目前我國數據立法的結構,總體而言即以《國家安全法》作為我國數據立法的基石,在此基石之下,《網(wǎng)絡(luò )安全法》《數據安全法》《個(gè)人信息保護法》成為規制數據安全的“三駕馬車(chē)”,在這三部法律之下,又有《信息安全技術(shù)
個(gè)人信息安全規范》《數據安全技術(shù)
數據出境安全評估指南》《數據出境安全評估辦法》《個(gè)人信息出境標準合同規定》《個(gè)人信息保護認證實(shí)施規則》等多部規范性文件對“三駕馬車(chē)”進(jìn)行細化規定����。
我國數據保護立法雖相對而言起步較晚,但發(fā)展迅速,相關(guān)合規問(wèn)題亦呈現“井噴式”爆發(fā)趨勢,這其中涉及個(gè)人信息數據“單獨同意”的問(wèn)題尤為突出�。颯姐法律團隊在此簡(jiǎn)要梳理《個(gè)人信息保護法》中要求的個(gè)人信息“單獨同意”的情形,并提供相應的注意事項�。
一���、什么是單獨同意?
《個(gè)人信息保護法》第十三條規定了個(gè)人信息處理者處理個(gè)人信息的七項條件,即:
(一)取得個(gè)人的同意;
(二)為訂立����、履行個(gè)人作為一方當事人的合同所必需,或者按照依法制定的勞動(dòng)規章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需;
(三)為履行法定職責或者法定義務(wù)所必需;
(四)為應對突發(fā)公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需;
(五)為公共利益實(shí)施新聞報道����、輿論監督等行為,在合理的范圍內處理個(gè)人信息;
(六)依照本法規定在合理的范圍內處理個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息;
(七)法律����、行政法規規定的其他情形�����。
根據該法條的規定,個(gè)人信息處理者處理個(gè)人信息的過(guò)程符合第(二)至第(七)這六項條件中的任何一項的時(shí)候,就可以不經(jīng)個(gè)人的同意而處理個(gè)人信息,反之,則必須得到個(gè)人的同意�����。這就是《個(gè)人信息保護法》規定的個(gè)人信息處理的“個(gè)人同意”制度���。
《個(gè)人信息保護法》第十三條第(一)項規定的同意存在多種形式,如“口頭同意”“書(shū)面同意”“一攬子同意”“單獨同意”等�。如果個(gè)人信息的處理者符合該條第(二)至第(七)項中的任意一項規定,其處理個(gè)人信息就不需要經(jīng)過(guò)個(gè)人同意,自然也不存在究竟要采取哪種同意方式的問(wèn)題,反之就必須要注意同意的方式�����。
目前,《個(gè)人信息保護法》并未對“單獨同意”的含義做出具體解釋,在實(shí)務(wù)中,一般認為單獨同意就是“一攬子”同意的對稱(chēng),所謂“一攬子同意,”舉例而言就是當用戶(hù)只需要采取一個(gè)動(dòng)作(如在手機APP中點(diǎn)擊一個(gè)“√”)即一次性針對多項個(gè)人信息�����、多種處理活動(dòng)進(jìn)行同意,該種理解目前已經(jīng)被《網(wǎng)絡(luò )數據安全管理條例(征求意見(jiàn)稿)》所采納���。該“意見(jiàn)稿”第73條第(八)項規定,單獨同意是指數據處理者在開(kāi)展具體數據處理活動(dòng)時(shí),對每項個(gè)人信息取得個(gè)人同意,不包括一次性針對多項個(gè)人信息�����、多種處理活動(dòng)的同意�。
除了《網(wǎng)絡(luò )數據安全管理條例(征求意見(jiàn)稿)》外,《信息安全技術(shù)
個(gè)人信息處理中告知和同意的實(shí)施指南》亦有關(guān)于“單獨同意”的規定,該標準認為單獨同意即“個(gè)人針對其個(gè)人信息進(jìn)行特定處理活動(dòng)而專(zhuān)門(mén)做出具體�、明確的授權行為”�。
綜上,雖然《個(gè)人信息保護法》并沒(méi)有對“單獨同意”的概念進(jìn)行明確表述,但上述文件依然幫助我們在實(shí)務(wù)中處理需要“單獨同意”的事項,至少可以幫助我們劃定紅線(xiàn),即一次性針對多項(哪怕是兩項)個(gè)人信息�、處理活動(dòng)的同意,均不能被認為是“單獨同意”,單獨同意一定是個(gè)人做出的專(zhuān)門(mén)�、具體��、明確的授權行為��。
二��、哪些場(chǎng)景需要“單獨同意”?
