目前我國(guó)數(shù)據(jù)立法的結(jié)構(gòu),總體而言即以《國(guó)家安全法》作為我國(guó)數(shù)據(jù)立法的基石,在此基石之下,《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》成為規(guī)制數(shù)據(jù)安全的“三駕馬車”,在這三部法律之下,又有《信息安全技術(shù)
個(gè)人信息安全規(guī)范》《數(shù)據(jù)安全技術(shù)
數(shù)據(jù)出境安全評(píng)估指南》《數(shù)據(jù)出境安全評(píng)估辦法》《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定》《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》等多部規(guī)范性文件對(duì)“三駕馬車”進(jìn)行細(xì)化規(guī)定���。
我國(guó)數(shù)據(jù)保護(hù)立法雖相對(duì)而言起步較晚,但發(fā)展迅速,相關(guān)合規(guī)問(wèn)題亦呈現(xiàn)“井噴式”爆發(fā)趨勢(shì),這其中涉及個(gè)人信息數(shù)據(jù)“單獨(dú)同意”的問(wèn)題尤為突出�。颯姐法律團(tuán)隊(duì)在此簡(jiǎn)要梳理《個(gè)人信息保護(hù)法》中要求的個(gè)人信息“單獨(dú)同意”的情形,并提供相應(yīng)的注意事項(xiàng)���。
一���、什么是單獨(dú)同意?
《個(gè)人信息保護(hù)法》第十三條規(guī)定了個(gè)人信息處理者處理個(gè)人信息的七項(xiàng)條件,即:
(一)取得個(gè)人的同意;
(二)為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需,或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需;
(三)為履行法定職責(zé)或者法定義務(wù)所必需;
(四)為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件,或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需;
(五)為公共利益實(shí)施新聞報(bào)道�、輿論監(jiān)督等行為,在合理的范圍內(nèi)處理個(gè)人信息;
(六)依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息;
(七)法律、行政法規(guī)規(guī)定的其他情形���。
根據(jù)該法條的規(guī)定,個(gè)人信息處理者處理個(gè)人信息的過(guò)程符合第(二)至第(七)這六項(xiàng)條件中的任何一項(xiàng)的時(shí)候,就可以不經(jīng)個(gè)人的同意而處理個(gè)人信息,反之,則必須得到個(gè)人的同意�。這就是《個(gè)人信息保護(hù)法》規(guī)定的個(gè)人信息處理的“個(gè)人同意”制度����。
《個(gè)人信息保護(hù)法》第十三條第(一)項(xiàng)規(guī)定的同意存在多種形式,如“口頭同意”“書面同意”“一攬子同意”“單獨(dú)同意”等。如果個(gè)人信息的處理者符合該條第(二)至第(七)項(xiàng)中的任意一項(xiàng)規(guī)定,其處理個(gè)人信息就不需要經(jīng)過(guò)個(gè)人同意,自然也不存在究竟要采取哪種同意方式的問(wèn)題,反之就必須要注意同意的方式��。
目前,《個(gè)人信息保護(hù)法》并未對(duì)“單獨(dú)同意”的含義做出具體解釋,在實(shí)務(wù)中,一般認(rèn)為單獨(dú)同意就是“一攬子”同意的對(duì)稱,所謂“一攬子同意,”舉例而言就是當(dāng)用戶只需要采取一個(gè)動(dòng)作(如在手機(jī)APP中點(diǎn)擊一個(gè)“√”)即一次性針對(duì)多項(xiàng)個(gè)人信息�����、多種處理活動(dòng)進(jìn)行同意,該種理解目前已經(jīng)被《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》所采納�。該“意見(jiàn)稿”第73條第(八)項(xiàng)規(guī)定,單獨(dú)同意是指數(shù)據(jù)處理者在開(kāi)展具體數(shù)據(jù)處理活動(dòng)時(shí),對(duì)每項(xiàng)個(gè)人信息取得個(gè)人同意,不包括一次性針對(duì)多項(xiàng)個(gè)人信息、多種處理活動(dòng)的同意����。
除了《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》外,《信息安全技術(shù)
個(gè)人信息處理中告知和同意的實(shí)施指南》亦有關(guān)于“單獨(dú)同意”的規(guī)定,該標(biāo)準(zhǔn)認(rèn)為單獨(dú)同意即“個(gè)人針對(duì)其個(gè)人信息進(jìn)行特定處理活動(dòng)而專門做出具體、明確的授權(quán)行為”��。
綜上,雖然《個(gè)人信息保護(hù)法》并沒(méi)有對(duì)“單獨(dú)同意”的概念進(jìn)行明確表述,但上述文件依然幫助我們?cè)趯?shí)務(wù)中處理需要“單獨(dú)同意”的事項(xiàng),至少可以幫助我們劃定紅線,即一次性針對(duì)多項(xiàng)(哪怕是兩項(xiàng))個(gè)人信息��、處理活動(dòng)的同意,均不能被認(rèn)為是“單獨(dú)同意”,單獨(dú)同意一定是個(gè)人做出的專門、具體����、明確的授權(quán)行為。
二�、哪些場(chǎng)景需要“單獨(dú)同意”?
