解读《信息安全技术 个人信息告知同意指南(征求意见稿)》
引 言
不同于其他国家例如欧盟《通用数据保护条例》(以下简称“GDPR”)中对于个人数据的处理列出多种不同的合法依据,目前我国《网络安全法》以及《民法总则》等法律中对于个人信息的收集、使用均以“个人信息主体同意”为基础,而其他法律及行政法规另行规定的为例外。因此在中国,告知用户并取得用户授权同意通常是收集并使用个人信息的必要前提。
然而,实践中收集和使用个人信息的场景多种多样,企业和平台往往对“告知同意”的方式和标准莫衷一是,用户则常常在面对纷繁多样的《隐私政策》时无所适从。企业和平台应当如何告知,又应该怎样让用户表达同意,都需要更加确定性的指引。
在此背景下,今年1月,全国信息安全标准化技术委员会发布国家标准《信息安全技术 个人信息告知同意指南(征求意见稿)》(以下简称“《指南(征求意见稿)》”)。本文将对《指南(征求意见稿)》的亮点和重点展开分析,说明《指南(征求意见稿)》对明确“告知同意”标准提出的建议。
1
《指南(征求意见稿)》的效力和作用
《指南(征求意见稿)》作为新征求意见的推荐性国家标准,可以作为网络运营者的指导性文件,客观上在告知同意的实操标准方面为企业提供更有确定性的参考。《指南(征求意见稿)》衔接《信息安全技术 个人信息安全规范》(GB/T 35273—2017),进一步说明在告知的内容、结构及征得个人信息主体同意收集、使用、对外提供个人信息的方式等方面的具体原则和实践操作。总体而言,《指南(征求意见稿)》为如何有效合理地告知个人信息主体并获取相关同意进行有益探索,可以是对我国现行以《网络安全法》为基础的个人信息保护法规体系的补充。
需要指出的是,《指南(征求意见稿)》目前仍在向社会公众广泛征求意见。同时,即便《指南(征求意见稿)》的正式版本生效,作为推荐性国家标准,《指南(征求意见稿)》不具备法律约束力,理论上仍不能够突破《网安法》下的同意机制边界[1]。但《指南(征求意见稿)》在实践中更有可能扮演的角色是监管机构执法活动中的参考依据,由此也成为企业合规实操的重要指引。
在对《指南(征求意见稿)》展开分析之前,我们可以对比其他国家主要个人信息保护立法中对于告知同意的要求来进一步理解《指南(征求意见稿)》的编制思路。国外立法尽管对于告知同意的侧重点有所不同,但是对在特定情形下征得个人信息主体明示同意也多有规定。另一方面,国外立法并未对告知和同意的方式、机制等方面给出标准化的规定,而多以强调收集处理数据的合法性基础、尊重个人信息保护的基本原则等方式要求企业和其他收集个人信息的主体。
2
《指南(征求意见稿)》主要内容梳理
《指南(征求意见稿)》全文共九个章节,内容涵盖指南的适用范围,告知同意的适用情形,免于告知同意的情形,告知同意的基本原则及具体实践等;并在附录部分就未成年人个人信息、SDK、IoT等九类场景下告知同意的具体实践提供建议。为便于理解,我们以列表形式对《指南(征求意见稿)》的主要内容进行梳理:
3
《指南(征求意见稿)》重点内容解读
1. 明示同意为主的告知同意机制
《个人信息安全规范》已提出明示同意的概念以区别于一般的授权同意。具体而言,明示同意是指个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为[2]。而授权同意除包含明示同意以外还包括了个人信息主体通过消极的不作为行为做出授权的行为(通常理解为默示同意),例如《指南(征求意见稿)》第6.1条h)项中所例举的“购物网站为实现其基本功能寄送用户网络商品”和“网络租房平台为实现其基本功能与用户签订租房合同”可以考虑通过默示同意来解释。
在《个人信息安全规范》及其于2019年的两次征求意见稿中,均采用了收集个人敏感信息时应取得个人信息主体的明示同意,而收集使用一般个人信息只需获得个人信息主体的授权同意的标准。而《指南(征求意见稿)》第9.1条明确提出应优先采用明示同意[3],只有存在第9.1条规定情形且经个人信息影响评估无高风险时,个人信息控制者才可考虑采用授权同意模式[4]。此外,《指南(征求意见稿)》还对告知同意的时机选择提出了原则性的要求。《指南(征求意见稿)》要求同意应当注意时机恰当[5],并应当注意考虑个人信息处理阶段设置具体的告知方案[6]。可见此次《指南(征求意见稿)》在《个人信息安全规范》的基础上,可能在实践中提高个人信息控制者取得个人信息主体同意的标准,即以明示同意为原则,授权同意为例外,仅在实践中无法实现明示同意时,采纳授权同意的方式[7],对网络运营者提出更严格的要求。
