目前我國數(shù)據(jù)立法的結(jié)構(gòu),總體而言即以《國家安全法》作為我國數(shù)據(jù)立法的基石,在此基石之下,《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》成為規(guī)制數(shù)據(jù)安全的“三駕馬車”,在這三部法律之下,又有《信息安全技術(shù)
個人信息安全規(guī)范》《數(shù)據(jù)安全技術(shù)
數(shù)據(jù)出境安全評估指南》《數(shù)據(jù)出境安全評估辦法》《個人信息出境標(biāo)準(zhǔn)合同規(guī)定》《個人信息保護(hù)認(rèn)證實(shí)施規(guī)則》等多部規(guī)范性文件對“三駕馬車”進(jìn)行細(xì)化規(guī)定。
我國數(shù)據(jù)保護(hù)立法雖相對而言起步較晚,但發(fā)展迅速,相關(guān)合規(guī)問題亦呈現(xiàn)“井噴式”爆發(fā)趨勢,這其中涉及個人信息數(shù)據(jù)“單獨(dú)同意”的問題尤為突出���。颯姐法律團(tuán)隊(duì)在此簡要梳理《個人信息保護(hù)法》中要求的個人信息“單獨(dú)同意”的情形,并提供相應(yīng)的注意事項(xiàng)�����。
一�、什么是單獨(dú)同意?
《個人信息保護(hù)法》第十三條規(guī)定了個人信息處理者處理個人信息的七項(xiàng)條件,即:
(一)取得個人的同意;
(二)為訂立�、履行個人作為一方當(dāng)事人的合同所必需,或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需;
(三)為履行法定職責(zé)或者法定義務(wù)所必需;
(四)為應(yīng)對突發(fā)公共衛(wèi)生事件,或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需;
(五)為公共利益實(shí)施新聞報道、輿論監(jiān)督等行為,在合理的范圍內(nèi)處理個人信息;
(六)依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息;
(七)法律����、行政法規(guī)規(guī)定的其他情形。
根據(jù)該法條的規(guī)定,個人信息處理者處理個人信息的過程符合第(二)至第(七)這六項(xiàng)條件中的任何一項(xiàng)的時候,就可以不經(jīng)個人的同意而處理個人信息,反之,則必須得到個人的同意��。這就是《個人信息保護(hù)法》規(guī)定的個人信息處理的“個人同意”制度����。
《個人信息保護(hù)法》第十三條第(一)項(xiàng)規(guī)定的同意存在多種形式,如“口頭同意”“書面同意”“一攬子同意”“單獨(dú)同意”等����。如果個人信息的處理者符合該條第(二)至第(七)項(xiàng)中的任意一項(xiàng)規(guī)定,其處理個人信息就不需要經(jīng)過個人同意,自然也不存在究竟要采取哪種同意方式的問題,反之就必須要注意同意的方式��。
目前,《個人信息保護(hù)法》并未對“單獨(dú)同意”的含義做出具體解釋,在實(shí)務(wù)中,一般認(rèn)為單獨(dú)同意就是“一攬子”同意的對稱,所謂“一攬子同意,”舉例而言就是當(dāng)用戶只需要采取一個動作(如在手機(jī)APP中點(diǎn)擊一個“√”)即一次性針對多項(xiàng)個人信息�、多種處理活動進(jìn)行同意,該種理解目前已經(jīng)被《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》所采納。該“意見稿”第73條第(八)項(xiàng)規(guī)定,單獨(dú)同意是指數(shù)據(jù)處理者在開展具體數(shù)據(jù)處理活動時,對每項(xiàng)個人信息取得個人同意,不包括一次性針對多項(xiàng)個人信息�、多種處理活動的同意。
除了《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》外,《信息安全技術(shù)
個人信息處理中告知和同意的實(shí)施指南》亦有關(guān)于“單獨(dú)同意”的規(guī)定,該標(biāo)準(zhǔn)認(rèn)為單獨(dú)同意即“個人針對其個人信息進(jìn)行特定處理活動而專門做出具體����、明確的授權(quán)行為”。
綜上,雖然《個人信息保護(hù)法》并沒有對“單獨(dú)同意”的概念進(jìn)行明確表述,但上述文件依然幫助我們在實(shí)務(wù)中處理需要“單獨(dú)同意”的事項(xiàng),至少可以幫助我們劃定紅線,即一次性針對多項(xiàng)(哪怕是兩項(xiàng))個人信息�����、處理活動的同意,均不能被認(rèn)為是“單獨(dú)同意”,單獨(dú)同意一定是個人做出的專門�����、具體����、明確的授權(quán)行為。
二���、哪些場景需要“單獨(dú)同意”?
