作者:金茂律师事务所 万波 律师 王书玥 律师助理
2023年5月23日,国家市场监督管理总局、国家标准化管理委员会联合发布了《信息安全技术 个人信息处理中告知和同意的实施指南》(GB/T 42574—2023)(以下简称“《告知同意指南》”),将于2023年12月1日起开始实施。《告知同意指南》给出了处理个人信息时向个人告知处理规则、取得个人同意的实施方法和步骤。
同时,目前实践中广泛应用的《信息安全技术 个人信息安全规范》(GB/T 35273—2020)(以下简称“《个人信息安全规范》”)发布于《个人信息保护法》之前,其中的很多定义及概念难免与《个人信息保护法》存在差异,而此次的《告知同意指南》重新厘清了诸多概念,如《个人信息安全规范》中的“个人信息控制者”等同于《个人信息保护法》中的“个人信息处理者”。
更令人值得关注的是,《告知同意指南》创新性地将告知的方式分为“一般告知”、“增强告知”和“即时提示”三类,并且根据同意实施的特点、步骤等区分了明示同意、单独同意、书面同意、单次同意、拒绝同意、撤回同意、同意证据留存等等概念。
本文将选择“单独同意”部分,从实操的角度出发,浅析获取“单独同意”的最新合规路径。
一、现行的“单独同意”规则
在《个人信息保护法》出台之前,很多监管部门都基于各自角度制定了多种“告知—同意”规则,如《个人信息安全规范》则将敏感个人信息和个人生物识别信息区分为“明示同意”和“单独告知+明示同意”:
5.4 b)收集个人敏感信息前,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示;
5.4 c)收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;
5.4 d)收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意;
5.4 e)间接获取个人信息时:3)如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意。
随着《个人信息保护法》的出台,“告知—同意”规则实现了统一。针对“单独同意”,《个人信息保护法》列举了5种应适用的特殊情形:(1)个人信息处理者向其他个人信息处理者提供其处理的个人信息;(2)个人信息处理者公开其处理的个人信息;(3)处理敏感个人信息;(4)个人信息处理者向中华人民共和国境外提供个人信息;(5)在公共场所安装图像采集、个人身份识别设备,并将所收集的个人图像、身份识别信息用于维护公共安全以外的目的。
但如何实现“单独同意”,当时并无通用且明晰的标准。而实践中,单独同意的实现方式较为多样,可以是一个单独的弹窗、或直接跳转到另一个页面、或一个嵌套的网页等等。同时,实践中业务模式、收集渠道和方式等多有不同,最终导致个人信息处理者对于实现“单独同意”合规路径存在诸多疑惑。
二、《告知同意指南》中的“单独同意”规则
根据CCIA数据安全工作委员会在其公众号上发布的“GB/T 42574—2023 《个人信息处理中告知和同意的实施指南》解读及应用建议 ”一文中可以得知:经调研发现,在实施层面,告知和同意面临的问题非常复杂,比如,告知的内容并非越多越细越好,很多用户对隐私政策太长问题也颇为苦恼,而同意也如此,由于同意的环节过于多,海量的弹窗、复杂的机制可能会让用户无法把握其选择是否均为其真正所需。为此,标准(《告知同意指南》)在告知和同意的实施层面,尽可能提出可优化的路径,在不会影响个人权益的前提下强化可行性。
在应取得单独同意的情形方面,除了《个人信息保护法》中规定的情形外,《告知同意指南》将可能对个人权益带来重大影响的个人信息处理活动纳入获取个人单独同意的情形:
关于单独同意的通用实施要点,根据《告知同意指南》9.3条的规定,应注意以下几点:
1、在个人作出单独同意之前,个人信息处理者还应当通过增强告知的方式,针对需要单独同意的情形专门向个人进行充分的告知。
单独同意的情形中涉及的个人信息处理规则较为复杂时可专门为单独同意的情形制定处理规则,如业务功能处理人脸信息前,由个人查看弹窗提示的人脸信息处理规则后进行单独同意。
2、单独同意是一种增强的“同意”,在应当取得单独同意的情形下,个人信息处理者应当选择“明示同意”的方式(明示同意的具体操作方式见下图)。
3、单独同意所针对的处理活动 需 针对具体且独立的目的或业务功能,不与具备其他处理目的、采取其他处理方式的个人信息处理活动相捆绑或混同在其他同意事项中,以避免一揽子取得个人同意。
关于“一揽子同意”的认定,《告知同意指南》在此处增加了三点注释给出了几种业务模式下的单独同意认定示例:(1)点击或勾选同意产品或服务的个人信息保护政策,不构成针对具体个人信息处理活动的单独同意;(2)在对具体个人信息处理活动给出单独同意的同时,如还要求个人同意针对该处理活动所必需的服务协议等其他与个人信息处理规则无关的法律文件的,不视为一揽子取得同意;(3)针对同一个处理目的或同一业务功能同时处理多项个人信息字段,且逐项拆分字段后无法达成处理个人信息目的或无法实现该业务功能的就多项字段一并告知并一次性取得个人单独同意的,不视为一揽子取得同意。
