《个人信息保护法》(以下简称“个保法”)将于2021年11月1日正式施行,其中关于某些特定情况下处理个人信息需要取得“单独同意”这一原则,自一审草案引入并最终获得审议通过就一直颇受公众关注。随着这一法案的生效时间越发临近,如何在实践中落实这一要求以适应监管要求已变得十分紧迫。因此,针对如何在实务中满足“单独同意”的合规要求,本文将从以下几个方面展开论述并提供建议和意见:
(1)何种情况下需要取得“单独同意”,即需取得“单独同意”的内容范围;(2)应如何取得单独同意,在实务中取得单独同意的操作流程如何设置;
关于任何情形下应当取得个人的单独同意,《个保法》规定了如下几种情形:
(1)个人信息处理者向其他个人信息处理者提供其处理的个人信息的;(3)出于维护公共安全所必需,在公共场所安装图像采集、个人身份识别设备。其所收集的个人图像、身份识别信息如用于维护公共安全以外的目的,应取得个人单独同意;(5)个人信息处理者向中华人民共和国境外提供个人信息的。
除个保法规定,在我国其他法律法规中涉及到处理个人数据需要取得单独同意的还包括以下一些情形:
(1)《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称“最高院关于人脸识别技术的司法解释”)第二条,信息处理者处理人脸信息应当征得自然人或者其监护人的单独同意;
(2)《汽车数据安全管理若干规定(试行)》第九条,汽车数据处理者处理敏感个人信息,应当取得个人单独同意,且个人有权自主设定同意期限;(3)《信息安全技术 网络音视频服务数据安全指南》中关于未成年人个人信息保护的规定,禁止未经监护人单独同意,将未成年人个人信息用于直接营销、用户画像以及个性化广告推送;(4)《信息安全技术 健康医疗数据安全指南》第七条,控制者应获得主体授权才能使用或披露个人健康医疗数据进行市场营销活动(控制者与主体之间进行面对面的营销沟通除外)应取得独立的授权。通过分析上述规定可以将需要取得单独同意的情形归为以下几类:(1)信息类别特殊,为个人敏感信息。在实务中,常见敏感个人信息包括身份证、护照、社保卡等身份信息,人脸、指纹、声纹等生物识别信息,银行账户、交易和消费记录等财产信息,以及婚史、通讯录、通信记录和内容、精确定位、网页浏览记录等。另外应注意,未满十四周岁未成年人的个人信息也属于这一范围;(2)数据处理者发生变更,包括个人信息处理者以外的第三方,或具有不特定性的公众(指公开披露),例如因业务需要向供应商、合作商等传输所收集到的个人信息;(3)可能涉及公共利益或国家安全,如向境外传输个人信息。其特点均在于,关系个人的人身、财产安全等重要权益,且较一般情况而言,更容易发生个人信息泄露或者非法使用等问题。
关于如何实现单独同意,根据《最高院关于人脸识别技术的司法解释》第二条与第四条的内容,“基于个人同意处理人脸信息的,应当征得自然人或者其监护人的单独同意”,且“信息处理者不得以与其他授权捆绑等方式要求自然人同意处理其人脸信息,否则人民法院应当认定上述行为构成侵权行为”,单独同意——意味不得将特定对象的授权与其他授权内容“进行捆绑”以获得个人同意。同样在《信息安全技术 健康医疗数据安全指南》也表达了相同含义,其中第七条规定“控制者应在获得主体独立的授权后才能使用或披露个人健康医疗数据进行市场营销活动,该授权不得作为主体获得任何公共服务、医疗服务的前置条件或者捆绑于其他服务条款之中”。因此,无论这种捆绑方式是否以“将该项同意设置为提供其他服务的前置程序”、亦或是“要求一揽子授权”等具体形式加以体现,判断是否构成“单独同意”的核心在于,数据处理者是否对进行某项特定的数据处理行为,或手机某类特定的数据类型,单独对用户尽到了告知义务且这一告知并获取明示同意的过程不涉及其他授权内容,或与提供其他服务相关。针对这一规定的立法目的,《个人信息安全规范》(国标)编制组组长洪延青老师在《保护人脸信息 规范行业健康发展的有效司法路径》一文中进行了解读,“单独同意,其目的是为了保障个人对其人脸信息的处理享有知情权、决定权,(以)确保个人有权限制或者拒绝他人对其人脸信息进行处理”【1】。
根据我们的实务经验,并结合法律的有关规定,我们建议数据处理者在实务中取得单独同意可从以下几个方面着手:
相较于一般情况下取得同意而言,单独同意是法律为了保护个人信息权益及规范个人信息处理活动而提出的更高要求,因而取得同意时要求应满足的原则性规定,单独同意也理应符合,根据《个保法》第十四条,即该同意应当在个人“充分知情”、“自愿”的情况下以“明确”方式作出;关于应于何时取得单独同意,能否提前取得授权同意这一问题,我们建议数据处理者应当在实际涉及到上述特殊数据处理环节时再取得用户同意,而不应予以提前。这主要是考虑到处理个人信息所应当遵循的必要性原则,无论是“(App收集使用个人信息)应仅收集与提供与服务相关的个人信息”所要求的的最小信息原则,或是“个人信息保存期限应为实现处理目的所必要的最短时间”、“(如)处理目的已实现、无法实现或者为实现处理目的不再必要,应当主动删除个人信息”等规定,都是这一要求的体现。同时由于该类数据处理行为发生时所处的背景往往对于个人是否作出同意表示有着更为直接和重要的影响,因此在上述需要取得单独同意的场景下,数据处理者应当在这一需求被实际触发时再启动获取授权机制,以避免出现因提前索权被认定为过度索权的风险。另一方面,这也更有助于保障个人的知情权与决定权。(3)应制作单独的《人脸识别服务用户授权书》、《向第三人传输数据用户授权书》等文件,以取得同意不同于以往通过《隐私政策》获取用户一揽子授权与同意,取得单独同意应当针对收集的敏感个人信息、向第三人或境外传输个人信息等特殊情况的目的、方式、范围,以及传输对象、存储地点等内容单独制定专门的《授权书》,并且采取弹窗、点击跳转链接、推送消息(邮箱/短信)等方式使个人能够读取相关信息,并能够在对相关数据处理行为充分知情的情况下自愿作出同意的决定。同时,为了保障个人明确作出同意授权,对于是否同意此类授权书不可采用默认勾选模式,而应设置为由个人手动点击同意选项,或者采用在阅读页面强制停留一定时间才能点击确认等方式,以确保个人能够对其作出的单独同意行为有明确自主意识。除了上述内容以外,数据处理者还应当注意以下内容:包括应为用户提供拒绝单独同意选项,且在拒绝后不得再频繁要求授权,以及应当为个人提供撤销授权选项、提供便捷且固定能够重新获取上述《授权书》内容的渠道等。同时,在未获得个人单独同意授权之前,数据处理者不得实施上述数据处理行为。
尽管大多数情况下,处理个人信息需要满足取得个人同意的要求,但《个保法》仍规定了一些例外情形。根据第十三条,如满足其中第二至七款规定任一情形的,则无需取得个人同意,其中包括:
(1)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(2)为履行法定职责或者法定义务所必需;
(3)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(4)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(5)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;以及
(6)法律、行政法规规定的其他情形。
关于上述规定,核心问题在于,单独同意相较于同意而言更侧重于保护个人对有关数据处理行为的知情与决定权,因而在满足豁免同意的情况下,作为更严格保障措施的单独同意义务是否必然能够得以免除,亦或是需要对这一问题进行分类讨论,分类的标准又应如何确定?
我们认为可以从设置豁免同意条款以及单独同意条款的目的出发并进行比较,从立法目的的角度展开一些讨论。分析豁免同意规定的五类情形,其中第一类主要是从协议双方角度出发,因此时的数据处理行为对于一方向另一方提供基础服务,或进行基础管理具有必要性,集中在个人利益层面;而第二至四类则侧重于强调公共利益,因出于法定要求或公共安全目的而豁免同意。至于第五类,则是因信息已经公开,因而获取同意不再具有必要性。
以此为鉴,在要求取得个人单独同意的几类情况下,可以侧重于从以下几点进行考虑是否适用豁免同意:即(1)是否只涉及对个人权益的处分,亦或是关系到公共利益、社会利益乃至国家利益,如为前者,则应当优先考虑保护个人信息安全,不需要取得同意的情况并不直接等同于对单独同意的豁免;(2)如为后者,则个人利益应予以一定的妥协让渡,必要时可不取得单独同意。
但值得注意的是,此类情况下对于单独同意的豁免并不意味着数据处理者无需履行明示、告知等义务,同时对于未经单独同意取得的特殊数据,在满足了公共目的之后仍应当立即采取匿名化、删除,或停止一切未经个人授权同意的特殊数据处理行为等措施。
针对《个保法》中规定的对特殊数据处理行为应取得“单独同意”,对企业的主要建议总结如下:
1、如企业在日常经营活动中涉及收集敏感个人信息(如身份证、人脸信息、未成年人信息等)时,应当取得单独同意;2、如企业向其他个人信息处理者提供或需要公开其处理的个人信息的,应当取得单独同意;3、应当在对数据处理行为单独同意的需求被实际触发时启动获取授权机制,而不应提前索权,以避免被认定为过度索权;4、针对所需取得单独同意的数据处理活动应制作专门的《授权书》,不得与其他内容进行捆绑授权或作为提供其他服务的前提条件,并通过弹窗、跳转链接等方式保障用户在充分知情的情况下,自愿明确地作出同意。
注释:
[1]《洪延青 | 保护人脸信息规范行业健康发展的有效司法路径》,https://mp.weixin.qq.com/s/FkqabWs6XIMrouUHh0n2Tw。