根據(jù)《個人信息保護(hù)法》之規(guī)定,個人信息處理者在以下幾種情形下,其處理個人信息時必須得到個人的單獨(dú)同意:
1.向第三方提供個人信息的場景
根據(jù)《個人信息保護(hù)法》第二十三條之規(guī)定,個人信息處理者向其他個人信息處理者提供其處理的個人信息的,應(yīng)當(dāng)向個人告知接收方的名稱或者姓名�、聯(lián)系方式�����、處理目的����、處理方式和個人信息的種類,并取得個人的單獨(dú)同意。接收方應(yīng)當(dāng)在上述處理目的��、處理方式和個人信息的種類范圍內(nèi)處理個人信息�。接收方變更原先的處理目的、處理方式的,應(yīng)當(dāng)依照本法規(guī)定重新取得個人同意���。
2.公開個人信息
根據(jù)《個人信息保護(hù)法》第二十五條之規(guī)定,個人信息處理者不得公開其處理的個人信息,但是取得個人單獨(dú)同意的除外��。
簡言之,個人信息處理者不公開其處理的個人信息是常態(tài),如果需要公開,就必須要取得相應(yīng)個人信息所指向的個人的單獨(dú)同意�����。
3.安裝攝像頭��、人臉識別設(shè)備的情形
根據(jù)《個人信息保護(hù)法》第二十六條之規(guī)定,在公共場所安裝圖像采集����、個人身份識別設(shè)備,應(yīng)當(dāng)為維護(hù)公共安全所必須,遵守國家有關(guān)規(guī)定,并設(shè)置顯著的提示標(biāo)識。所收集的個人圖像�����、身份識別信息只能用于維護(hù)公共安全目的,不得用于其他目的;取得個人單獨(dú)同意的除外����。
簡言之,在公共場所安裝攝像頭、人臉識別等設(shè)備,必須遵守國家規(guī)定且是為了維護(hù)公共安全所必須,而且還要設(shè)置顯著的提示標(biāo)識��。倘若無法滿足上述條件,那么就必須取得個人的單獨(dú)同意,否則就是侵犯公民個人信息的違法行為����。
4.處理敏感個人信息
根據(jù)《個人信息保護(hù)法》第二十九條之規(guī)定,處理敏感個人信息應(yīng)當(dāng)取得個人的單獨(dú)同意;行政法規(guī)規(guī)定處理敏感個人應(yīng)當(dāng)取得書面同意的,從其規(guī)定。
簡言之,處理敏感個人信息一定要取得個人的單獨(dú)同意,不僅如此某些敏感信息的取得還需要個人的書面同意�。
所謂敏感個人信息,《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T
35273-2020)在其附錄B中做了詳細(xì)說明,該國標(biāo)明確載明,個人敏感信息是指一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全,極易導(dǎo)致個人名譽(yù)����、身心健康收到損害或歧視性待遇等的個人信息。通常情況下,14歲以下(含)兒童的個人信息和涉及自然人隱私的信息屬于個人敏感信息,這些敏感信息包括但不限于以下類型:
5.數(shù)據(jù)出境
根據(jù)《個人信息保護(hù)法》第三十九條之規(guī)定,個人信息處理者向中華人民共和國境外提供個人信息的,應(yīng)當(dāng)向個人告知境外接收方的名稱或者姓名�����、聯(lián)系方式、處理目的����、處理方式、個人信息的種類及個人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項(xiàng),并取得個人的單獨(dú)同意���。
該條需要和《個人信息保護(hù)法》第二十三條加以區(qū)分,簡言之,個人信息處理者向第三方提供個人信息時,如果該第三方是境內(nèi)的其他個人信息處理者,則需要依據(jù)《個人信息保護(hù)法》第二十三條的規(guī)定取得單獨(dú)同意,倘若第三方并非是“其他個人信息處理者(比如很可能是委托處理個人信息的第三方)”,則不需要依據(jù)個人信息保護(hù)法第二十三條取得單獨(dú)同意。但倘若該第三方位于境外,則無論其法律地位如何,個人信息處理者都需要取得單獨(dú)同意,且要做到《個人信息保護(hù)法》第二十三條和第三十九條規(guī)定的其他義務(wù)�����。
三�����、合規(guī)要點(diǎn)
在實(shí)踐中,針對“單獨(dú)同意”問題,目前互聯(lián)網(wǎng)APP在不同的場景下合規(guī)要點(diǎn)亦不同:
