)定的同意存在多種形式,如“口頭同意”“書面同意”“一攬子同意”“單獨同意”等。如果個人信息的處理者符合該條第(二)至第(七)項中的任意一項規(guī)定,其處理個人信息就不需要經(jīng)過個人同意,自然也不存在究竟要采取哪種同意方式的問題,反之就必須要注意同意的方式。
目前,《個人信息保護法》并未對“單獨同意”的含義做出具體解釋,在實務(wù)中,一般認為單獨同意就是“一攬子”同意的對稱,所謂“一攬子同意,”舉例而言就是當用戶只需要采取一個動作(如在手機APP中點擊一個“√”)即一次性針對多項個人信息、多種處理活動進行同意,該種理解目前已經(jīng)被《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》所采納。該“意見稿”第73條第(八)項規(guī)定,單獨同意是指數(shù)據(jù)處理者在開展具體數(shù)據(jù)處理活動時,對每項個人信息取得個人同意,不包括一次性針對多項個人信息、多種處理活動的同意。
除了《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》外,《信息安全技術(shù) 個人信息處理中告知和同意的實施指南》亦有關(guān)于“單獨同意”的規(guī)定,該標準認為單獨同意即“個人針對其個人信息進行特定處理活動而專門做出具體、明確的授權(quán)行為”。
綜上,雖然《個人信息保護法》并沒有對“單獨同意”的概念進行明確表述,但上述文件依然幫助我們在實務(wù)中處理需要“單獨同意”的事項,至少可以幫助我們劃定紅線,即一次性針對多項(哪怕是兩項)個人信息、處理活動的同意,均不能被認為是“單獨同意”,單獨同意一定是個人做出的專門、具體、明確的授權(quán)行為。
二、哪些場景需要“單獨同意”?
根據(jù)《個人信息保護法》之規(guī)定,個人信息處理者在以下幾種情形下,其處理個人信息時必須得到個人的單獨同意:
1.向第三方提供個人信息的場景
根據(jù)《個人信息保護法》第二十三條之規(guī)定,個人信息處理者向其他個人信息處理者提供其處理的個人信息的,應(yīng)當向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨同意。接收方應(yīng)當在上述處理目的、處理方式和個人信息的種類范圍內(nèi)處理個人信息。接收方變更原先的處理目的、處理方式的,應(yīng)當依照本法規(guī)定重新取得個人同意。
2.公開個人信息
根據(jù)《個人信息保護法》第二十五條之規(guī)定,個人信息處理者不得公開其處理的個人信息,但是取得個人單獨同意的除外。
簡言之,個人信息處理者不公開其處理的個人信息是常態(tài),如果需要公開,就必須要取得相應(yīng)個人信息所指向的個人的單獨同意。
3.安裝攝像頭、人臉識別設(shè)備的情形
根據(jù)《個人信息保護法》第二十六條之規(guī)定,在公共場所安裝圖像采集、個人身份識別設(shè)備,應(yīng)當為維護公共安全所必須,遵守國家有關(guān)規(guī)定,并設(shè)置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全目的,不得用于其他目的;取得個人單獨同意的除外。
簡言之,在公共場所安裝攝像頭、人臉識別等設(shè)備,必須遵守國家規(guī)定且是為了維護公共安全所必須,而且還要設(shè)置顯著的提示標識。倘若無法滿足上述條件,那么就必須取得個人的單獨同意,否則就是侵犯公民個人信息的違法行為。
4.處理敏感個人信息
根據(jù)《個人信息保護法》第二十九條之規(guī)定,處理敏感個人信息應(yīng)當取得個人的單獨同意;行政法規(guī)規(guī)定處理敏感個人應(yīng)當取得書面同意的,從其規(guī)定。
簡言之,處理敏感個人信息一定要取得個人的單獨同意,不僅如此某些敏感信息的取得還需要個人的書面同意。
所謂敏感個人信息,《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273-2020)在其附錄B中做了詳細說明,該國標明確載明,個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全,極易導(dǎo)致個人名譽、身心健康收到損害或歧視性待遇等的個人信息。通常情況下,14歲以下(含)兒童的個人信息和涉及自然人隱私的信息屬于個人敏感信息,這些敏感信息包括但不限于以下類型:
5.數(shù)據(jù)出境
根據(jù)《個人信息保護法》第三十九條之規(guī)定,個人信息處理者向中華人民共和國境外提供個人信息的,應(yīng)當向個人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類及個人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項,并取得個人的單獨同意。
