历经漫长的三年后,在吸收相关立法、标准和前期执法经验的基础上,国务院正式于2024年9月30日发布《网络数据安全管理条例》(以下简称“网数条例”),自2025年1月1日起施行。
作为《网络安全法》《数据安全法》及《个人信息保护法》的重要落地支撑,《网数条例》承上启下,在一定程度上重塑了个人信息保护的合规导向,进一步细化了相关法律理解与适用。
基于履行合同必需或者履行法定义务等同意之外的合法性基础而处理个人信息的,无需取得同意,进一步也无需取得单独同意。这一结论前所未有的清晰。在处理个人信息之前,厘清合法性基础是展开后续合规动作的前提。这直接关系到隐私政策是否需要用户勾选表示同意,还是表示已阅读理解个人信息处理规则。本文围绕这一点讨论不同合法性基础条件下勾选隐私政策的不同含义。
一、无需同意的情形也无需单独同意
首先,根据《个人信息保护法》第13条第二款,有第二项至第七项规定情形的,不需取得个人同意。也就是说基于履行合同必需或者履行法定义务等同意之外的合法性基础而处理个人信息的,无需取得同意。
第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息: (一)取得个人的同意; (二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需; (三)为履行法定职责或者法定义务所必需; (四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需; (五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息; (六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息; (七)法律、行政法规规定的其他情形。 依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。 |
但是,《个人信息保护法》第23、25、26、29 和39条规定的各种单独同意,以及前几年习惯性一揽子取得同意的实践。在法律颁布初期,让业界数据合规人感到困惑:到底是否需要取得单独同意?在不确定的情况,取得一揽子同意似乎是更安全的做法。
第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。 第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。 第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。 第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。 第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。 |
不过,随着更多的立法解释和监管指引,迷雾逐渐散去。例如,《数据出境安全评估申报指南(第二版)》规定,涉及个人信息出境的,需提供履行《个人信息保护法》第三十九条规定的情况说明及佐证材料,包括告知义务和取得个人的单独同意等,若属于《个人信息保护法》第十三条第一款第二项至第七项规定情形的,不需取得个人同意。
《网数条例》第22条规定在基于个人同意处理个人信息的前提下需要遵守的规则。也就是说:
只有在基于同意的合法性基础时,处理敏感个人信息才需要取得个人的单独同意。
只有在基于同意的合法性基础时,处理不满十四周岁未成年人个人信息的,才需要取得未成年人的父母或者其他监护人的同意
第22条同时也从行政法规层面规范了同意的标准。例如,不得频繁弹窗这种“Dark Pattern”的形式征得个人同意。
《网数条例》第二十二条 网络数据处理者基于个人同意处理个人信息的,应当遵守下列规定: (一)收集个人信息为提供产品或者服务所必需,不得超范围收集个人信息,不得通过误导、欺诈、胁迫等方式取得个人同意; (二)处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的,应当取得个人的单独同意; (三)处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意; (四)不得超出个人同意的个人信息处理目的、方式、种类、保存期限处理个人信息; (五)不得在个人明确表示不同意处理其个人信息后,频繁征求同意; (六)个人信息的处理目的、方式、种类发生变更的,应当重新取得个人同意。 法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。 |
二、不同合法性基础勾选隐私政策的含义
无论基于何种合法性基础处理个人信息,个人信息处理者都有义务充分告知个人信息处理规则,强调的是让个人“知情”。而基于同意的合法性基础处理个人信息,则需要取得个人的同意,此时强调的是“知情”且“同意”。如果通过隐私政策告知个人个人信息处理规则,那么勾选框在不同合法性基础下代表的含义不同,以及所对应的交互文案也应该按需调整。
1. 基于非同意的合法性基础的情形
一般而言,如果隐私政策中的所有个人信息处理活动都是基于非同意的合法性基础,那么隐私政策主要是向个人“告知”个人信息处理规则。根据《个人信息处理中告知和同意的实施指南》,个人信息处理者宜将个人信息保护政策的完整内容置于产品或服务的基本业务功能开启时与告知相关的交互式界面中,并通过弹窗提示、提醒勾选、突出链接等明显方式,主动提示个人阅读个人信息处理规则。
因此,在用户注册页面,如果在隐私政策链接旁边设置勾选框,那么个人勾选则意味着已阅读个人信息保护规则。另外对应的文案不应该有同意的字眼,大概意思可以是:勾选代表您已阅读隐私政策。或者用户协议与隐私政策的放在一起,共用一个勾选框,文案则建议是:勾选代表您同意用户协议且已确认阅读隐私政策。
那么把个人信息处理规则——即隐私政策囊括在用户协议或者其他合同文本是否有不妥之处呢?例如,下图中注册本App帐号的实践,其未单独列出“隐私政策”,而是包括在《软件许可及服务协议》里面。本文认为,为了让用户有更多机会了解个人信息保护规则,宜放在帐号注册页面。
2. 基于同意的法律基础的情形
如果隐私政策中的所有个人信息处理活动都是基于同意的合法性基础,那么勾选隐私政策,则意味着个人表示同意。这种情形在实践中可能不多,但是也是可能存在的。此时需要重点关注同意证据保存和撤销同意的个人信息主体权利响应。根据《个人信息保护法》第15条,基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。在实践中,个人信息处理者需结合产品或服务的业务功能特点、收集个人信息的种类和方式、取得个人同意的过程等因素,设计个人撤回其同意的机制。另外,个人信息处理者需要采取技术或管理措施,留存取得个人同意过程的证据,以实现保证处理个人信息的合法性、向有关司法、监管部门提供必要证明材料。详情可查看《个人信息处理中告知和同意的实施指南》。
3. 同时基于同意和非同意的法律基础的情形
当隐私政策描述的数据处理活动既包括基于同意的,也包括履行合同所必需或者法定义务的合法性基础时。
本文建议,可以在隐私政策或者个人信息保护政策中描述所有个人信息收集的合法性基础和业务目的。在注册页面引导个人阅读隐私政策的同时,根据情况另外设置同意事项的勾选框。例如,基于同意的合法性基础处理个人敏感信息,可以在引导用户阅读隐私政策的同时,设置单独同意勾选框以获得个人同意,也可以在收集用户个人敏感信息时再弹窗告知相关情况。例如地理定位信息处理以设备权限弹窗的形式取得单独同意。反之,如果处理个人敏感个人信息不是基于同意而是履行合同所必需的合法性基础,则不应该取得单独同意,而设备地理权限弹窗披露收集目的也仅是告知动作,不是在取得同意。
总之,个人信息处理的合法性基础判断是数据合规工作的开始。而如何界定合法性基础在某些业务场景确非易事,需要结合业务常识和具体场景来认定。另外告知和同意的时机和文案设计都需要与业务目的进行调合,尽最大努力达成共赢的方案。(张晓丽)
声明:本文来自数据合规与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。