2023年5月23日,国家标准化管理委员会和国家市场监督管理总局联合发布了《信息安全技术 个人信息处理中告知和同意的实施指南》(GB/T 42574-2023)(以下简称“《实施指南》”),并将于2023年12月1日起正式实施。在前一期的解读文章中,我们详细介绍了同意实施的基本规则。在本文中,我们将重点关注单独同意和书面同意这两种类型,并结合不同场景进行分析,探讨在不同处理活动中这两种同意实施的具体要求。
一、单独同意
“单独同意”是指个人针对其个人信息进行特定处理而专门作出具体、明确授权的行为。与之相对的概念是“一揽子同意”,即个人通过一次授权操作(例如在交互界面上主动勾选同意选项)来同意多种目的或方式的个人信息处理活动。在告知-同意规则中,单独同意的实施一直是关注的重点,下面将对单独同意取得场景以及实施要点进行介绍。
(一)哪些情形需要取得单独同意?
根据《实施指南》的规定,个人信息处理者应形成执行单独同意的清单,并根据法律法规和处理活动的变化以及有关投诉、举报情况,不断更新清单内容。我们根据《个人信息保护法》(以下简称“《个保法》”)的规定,梳理出如下需获得单独同意的情形。
除了上述法律法规明确要求采取单独同意的情形外,《实践指南》还补充规定了一项情形,即可能对个人权益带来重大影响的个人信息处理活动也需要征得个人的单独同意。实践中,利用个人信息对个人信用、绩效评定、交易价格等方面进行的自动化决策,如对自然人的人格尊严、人身和财产的安全造成重大影响的,一般被认为是“对个人权益有重大影响的个人信息处理行为”。所以,在前述情况下,还需要获得个人的单独同意。
(二)通用实施要点
首先,为了确保单独同意的有效性,个人信息处理者应采取增强告知和明示同意的方式。在个人作出单独同意之前,个人信息处理者应当针对需要取得单独同意的情形,专门向个人充分说明相关事项。同时,《实施指南》明确规定,单独同意必须以明示同意的方式获得,任何推定同意或默示同意都不构成单独同意。
以APP或小程序采集人脸信息为例,个人信息处理者可通过创建专门界面向个人告知其个人信息处理规则或个人信息保护政策,主动提示个人阅读相关规则。只有在个人主动勾选并点击“授权同意”的情况下,APP或小程序才能继续下一步操作。
(图片来源:“蒙速办”微信公众号)
其次,对于需要单独同意的特定业务功能,个人信息处理者可采用单独的交互式界面或纸质页面向个人告知相关信息。如果涉及到多个需要获得单独同意的情形,可向个人提供可分项选择同意(如勾选、点亮等)的机制。在个人作出分项选择的同意前,不得以默认勾选、淡化字色、缩小字号等方式影响个人作出判断。
最后,单独同意所针对的处理活动必须具有具体且独立的目的或业务功能,不得与其他处理活动相捆绑或混淆在同意事项中。关于“一揽子同意”和“单独同意”的区别,《实践指南》给出了三个示例:(1)个人点击或勾选同意产品或服务的个人信息保护政策,不构成针对具体个人信息处理活动的单独同意;(2)个人对具体个人信息处理活动给出单独同意时,如要求个人同意该处理活动所必需的服务协议的,视为获得单独同意;(3)针对同一个处理目的或同一业务功能同时处理多项个人信息字段的情况,如果在逐项拆分字段后无法达成处理个人信息的目的或无法实现该业务功能,那么可以一次性告知个人并取得其对多项字段处理的单独同意,这种情况下不视为一揽子取得同意。
(三)具体场景下的实施要点
1. 提供个人信息
《实施指南》在《个保法》第23条的基础上进一步规定,当个人信息处理者需要向多个其他个人信息处理者提供个人信息时,如果提供的目的、方式、种类等是一致的,并且提供过程是同时或在同一场景中发生的,那么可以在告知内容中逐一列举接收方的身份和联系方式,由个人一并进行同意。
实践中,个人信息处理者可能需要向多个第三方提供个人信息主体的部分信息,以实现一键登录、用第三方账号登录或使用第三方支付等功能。在此场景中,个人信息处理者可以在隐私政策中逐一列举接收方的相关信息,并由个人一并同意。
(来源:美团隐私政策)
需要注意的是,如果产品或服务中需要接入第三方代码、插件,那么个人信息处理者应当在取得个人单独同意之前,阻止相关代码、插件自动运行收集个人信息。这样做是为了确保个人信息的安全和隐私得到充分尊重和保护。
2. 公开个人信息
《实践指南》对《个保法》中公开情形下取得单独同意的具体实施要求进行了细化,主要从发布和删除两个环节进行把控。
在发布环节,个人信息处理者在公开其处理的个人信息前,需要履行以下两个义务:首先,向个人告知所公开个人信息的种类、公开的目的、方式、范围,可能对个人产生的不利影响以及个人的权利;其次,向个人提示公开的范围。如果公开对个人权益影响较大的,可与个人进一步主动取得联系并告知相关处理规则和公开产生的影响,在个人完全知情的情况下取得个人单独同意。如果是个人主动选择公开其个人信息的(包括社交软件下记录的信息),个人信息处理者应当允许个人在发布信息之前能够自由选择信息的公开范围,并且不得自动设定为向所有不特定用户公开的选项,同时提示个人注意其公开的范围。
在删除环节,除法律法规另有规定外,如果个人自行决定撤回之前已向公众公开的信息,与公开渠道相关的个人信息处理者有义务采取适当的措施删除已公开的个人信息,例如断开链接或删除信息发布记录等。对于其他个人信息处理者获取到此前已公开的个人信息的情况,个人有权要求其进行删除。