2. 免于告知同意的例外情形
区别于GDPR中列举数项个人数据处理的合法性基础,《网络安全法》仅将个人信息主体的同意作为收集使用个人信息的合法性基础,而并未明确规定同意的例外情形。因此,如何理解《指南(征求意见稿)》中规定的“免于告知同意的情形”与《网络安全法》同意机制的关系仍是值得关注的问题。
认定《指南(征求意见稿)》提出“免于告知同意的例外情形”是对告知同意机制的突破可能并不准确。《指南(征求意见稿)》第六条分别列举了收集使用个人信息、使用目的变更以及对外提供个人信息时免于告知同意的若干情形。但从指南的具体内容来看,第六条中所规定的“告知同意例外”仅指获得明示同意的例外,即个人信息控制者仍“需以适当方式告知个人信息主体目的,但无需征得个人信息主体的明示同意”。因此我们理解所列举的例外情形包括适用于默示同意的情况。
默示同意的解读可能有助于将个人信息控制者收集、使用个人信息以及目的变更等进一步限制在合理的范围内,进行有效的利益平衡。例如:第6.1条i)项举例说明如“软件为确保产品或服务的安全稳定运行,收集用户的设备类型、网络运行日志、崩溃报告等日志信息用于分析和改善软件运行情况;或者防止恶意注册、批量点击等危害运营安全活动,收集用户设备信息、日志信息、网络接入情况等信息”无需获得个人信息主体的明示同意。考虑到“日志信息”的内容范围高度广泛、“分析和改善软件运行情况”的内涵和外延也有较大的弹性空间,该项情形在实践中不排除存在被扩大解释的可能性。
如果将该明示同意的例外情形解读为适用于“默示同意”机制,且保障个人信息主体撤回同意的权利(如允许个人信息主体选择退出),可能在一定程度上避免该项情形下收集个人信息的无限扩展,更好地平衡信息控制者和个人信息主体之间的利益。
但是,应当承认的是,在《指南(征求意见稿)》所规定的例外情形中仍然存在一些默示同意无法适用或适用时可能导致实践与制定目的出现偏差的场景(“真实同意的例外”)。例如:
第6.1条c)项,收集使用“法院公示失信被执行人名单及其居住区域等个人信息”,考虑到该信息对个人信息主体通常具有负面影响,很难认为个人信息主体会基于同意(无论是明示或默示)授权个人信息控制者收集该部分信息。
第6.1条b)项,如果将收集、使用于国家安全、国防安全直接相关的个人信息的合法性基础解释为个人信息主体的默示同意,可能会不当地限制该情形的适用,也无法实现其目的。
对“真实同意的例外”情形,其在合法性基础上相比于默示同意可能存在更大的风险,在合法性证明上可能需要采用更高的标准。但是也不排除《指南(征求意见稿)》从立法原则、法益平衡、或其他法律行政法规与《网安法》的协调适用角度,为相应的告知同意例外探讨合法性基础的可能性。例如,第6.1条g)项中列举了“企业依法注册登记、备案的法定代表人、股东、监事、高管的个人信息”适用明示同意的例外。对于该项的一种可能的解释是在特定场景下,如根据《征信业管理条例》第十三条第二款的规定,开展征信业务时“企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息”,因此无需征得相应主体的明示同意。类似的设置可能一定程度上衔接《网安法》中,对于个人信息告知同意原则,在其他法律及行政法规另有规定情形下的例外情况。
3. 告知同意的场景化指南
除前述内容外,《指南(征求意见稿)》还在附录部分就未成年人个人信息、SDK、IoT、公共场合、云服务、个性化推荐、金融借贷、车载、网上购物共九类场景下收集使用个人信息的告知同意实践提供了进一步的指导。
以附录A 未成年人个人信息的告知同意为例。自《儿童个人信息网络保护规定》生效以来,儿童用户的识别和监护人身份的核验,特别是面向普通公众提供产品和服务的网络运营者识别儿童用户时可能涉及的额外采集个人敏感信息、以及儿童用户识别和监护人身份核验过程中的信息真实性问题,始终是网络运营者所面临的实践难题。附录在告知同意方式上对产品或服务进行了明确区分,即未成年人非为主要受众群体的产品或服务与未成年人为主要受众群体的产品或服务所采取的未成年人身份核验宜采取不同的验证强度;并就产品或服务的终端或应用界面的不同设置情况,提出了监护人的告知同意方式及内容方面的具体建议。