如前所述,《告知同意指南》亦针对单独同意给出了“可优化的路径”,在9.3.1条d)款中列举了便捷取得单独同意的方式:
简而言之,此处的便捷单独同意路径包括:将单独同意的授权文件与该活动所必须的服务协议一并签署;在同一处理目的或同一业务功能中,采取分项选择同意的模式同时取得多项个人信息字段的同意。
此外,《告知同意指南》在9.3条中分别针对“提供个人信息”、“公开个人信息”、“公共场所收集信息用于维护公共安全之外的目的”、“处理敏感个人信息”以及“向境外提供个人信息”的情形下,给出了获取单独同意的具体实施要点。
例如在“提供个人信息”的场景下,个人信息处理者除了应履行必要的告知义务外,还可在向多个其他个人信息处理者提供个人信息时,如提供个人信息的目的、方式、种类等一致,提供过程同时或同一场景发生的,采取下列优化路径:可在告知内容中逐一列举接收方的身份和联系方式,由个人一并进行同意。
在“处理敏感个人信息”场景下,除了履行必要的告知义务外,个人信息处理者选择采取向个人提供敏感个人信息选项的方式时,应注意不应将选项提前预选。值得注意的是,此情形下还有“一次性单独同意”的优化路径供企业个人信息处理者选择:(1)为实现某一特定目的需要同时处理多项敏感个人信息的,可一并告知并一次性取得个人单独同意;(2)为实现特定目的而处理敏感个人信息,同时还涉及收集、使用、提供等多个处理活动或涉及多个主体的,且多活动或多主体无法拆分,可一并告知并一次性取得个人单独同意。即“某一目的+多项敏感个人信息=一次性单独同意”或“某一敏感个人信息+多个处理活动/无法拆分的多个主体=一次性单独同意”。
三、App实践案例
1、“某一个人信息”+“多项处理活动/多个主体”
下表为某商业银行App收集“人脸信息”的获取单独同意的操作模式:
首先,该App的《人脸识别服务用户授权书》的页面是独立展示的,并未与《用户协议》和《隐私政策》捆绑在一起。符合《告知同意指南》中提及的“单独同意的情形中涉及的个人信息处理规则较为复杂时可专门为单独同意的情形制定处理规则,如业务功能处理人脸信息前,由个人查看弹窗提示的人脸信息处理规则后进行单独同意”的情形。
其次,该页面以显著方式告知了用户其采集的个人信息类型是“人脸信息”,处理目的是“核实身份”,处理的方式是“我行会使用您在我行电子、自助、柜面等渠道留存的可信照片,或通过法律法规允许或政府机关授权的权威机构(包括但不限于中国人民银行、公安部及其授权的机构)查询及使用您在上述机构留存的身份信息及人脸照片信息。在必要时,我行会将您提交的身份信息及人脸照片信息等提供给上述权威机构,用于验证您的身份”。符合《告知同意指南》中第9.3.5条d)项的“某一敏感个人信息+多个处理活动/无法拆分的多个主体=一次性单独同意”模式。
最后,用户需要主动勾选《人脸识别服务用户授权书》而非默认同意。
上述人脸识别的场景,在《告知同意指南》第9.3.5条d)项的的注释中亦提及了操作模式:个人信息处理者使用其他个人信息处理者的人脸识别技术,为进行身份鉴别需收集个人的人脸识别信息并提供给其他个人信息处理者的,可对收集和提供的情形一并告知,并一次性取得个人单独同意。
可以看出,该App符合《告知同意指南》的要求。
2、“某一目的”+“多项个人信息”
下表为某地图App网约车打车获取单独同意的操作模式:
上例中,在登录环节暂时仅存在“直接收集”、“间接收集”两种处理活动。但是,收集的个人信息不止一项,包括了“精准定位信息”、“手机号”和“微信身份”等信息,并索权了“短信通知权限”等权限。但该App在取得这些个人信息时,都采用专门页面和单独步骤等方式向用户告知,取得“单独同意”。
然而,根据最新的《告知同意指南》可知,并非必需针对每一项个人信息逐一获取用户的“单独同意”才算是合规。如为实现某一特定目的需要同时处理多项敏感个人信息的,可一并告知并一次性取得个人单独同意。例如,个人信息处理者为了开通网上投资理财服务而需要收集投资人姓名、手机号码、身份证号和银行卡号等的,可在一个表单页面中就需要收集的多项字段一并告知并一次性取得个人单独同意,对于其中的“身份证号”和“银行卡号”标识为“敏感个人信息”。
四、结语
综合而言,《告知同意指南》明确了“告知”和“同意”作为不同概念和动作的理念,将相关的方法、步骤予以区分,同时又在实施层面予以衔接,真正做到将法规与实践相结合,立足于行业领域现状及需求并尽可能给出可行性方案。《告知同意指南》还提供了大量注释和资料性附录,增加了该标准的实用性。就“单独同意”的部分而言,浅浅浏览已有“拨开迷雾见月明”之感,给企业提供了直接的实操参考路径,亦注重优化路径,同时给个人和企业减负。