根據(jù)《個(gè)人信息保護(hù)法》之規(guī)定,個(gè)人信息處理者在以下幾種情形下,其處理個(gè)人信息時(shí)必須得到個(gè)人的單獨(dú)同意:
1.向第三方提供個(gè)人信息的場(chǎng)景
根據(jù)《個(gè)人信息保護(hù)法》第二十三條之規(guī)定,個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息的,應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名、聯(lián)系方式��、處理目的�����、處理方式和個(gè)人信息的種類,并取得個(gè)人的單獨(dú)同意����。接收方應(yīng)當(dāng)在上述處理目的、處理方式和個(gè)人信息的種類范圍內(nèi)處理個(gè)人信息���。接收方變更原先的處理目的�����、處理方式的,應(yīng)當(dāng)依照本法規(guī)定重新取得個(gè)人同意����。
2.公開(kāi)個(gè)人信息
根據(jù)《個(gè)人信息保護(hù)法》第二十五條之規(guī)定,個(gè)人信息處理者不得公開(kāi)其處理的個(gè)人信息,但是取得個(gè)人單獨(dú)同意的除外。
簡(jiǎn)言之,個(gè)人信息處理者不公開(kāi)其處理的個(gè)人信息是常態(tài),如果需要公開(kāi),就必須要取得相應(yīng)個(gè)人信息所指向的個(gè)人的單獨(dú)同意��。
3.安裝攝像頭�����、人臉識(shí)別設(shè)備的情形
根據(jù)《個(gè)人信息保護(hù)法》第二十六條之規(guī)定,在公共場(chǎng)所安裝圖像采集�、個(gè)人身份識(shí)別設(shè)備,應(yīng)當(dāng)為維護(hù)公共安全所必須,遵守國(guó)家有關(guān)規(guī)定,并設(shè)置顯著的提示標(biāo)識(shí)�。所收集的個(gè)人圖像、身份識(shí)別信息只能用于維護(hù)公共安全目的,不得用于其他目的;取得個(gè)人單獨(dú)同意的除外����。
簡(jiǎn)言之,在公共場(chǎng)所安裝攝像頭、人臉識(shí)別等設(shè)備,必須遵守國(guó)家規(guī)定且是為了維護(hù)公共安全所必須,而且還要設(shè)置顯著的提示標(biāo)識(shí)��。倘若無(wú)法滿足上述條件,那么就必須取得個(gè)人的單獨(dú)同意,否則就是侵犯公民個(gè)人信息的違法行為����。
4.處理敏感個(gè)人信息
根據(jù)《個(gè)人信息保護(hù)法》第二十九條之規(guī)定,處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意;行政法規(guī)規(guī)定處理敏感個(gè)人應(yīng)當(dāng)取得書面同意的,從其規(guī)定。
簡(jiǎn)言之,處理敏感個(gè)人信息一定要取得個(gè)人的單獨(dú)同意,不僅如此某些敏感信息的取得還需要個(gè)人的書面同意�����。
所謂敏感個(gè)人信息,《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T
35273-2020)在其附錄B中做了詳細(xì)說(shuō)明,該國(guó)標(biāo)明確載明,個(gè)人敏感信息是指一旦泄露����、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全,極易導(dǎo)致個(gè)人名譽(yù)�����、身心健康收到損害或歧視性待遇等的個(gè)人信息�����。通常情況下,14歲以下(含)兒童的個(gè)人信息和涉及自然人隱私的信息屬于個(gè)人敏感信息,這些敏感信息包括但不限于以下類型:
5.數(shù)據(jù)出境
根據(jù)《個(gè)人信息保護(hù)法》第三十九條之規(guī)定,個(gè)人信息處理者向中華人民共和國(guó)境外提供個(gè)人信息的,應(yīng)當(dāng)向個(gè)人告知境外接收方的名稱或者姓名�����、聯(lián)系方式���、處理目的、處理方式��、個(gè)人信息的種類及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項(xiàng),并取得個(gè)人的單獨(dú)同意�����。
該條需要和《個(gè)人信息保護(hù)法》第二十三條加以區(qū)分,簡(jiǎn)言之,個(gè)人信息處理者向第三方提供個(gè)人信息時(shí),如果該第三方是境內(nèi)的其他個(gè)人信息處理者,則需要依據(jù)《個(gè)人信息保護(hù)法》第二十三條的規(guī)定取得單獨(dú)同意,倘若第三方并非是“其他個(gè)人信息處理者(比如很可能是委托處理個(gè)人信息的第三方)”,則不需要依據(jù)個(gè)人信息保護(hù)法第二十三條取得單獨(dú)同意��。但倘若該第三方位于境外,則無(wú)論其法律地位如何,個(gè)人信息處理者都需要取得單獨(dú)同意,且要做到《個(gè)人信息保護(hù)法》第二十三條和第三十九條規(guī)定的其他義務(wù)�。
三����、合規(guī)要點(diǎn)
在實(shí)踐中,針對(duì)“單獨(dú)同意”問(wèn)題,目前互聯(lián)網(wǎng)APP在不同的場(chǎng)景下合規(guī)要點(diǎn)亦不同:
1.向第三方提供個(gè)人信息的場(chǎng)合,App在登陸注冊(cè)時(shí)允許用戶使用其他平臺(tái)的賬號(hào)進(jìn)行登錄,此時(shí)就會(huì)存在用戶的賬號(hào)信息在兩個(gè)處理者之間共享����。合規(guī)做法就是APP跳出彈窗(單獨(dú)同意)頁(yè)面,將賬號(hào)信息授權(quán)事項(xiàng)明示告知用戶,并征得用戶對(duì)該共享的單獨(dú)同意;
2.公開(kāi)個(gè)人信息的場(chǎng)合,這類場(chǎng)合相比第一類場(chǎng)合較為罕見(jiàn),但也容易被忽視����。實(shí)際上多數(shù)企業(yè),尤其是互聯(lián)網(wǎng)APP沒(méi)有理由也不會(huì)公開(kāi)其所收集的個(gè)人信息,但在極特殊的場(chǎng)景下,比如某APP公開(kāi)抽獎(jiǎng)活動(dòng)的中獎(jiǎng)人名單(涉及手機(jī)號(hào)、APP名稱頭像等),此時(shí)就必須在公開(kāi)之前取得個(gè)人的單獨(dú)同意;
3.安裝攝像頭����、人臉識(shí)別設(shè)備的場(chǎng)合,部分企業(yè)的門禁系統(tǒng)會(huì)涉及到人臉識(shí)別問(wèn)題,倘若上述門禁系統(tǒng)被認(rèn)為與維護(hù)公共安全無(wú)關(guān),那就必須要征得員工的個(gè)人同意方可實(shí)施;
4.處理敏感個(gè)人信息的場(chǎng)合,APP在涉及處理個(gè)人敏感信息的場(chǎng)合必須單獨(dú)彈窗,這已經(jīng)是合規(guī)慣例,較難以判斷的是敏感信息的種類,在此颯姐團(tuán)隊(duì)提醒各位從業(yè)者務(wù)必仔細(xì)研讀《信息安全技術(shù)