此外,与近期监管部门对SDK合规管控的关注相呼应,《指南(征求意见稿)》在附录B中阐述了SDK收集使用个人信息场景下的告知同意,特别是针对SDK提供者与宿主APP之间的不同合作模式,就告知同意的义务主体和方式进行了类型化的区分。在IoT、公共场合、云服务、个性化推荐、金融借贷、车载、网上购物等场景中,《指南(征求意见稿)》还就告知同意的方式、时机选择、告知的展示形式、同意模式的选择、免于告知同意的情形等内容进行了分析并提供具体建议。九类场景的选取体现了对实践的密切关注和回应,对相关行业的实践具有较大的参考价值。
4
结语
《指南(征求意见稿)》对告知同意的方式、免于告知同意的例外情形等内容既有原则性的阐述,又有场景化的归纳,毫无疑问是个人信息保护工作中的重要的探索。在《指南(征求意见稿)》正式生效后,也希望能够作为企业合规工作以及执法部门的重要参考材料。
同时,值得注意的是,随着市场的发展,产品、场景日益丰富,技术能力和手段也会不断更替,告知和同意的模式或标准可能都会发生快速的变化。我们希望告知同意的指南能作为个人信息收集和使用实操中的建议和参考,而谨慎作为实践中执法的现实依据或者僵化规范,避免企业在实际应用中受到掣肘。在新经济业态日新月异的时代,在判断是否合法合规的获得个人信息主体同意时,仍然以正当、合法和必要的原则,灵活地判断用户意思表达,平衡企业的合规成本和消费者合法权益。
[1] 参见:史宇航. 穿透告知同意的迷雾:《个人信息告知同意指南(征求意见稿)》发布[EB/OL]. https://mp.weixin.qq.com/s/kHq6dhP5yXxImHlldw_QFg. 2020-02-06.
[2] 引自《信息安全技术 个人信息安全规范》(GB/T 35273—2017)第3.6条。
[3] 《信息安全技术 个人信息告知同意指南(征求意见稿)》第9.1条:“个人信息控制者征得同意时,需优先采用明示同意的方式,确保个人信息主体在理解收集目的和相关处理规则的基础上自主给出的、具体的、清晰明确的意愿表示,且尽量避免采取授权同意的机制,以致个人信息主体忽略对个人信息处理规则的关注。”
[4] 《指南(征求意见稿)》第9.1条:“存在以下情形且经个人信息影响评估后无高风险,可考虑采用授权同意模式:a) 产品或服务的业务场景网络等环境条件受限;b) 产品或服务的展示界面和展示方式受限;c) 基于最小必要考虑,为实现业务功能仅收集无法直接关联到个人身份的个人信息;d) 执行同意需要付出大额成本才可以实现;e) 告知后执行同意可能对个人信息主体使用产品或服务的良好习惯带来削减;f) 告知后执行同意可能影响业务运营安全的;g) 需告知的目的等内容有助于保护个人信息主体权益;h) 需告知的目的等内容为本标准第6章直接相关的。”
[5] 《指南(征求意见稿)》第7.2条“同意的基本原则”:“c) 时机恰当——在个人信息收集行为发生前,且同步传达告知内容时,征得个人信息主体同意,以增进个人信息主体对业务功能与所收集的个人信息之间关联性的理解”。
[6] 《指南(征求意见稿)》第7.3条“告知同意需考虑的要素”:“d) 区分阶段——根据个人信息主体使用产品和服务业务功能的范围和个人信息处理阶段,结合隐私政策、用户协议、提示语句等不同文本的性质和展示效果,设置具体的告知同意方案”。
[7] 中国个人信息安全国家标准严格程度介于欧盟与美国之间[EB/OL]. https://mp.weixin.qq.com/s?src=11×tamp=1581651495&ver=2157&signature=gCYVrxzYbiL7rLDbFYniyyamdz-JZl94uDLP31UIf70I66cV2Ysx3MkvlpfeV4UQmAC2LJ4xO15S-SoU*i4D7YBsx-*1E5fMqyAddU4EYDzClhMk3ZTjvF-pRp9cP1mR&new=1. 2018-02-06.