3. 公共场所收集信息用于维护公共安全之外的目的
根据《个保法》的规定,在公共场所收集个人图像和身份识别信息只能出于维护公共安全的需要。如果需要将相关信息用于维护公共安全以外的其他目的,个人信息处理者应当向个人告知其个人信息处理规则,并取得个人的单独同意。例如,在公共场所收集个人图像以进行身份验证、打卡考勤的场景中,个人信息处理者可通过引导个人扫描二维码等方式了解相应个人信息处理规则后,要求其点击“同意”选项进行授权。
当个人信息用于维护公共安全以外的其他目的时,如果涉及到多人的个人信息,个人信息处理者应当在处理前逐一告知每个人其个人信息的处理目的,并取得所有个人的单独同意。如果多人共同签署同一个授权文件的,亦可视为取得了单独同意。但值得注意的是,经过匿名化处理的信息(例如对画面中的人脸信息等进行局部轮廓化处理)无需获得单独同意。这是因为经过匿名化处理后,个人信息无法直接或间接地与特定个人进行关联。
4. 处理敏感个人信息
首先,个人信息处理者除了履行必要的告知义务外,还应注意在向个人提供选项时,不得提前预选选项,不得对个人的选择进行不当干预。如果需要通过个人主动填写来获得对敏感个人信息的单独同意,个人信息处理者可以通过在独立的区域或界面设置勾选、点击、填写框等互动操作,以引导个人主动作出肯定性的动作。
其次,《实施指南》还提供了针对敏感个人信息“一次性取得单独同意”的优化路径供个人信息处理者选择:
(1)为实现某一特定目的需要同时处理多项敏感个人信息的,可一并告知并一次性取得个人单独同意。例如,个人信息处理者为了提供网约车服务而需要收集用户姓名、手机号码、位置信息、录音录像信息和位置轨迹等信息的,可以通过同一个弹窗就需要收集的多项字段一并告知个人并取得其单独同意,对于其中的“位置信息”“录音录像信息”和“位置轨迹”应标识为“敏感个人信息”。
(来源:嘀嗒平台隐私政策)
(2)为实现特定目的而处理敏感个人信息,同时还涉及收集、使用、提供等多个处理活动或涉及多个主体,且多活动或多主体无法拆分的,可一并告知并一次性取得个人单独同意。例如,个人信息处理者在使用其他个人信息处理者的人脸识别技术进行身份鉴别时,需要收集个人的人脸识别信息并提供给其他个人信息处理者,可以一并告知个人收集和提供的情况,并一次性取得个人的单独同意。
最后,在未成年人个人信息保护方面,《实施指南》提出个人信息处理者可以根据产品或服务的目标人群情况采取合理的技术措施来核实用户的年龄。如果确认用户为不满14周岁的未成年人,可以采取未成年人难以绕过的方式引导他们向其监护人转达告知,并取得监护人的单独同意。例如,个人信息处理者可以设置独立的界面,要求用户提供监护人的联系方式,并采取高强度的方式进行监护人身份鉴别,如要求提供身份证信息、短信回复特定字段或进行人脸识别等。为了确保身份鉴别的有效性,个人信息处理者可以采用多种并行的措施,以避免仅因一种验证模式失效(如无法接收验证码)而导致产品或服务无法使用的情况发生。
5. 向境外提供个人信息
在个人信息出境场景下,《实施指南》明确规定了两种视为个人作出单独同意的情况。首先,如果个人在自行了解境外接收方所公布的个人信息处理规则后,主动通过邮件、短信、点击启动服务、在线提交信息或直接确认等方式向境外接收方发送涉及其个人信息的内容,可以被视为作出了单独同意。其次,个人信息处理者如果在收集个人信息时已经事先单独就个人信息出境取得个人同意,在满足出境其他条件的前提下,后续的出境行为就不需要再次取得个人的单独同意。
二、书面同意
(一)哪些情形需要取得书面同意?
“书面同意”是指以书面形式取得的个人同意。根据《民法典》第469条,书面形式是合同书、信件、电报、电传、传真等可以有形地表现所载内容的形式。以电子数据交换、电子邮件等方式能够有形地表现所载内容,并可以随时调取查用的数据电文,视为书面形式。《个保法》中提到“法律、行政法规规定处理个人信息应当取得个人书面同意的,从其规定”,而该法本身并未明确个人信息处理者需以书面形式征得个人同意的具体情形。
基于此,《实施指南》对需要获得书面同意的场景进行了详细阐述,主要可分为两类:一是法律法规明确规定必须采取书面同意的情形,具体场景请见下表;二是评估后认为需要进行增强存证、存档或加强证据固定效果等的个人信息处理活动。
(二)书面同意的实施要点
首先,在转委托场景中,《个保法》规定未经个人信息处理者同意,受托人不得转委托他人处理个人信息。《实施指南》进一步明确,此处的同意是指书面同意,即个人信息处理者需通过主动签名、签章等行为明确表示同意后,受托人才可以将个人信息转委托给其他个人信息处理者。
其次,书面同意只能以文字形式明确表达。根据《实施指南》的要求,个人信息处理者不能通过个人点击确认、点击同意、上传提交、登录使用或配合拍照等表示同意的方式取得个人的书面同意。相反,个人信息处理者只能选择文字形式的明示同意机制来取得个人的书面同意。个人信息处理者也可以根据个人使用习惯、产品或服务的特点等设计具体的书面同意操作方案。
最后,如果个人信息处理者需要同时取得个人书面同意和单独同意,可以在书面同意的基础上设计单独同意的机制。