個(gè)人信息安全規(guī)范》(GB/T 35273-2020)附錄B中的所有內(nèi)容,以充分掌握何為敏感個(gè)人信息;
5.在數(shù)據(jù)出境的場(chǎng)合,一定要注意其與《個(gè)人信息保護(hù)法》第二十三條規(guī)定的異同,尤其要注意提示個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等內(nèi)容。
四��、寫在最后
單獨(dú)同意是數(shù)據(jù)合規(guī)和個(gè)人信息保護(hù)的一項(xiàng)重中之重,正如前文所言,目前《個(gè)人信息保護(hù)法》并未對(duì)“單獨(dú)同意”的概念及其實(shí)施標(biāo)準(zhǔn)做出明確規(guī)定,從目前來(lái)看,個(gè)人信息主體在個(gè)人信息跨境傳輸���、公共場(chǎng)所安裝監(jiān)控或身份識(shí)別信息設(shè)備��、敏感個(gè)人信息處理(如在線問(wèn)診等產(chǎn)品)等領(lǐng)域,履行與落實(shí)單獨(dú)同意義務(wù)實(shí)仍有較大的改善空間,當(dāng)然這無(wú)疑增大了合規(guī)的難度,颯姐團(tuán)隊(duì)建議涉及到個(gè)人信息處理的企業(yè)務(wù)必增強(qiáng)相關(guān)合規(guī)意識(shí),在自己的APP中明確告知用戶關(guān)鍵事項(xiàng),保護(hù)用戶的重要權(quán)益,增強(qiáng)自身業(yè)務(wù)合規(guī)性�。
作者介紹:
肖颯律師團(tuán)隊(duì),由北京大成律師事務(wù)所高級(jí)合伙人肖颯牽頭,在數(shù)字資產(chǎn)�、數(shù)據(jù)合規(guī)、金融科技等民商事業(yè)務(wù)領(lǐng)域,以及刑事合規(guī)�����、反腐敗和反商業(yè)賄賂、網(wǎng)絡(luò)安全犯罪等刑事業(yè)務(wù)領(lǐng)域有豐富的法律服務(wù)經(jīng)驗(yàn)��。
團(tuán)隊(duì)負(fù)責(zé)人肖颯,系北京大成律師事務(wù)所高級(jí)合伙人,北京市律師協(xié)會(huì)數(shù)字經(jīng)濟(jì)與人工智能領(lǐng)域法律專業(yè)委員會(huì)副主任���、法學(xué)博士�����、仲裁員,擅長(zhǎng)數(shù)據(jù)合規(guī)���、數(shù)字經(jīng)濟(jì)、刑事辯護(hù)����、刑事合規(guī)、金融科技領(lǐng)域法律服務(wù),曾代理國(guó)內(nèi)NFT第一案二審�、河南村鎮(zhèn)銀行系列案件,并為大型企業(yè)提供科技創(chuàng)新業(yè)務(wù)合規(guī)、金融創(chuàng)新業(yè)務(wù)合規(guī)法律服務(wù)����。擔(dān)任北京大學(xué)法學(xué)院法律碩士研究生實(shí)踐指導(dǎo)老師、中國(guó)人民大學(xué)法學(xué)院法碩實(shí)務(wù)導(dǎo)師、中國(guó)政法大學(xué)法律碩士學(xué)院兼職導(dǎo)師等職務(wù)�。榮登2023《中國(guó)知名企業(yè)法總推薦的律師》推薦名錄、2024《中國(guó)知名企業(yè)法總推薦的優(yōu)秀律師&律所》推薦名錄年度客戶精選律師���。
中企網(wǎng)微博
中企網(wǎng)微信