1.向第三方提供個人信息的場合,App在登陸注冊時允許用戶使用其他平臺的賬號進(jìn)行登錄,此時就會存在用戶的賬號信息在兩個處理者之間共享�。合規(guī)做法就是APP跳出彈窗(單獨(dú)同意)頁面,將賬號信息授權(quán)事項(xiàng)明示告知用戶,并征得用戶對該共享的單獨(dú)同意;
2.公開個人信息的場合,這類場合相比第一類場合較為罕見,但也容易被忽視。實(shí)際上多數(shù)企業(yè),尤其是互聯(lián)網(wǎng)APP沒有理由也不會公開其所收集的個人信息,但在極特殊的場景下,比如某APP公開抽獎活動的中獎人名單(涉及手機(jī)號���、APP名稱頭像等),此時就必須在公開之前取得個人的單獨(dú)同意;
3.安裝攝像頭��、人臉識別設(shè)備的場合,部分企業(yè)的門禁系統(tǒng)會涉及到人臉識別問題,倘若上述門禁系統(tǒng)被認(rèn)為與維護(hù)公共安全無關(guān),那就必須要征得員工的個人同意方可實(shí)施;
4.處理敏感個人信息的場合,APP在涉及處理個人敏感信息的場合必須單獨(dú)彈窗,這已經(jīng)是合規(guī)慣例,較難以判斷的是敏感信息的種類,在此颯姐團(tuán)隊(duì)提醒各位從業(yè)者務(wù)必仔細(xì)研讀《信息安全技術(shù)
個人信息安全規(guī)范》(GB/T 35273-2020)附錄B中的所有內(nèi)容,以充分掌握何為敏感個人信息;
5.在數(shù)據(jù)出境的場合,一定要注意其與《個人信息保護(hù)法》第二十三條規(guī)定的異同,尤其要注意提示個人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等內(nèi)容����。
四、寫在最后
單獨(dú)同意是數(shù)據(jù)合規(guī)和個人信息保護(hù)的一項(xiàng)重中之重,正如前文所言,目前《個人信息保護(hù)法》并未對“單獨(dú)同意”的概念及其實(shí)施標(biāo)準(zhǔn)做出明確規(guī)定,從目前來看,個人信息主體在個人信息跨境傳輸��、公共場所安裝監(jiān)控或身份識別信息設(shè)備�、敏感個人信息處理(如在線問診等產(chǎn)品)等領(lǐng)域,履行與落實(shí)單獨(dú)同意義務(wù)實(shí)仍有較大的改善空間,當(dāng)然這無疑增大了合規(guī)的難度,颯姐團(tuán)隊(duì)建議涉及到個人信息處理的企業(yè)務(wù)必增強(qiáng)相關(guān)合規(guī)意識,在自己的APP中明確告知用戶關(guān)鍵事項(xiàng),保護(hù)用戶的重要權(quán)益,增強(qiáng)自身業(yè)務(wù)合規(guī)性。
作者介紹:
肖颯律師團(tuán)隊(duì),由北京大成律師事務(wù)所高級合伙人肖颯牽頭,在數(shù)字資產(chǎn)����、數(shù)據(jù)合規(guī)、金融科技等民商事業(yè)務(wù)領(lǐng)域,以及刑事合規(guī)�����、反腐敗和反商業(yè)賄賂����、網(wǎng)絡(luò)安全犯罪等刑事業(yè)務(wù)領(lǐng)域有豐富的法律服務(wù)經(jīng)驗(yàn)。
團(tuán)隊(duì)負(fù)責(zé)人肖颯,系北京大成律師事務(wù)所高級合伙人,北京市律師協(xié)會數(shù)字經(jīng)濟(jì)與人工智能領(lǐng)域法律專業(yè)委員會副主任���、法學(xué)博士��、仲裁員,擅長數(shù)據(jù)合規(guī)�、數(shù)字經(jīng)濟(jì)�����、刑事辯護(hù)、刑事合規(guī)���、金融科技領(lǐng)域法律服務(wù),曾代理國內(nèi)NFT第一案二審��、河南村鎮(zhèn)銀行系列案件,并為大型企業(yè)提供科技創(chuàng)新業(yè)務(wù)合規(guī)��、金融創(chuàng)新業(yè)務(wù)合規(guī)法律服務(wù)�����。擔(dān)任北京大學(xué)法學(xué)院法律碩士研究生實(shí)踐指導(dǎo)老師、中國人民大學(xué)法學(xué)院法碩實(shí)務(wù)導(dǎo)師����、中國政法大學(xué)法律碩士學(xué)院兼職導(dǎo)師等職務(wù)。榮登2023《中國知名企業(yè)法總推薦的律師》推薦名錄��、2024《中國知名企業(yè)法總推薦的優(yōu)秀律師&律所》推薦名錄年度客戶精選律師��。
中企網(wǎng)微博
中企網(wǎng)微信