該條需要和《個人信息保護法》第二十三條加以區(qū)分,簡言之,個人信息處理者向第三方提供個人信息時,如果該第三方是境內(nèi)的其他個人信息處理者,則需要依據(jù)《個人信息保護法》第二十三條的規(guī)定取得單獨同意,倘若第三方并非是“其他個人信息處理者(比如很可能是委托處理個人信息的第三方)”,則不需要依據(jù)個人信息保護法第二十三條取得單獨同意。但倘若該第三方位于境外,則無論其法律地位如何,個人信息處理者都需要取得單獨同意,且要做到《個人信息保護法》第二十三條和第三十九條規(guī)定的其他義務(wù)。
三、合規(guī)要點
在實踐中,針對“單獨同意”問題,目前互聯(lián)網(wǎng)APP在不同的場景下合規(guī)要點亦不同:
1.向第三方提供個人信息的場合,App在登陸注冊時允許用戶使用其他平臺的賬號進行登錄,此時就會存在用戶的賬號信息在兩個處理者之間共享。合規(guī)做法就是APP跳出彈窗(單獨同意)頁面,將賬號信息授權(quán)事項明示告知用戶,并征得用戶對該共享的單獨同意;
2.公開個人信息的場合,這類場合相比第一類場合較為罕見,但也容易被忽視。實際上多數(shù)企業(yè),尤其是互聯(lián)網(wǎng)APP沒有理由也不會公開其所收集的個人信息,但在極特殊的場景下,比如某APP公開抽獎活動的中獎人名單(涉及手機號、APP名稱頭像等),此時就必須在公開之前取得個人的單獨同意;
3.安裝攝像頭、人臉識別設(shè)備的場合,部分企業(yè)的門禁系統(tǒng)會涉及到人臉識別問題,倘若上述門禁系統(tǒng)被認為與維護公共安全無關(guān),那就必須要征得員工的個人同意方可實施;
4.處理敏感個人信息的場合,APP在涉及處理個人敏感信息的場合必須單獨彈窗,這已經(jīng)是合規(guī)慣例,較難以判斷的是敏感信息的種類,在此颯姐團隊提醒各位從業(yè)者務(wù)必仔細研讀《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273-2020)附錄B中的所有內(nèi)容,以充分掌握何為敏感個人信息;
5.在數(shù)據(jù)出境的場合,一定要注意其與《個人信息保護法》第二十三條規(guī)定的異同,尤其要注意提示個人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等內(nèi)容。
四、寫在最后
單獨同意是數(shù)據(jù)合規(guī)和個人信息保護的一項重中之重,正如前文所言,目前《個人信息保護法》并未對“單獨同意”的概念及其實施標準做出明確規(guī)定,從目前來看,個人信息主體在個人信息跨境傳輸、公共場所安裝監(jiān)控或身份識別信息設(shè)備、敏感個人信息處理(如在線問診等產(chǎn)品)等領(lǐng)域,履行與落實單獨同意義務(wù)實仍有較大的改善空間,當然這無疑增大了合規(guī)的難度,颯姐團隊建議涉及到個人信息處理的企業(yè)務(wù)必增強相關(guān)合規(guī)意識,在自己的APP中明確告知用戶關(guān)鍵事項,保護用戶的重要權(quán)益,增強自身業(yè)務(wù)合規(guī)性。
作者介紹:
肖颯律師團隊,由北京大成律師事務(wù)所高級合伙人肖颯牽頭,在數(shù)字資產(chǎn)、數(shù)據(jù)合規(guī)、金融科技等民商事業(yè)務(wù)領(lǐng)域,以及刑事合規(guī)、反腐敗和反商業(yè)賄賂、網(wǎng)絡(luò)安全犯罪等刑事業(yè)務(wù)領(lǐng)域有豐富的法律服務(wù)經(jīng)驗。
團隊負責人肖颯,系北京大成律師事務(wù)所高級合伙人,北京市律師協(xié)會數(shù)字經(jīng)濟與人工智能領(lǐng)域法律專業(yè)委員會副主任、法學博士、仲裁員,擅長數(shù)據(jù)合規(guī)、數(shù)字經(jīng)濟、刑事辯護、刑事合規(guī)、金融科技領(lǐng)域法律服務(wù),曾代理國內(nèi)NFT第一案二審、河南村鎮(zhèn)銀行系列案件,并為大型企業(yè)提供科技創(chuàng)新業(yè)務(wù)合規(guī)、金融創(chuàng)新業(yè)務(wù)合規(guī)法律服務(wù)。擔任北京大學法學院法律碩士研究生實踐指導(dǎo)老師、中國人民大學法學院法碩實務(wù)導(dǎo)師、中國政法大學法律碩士學院兼職導(dǎo)師等職務(wù)。榮登2023《中國知名企業(yè)法總推薦的律師》推薦名錄、2024《中國知名企業(yè)法總推薦的優(yōu)秀律師&律所》推薦名錄年度客戶精選律師。
相關(guān)稿件