根據《個(gè)人信息保護法》之規定,個(gè)人信息處理者在以下幾種情形下,其處理個(gè)人信息時(shí)必須得到個(gè)人的單獨同意:
1.向第三方提供個(gè)人信息的場(chǎng)景
根據《個(gè)人信息保護法》第二十三條之規定,個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息的,應當向個(gè)人告知接收方的名稱(chēng)或者姓名��、聯(lián)系方式����、處理目的���、處理方式和個(gè)人信息的種類(lèi),并取得個(gè)人的單獨同意��。接收方應當在上述處理目的���、處理方式和個(gè)人信息的種類(lèi)范圍內處理個(gè)人信息����。接收方變更原先的處理目的�����、處理方式的,應當依照本法規定重新取得個(gè)人同意��。
2.公開(kāi)個(gè)人信息
根據《個(gè)人信息保護法》第二十五條之規定,個(gè)人信息處理者不得公開(kāi)其處理的個(gè)人信息,但是取得個(gè)人單獨同意的除外�。
簡(jiǎn)言之,個(gè)人信息處理者不公開(kāi)其處理的個(gè)人信息是常態(tài),如果需要公開(kāi),就必須要取得相應個(gè)人信息所指向的個(gè)人的單獨同意���。
3.安裝攝像頭����、人臉識別設備的情形
根據《個(gè)人信息保護法》第二十六條之規定,在公共場(chǎng)所安裝圖像采集����、個(gè)人身份識別設備,應當為維護公共安全所必須,遵守國家有關(guān)規定,并設置顯著(zhù)的提示標識���。所收集的個(gè)人圖像���、身份識別信息只能用于維護公共安全目的,不得用于其他目的;取得個(gè)人單獨同意的除外�����。
簡(jiǎn)言之,在公共場(chǎng)所安裝攝像頭�、人臉識別等設備,必須遵守國家規定且是為了維護公共安全所必須,而且還要設置顯著(zhù)的提示標識��。倘若無(wú)法滿(mǎn)足上述條件,那么就必須取得個(gè)人的單獨同意,否則就是侵犯公民個(gè)人信息的違法行為���。
4.處理敏感個(gè)人信息
根據《個(gè)人信息保護法》第二十九條之規定,處理敏感個(gè)人信息應當取得個(gè)人的單獨同意;行政法規規定處理敏感個(gè)人應當取得書(shū)面同意的,從其規定�。
簡(jiǎn)言之,處理敏感個(gè)人信息一定要取得個(gè)人的單獨同意,不僅如此某些敏感信息的取得還需要個(gè)人的書(shū)面同意��。
所謂敏感個(gè)人信息,《信息安全技術(shù) 個(gè)人信息安全規范》(GB/T
35273-2020)在其附錄B中做了詳細說(shuō)明,該國標明確載明,個(gè)人敏感信息是指一旦泄露��、非法提供或濫用可能危害人身和財產(chǎn)安全,極易導致個(gè)人名譽(yù)��、身心健康收到損害或歧視性待遇等的個(gè)人信息��。通常情況下,14歲以下(含)兒童的個(gè)人信息和涉及自然人隱私的信息屬于個(gè)人敏感信息,這些敏感信息包括但不限于以下類(lèi)型:
5.數據出境
根據《個(gè)人信息保護法》第三十九條之規定,個(gè)人信息處理者向中華人民共和國境外提供個(gè)人信息的,應當向個(gè)人告知境外接收方的名稱(chēng)或者姓名�����、聯(lián)系方式��、處理目的��、處理方式���、個(gè)人信息的種類(lèi)及個(gè)人向境外接收方行使本法規定權利的方式和程序等事項,并取得個(gè)人的單獨同意��。
該條需要和《個(gè)人信息保護法》第二十三條加以區分,簡(jiǎn)言之,個(gè)人信息處理者向第三方提供個(gè)人信息時(shí),如果該第三方是境內的其他個(gè)人信息處理者,則需要依據《個(gè)人信息保護法》第二十三條的規定取得單獨同意,倘若第三方并非是“其他個(gè)人信息處理者(比如很可能是委托處理個(gè)人信息的第三方)”,則不需要依據個(gè)人信息保護法第二十三條取得單獨同意����。但倘若該第三方位于境外,則無(wú)論其法律地位如何,個(gè)人信息處理者都需要取得單獨同意,且要做到《個(gè)人信息保護法》第二十三條和第三十九條規定的其他義務(wù)���。
三�、合規要點(diǎn)
在實(shí)踐中,針對“單獨同意”問(wèn)題,目前互聯(lián)網(wǎng)APP在不同的場(chǎng)景下合規要點(diǎn)亦不同:
1.向第三方提供個(gè)人信息的場(chǎng)合,App在登陸注冊時(shí)允許用戶(hù)使用其他平臺的賬號進(jìn)行登錄,此時(shí)就會(huì )存在用戶(hù)的賬號信息在兩個(gè)處理者之間共享�。合規做法就是APP跳出彈窗(單獨同意)頁(yè)面,將賬號信息授權事項明示告知用戶(hù),并征得用戶(hù)對該共享的單獨同意;
2.公開(kāi)個(gè)人信息的場(chǎng)合,這類(lèi)場(chǎng)合相比第一類(lèi)場(chǎng)合較為罕見(jiàn),但也容易被忽視���。實(shí)際上多數企業(yè),尤其是互聯(lián)網(wǎng)APP沒(méi)有理由也不會(huì )公開(kāi)其所收集的個(gè)人信息,但在極特殊的場(chǎng)景下,比如某APP公開(kāi)抽獎活動(dòng)的中獎人名單(涉及手機號���、APP名稱(chēng)頭像等),此時(shí)就必須在公開(kāi)之前取得個(gè)人的單獨同意;
3.安裝攝像頭�����、人臉識別設備的場(chǎng)合,部分企業(yè)的門(mén)禁系統會(huì )涉及到人臉識別問(wèn)題,倘若上述門(mén)禁系統被認為與維護公共安全無(wú)關(guān),那就必須要征得員工的個(gè)人同意方可實(shí)施;
4.處理敏感個(gè)人信息的場(chǎng)合,APP在涉及處理個(gè)人敏感信息的場(chǎng)合必須單獨彈窗,這已經(jīng)是合規慣例,較難以判斷的是敏感信息的種類(lèi),在此颯姐團隊提醒各位從業(yè)者務(wù)必仔細研讀《信息安全技術(shù)
個(gè)人信息安全規范》(GB/T 35273-2020)附錄B中的所有內容,以充分掌握何為敏感個(gè)人信息;
5.在數據出境的場(chǎng)合,一定要注意其與《個(gè)人信息保護法》第二十三條規定的異同,尤其要注意提示個(gè)人向境外接收方行使本法規定權利的方式和程序等內容��。
四����、寫(xiě)在最后
單獨同意是數據合規和個(gè)人信息保護的一項重中之重,正如前文所言,目前《個(gè)人信息保護法》并未對“單獨同意”的概念及其實(shí)施標準做出明確規定,從目前來(lái)看,個(gè)人信息主體在個(gè)人信息跨境傳輸�����、公共場(chǎng)所安裝監控或身份識別信息設備����、敏感個(gè)人信息處理(如在線(xiàn)問(wèn)診等產(chǎn)品)等領(lǐng)域,履行與落實(shí)單獨同意義務(wù)實(shí)仍有較大的改善空間,當然這無(wú)疑增大了合規的難度,颯姐團隊建議涉及到個(gè)人信息處理的企業(yè)務(wù)必增強相關(guān)合規意識,在自己的APP中明確告知用戶(hù)關(guān)鍵事項,保護用戶(hù)的重要權益,增強自身業(yè)務(wù)合規性�。
作者介紹:
肖颯律師團隊,由北京大成律師事務(wù)所高級合伙人肖颯牽頭,在數字資產(chǎn)����、數據合規�����、金融科技等民商事業(yè)務(wù)領(lǐng)域,以及刑事合規�����、反腐敗和反商業(yè)賄賂���、網(wǎng)絡(luò )安全犯罪等刑事業(yè)務(wù)領(lǐng)域有豐富的法律服務(wù)經(jīng)驗�。
團隊負責人肖颯,系北京大成律師事務(wù)所高級合伙人,北京市律師協(xié)會(huì )數字經(jīng)濟與人工智能領(lǐng)域法律專(zhuān)業(yè)委員會(huì )副主任����、法學(xué)博士����、仲裁員,擅長(cháng)數據合規��、數字經(jīng)濟�����、刑事辯護���、刑事合規����、金融科技領(lǐng)域法律服務(wù),曾代理國內NFT第一案二審����、河南村鎮銀行系列案件,并為大型企業(yè)提供科技創(chuàng )新業(yè)務(wù)合規����、金融創(chuàng )新業(yè)務(wù)合規法律服務(wù)���。擔任北京大學(xué)法學(xué)院法律碩士研究生實(shí)踐指導老師����、中國人民大學(xué)法學(xué)院法碩實(shí)務(wù)導師��、中國政法大學(xué)法律碩士學(xué)院兼職導師等職務(wù)���。榮登2023《中國知名企業(yè)法總推薦的律師》推薦名錄����、2024《中國知名企業(yè)法總推薦的優(yōu)秀律師&律所》推薦名錄年度客戶(hù)精選律師���。
中企網(wǎng)微博
中企網(wǎng)微信