——— 本文作者 ———
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
宁宣凤律师的主要执业领域为反垄断与反不正当竞争,以及网络安全与数据合规。在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
吴涵律师的主要执业领域为网络安全与数据合规。吴律师协助客户制定修改隐私政策,制定跨境数据传输计划,制定数据商业化合规方案,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系,进行内部网络安全和数据合规培训等。吴律师擅长从中国数据合规的角度为跨国企业在中国的分支机构提供网络安全和数据合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国等跨司法辖区要求的网络安全与数据合规体系。项目覆盖金融、保险、数据风控、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
汪汉鸿
律师助理
合规业务部
潘驰
律师助理
合规业务部
张乐健
律师助理
合规业务部
金杜网络安全与数据合规团队文章
相关文章链接
Links of Related Articles
人工智能:
2020年“AI”应有大爱 2020-01
人工智能系列之人脸识别信息的内涵与合规难题 2019-11
数据合规:
宜未雨而绸缪——企业上市关注的重点数据合规问题 2020-01
“数”年快乐——万字长文说“数据融合” 2020-01
平安夜里说平安——“数据资产”的误区与合规条件 2019-12
按图索骥——图示移动APP个人信息保护的重点 2019-11
大一统而慎始也——新型信用监管机制问答 2019-10
竹杖芒鞋轻胜马:医疗大数据发展和合规管理并重 2019-09
星光奉献给长夜——儿童个人信息保护的亮点和启示 2019-08
投资出行领域,数据是金矿还是烫手山芋?2019-07
Development Of PrcRegulations On Cross Border Data Transfer 2019-06
数据监管新要求,电子商务法时代跨境电商将走向何方? 2018-11
你的“饼干”安全吗?——Cookie 与个人信息保护 2018-08
“明者因时而变,知者随事而制” ——《个人信息安全规范》实务探讨 2018-02
谨于言而慎于行:互联网信息内容服务管理新规出台 2017-08
No “Data”, No “Internet of Vehicles” 2017-07
布局“自动驾驶”:此时不为,更待何时?2017-07
Putting an “Invisibility Cloak” over Personal Information —— A discussion on “invisible waybills” introduced by express industry 2017-07
图解“车联网” 2017-06
无“数据”,怎“车联”?——“车联网”数据类核心业务法律监管刍议 2017-05
为个人信息披上一件“隐形衣”——从快递行业推行“隐形面单”说开去 2017-05
欲善其事,先利其器——解读《互联网信息内容管理行政执法程序规定》 2017-05
你的数据,能不能走出国门? 2017-04
中国推进个人信息保护 2017-04
2017年,大数据合规离我们有多远? 2017-01
隔耳有“墙”——从美国FCC新规则谈个人信息保护新趋势 2016-12
个人信息保护的百万罚单时代来了? 2016-11
网络安全:
博观而约取,厚积而薄发:《密码法》要点评析及企业合规路径 2019-11
亡羊补牢未为迟:如何应对网络安全勒索事件 2019-06
“欲穷千里目,更上一层楼”——国际新形势下的等保2.0 2019-05
叶上初生并蒂莲——最新出台的《电子商务法》与《网络安全法》之比较 2018-09
《网安法》生效后不得不知的N件大事 2017-08
“新”电信业务办法:更简、更活、更规范 2017-07
必将婴城固守,皆为金城汤池——看《关键信息基础设施安全保护条例(征求意见稿)》 2017-07
Petya来袭,网络安全事件应急预案正当其时 2017-07
图解安全评估流程——互联网业务安全不可因“新”而废“管” 2017-06
《网络安全法》及其部分配套规定今起实施 2017-06
“一带一路”背景下中国企业境外并购的网络安全和数据合规问题 2017-06
十三五“新常态”下企业营商的合规挑战 2017-05
开启互联网新闻监管新时代——《互联网新闻信息服务管理规定》述评 2017-05
画龙画虎先画骨 ——解读《网络产品和服务安全审查办法(试行)》 2017-05
热点解读:网信办连续颁布三项重磅新规 2017-05
感谢关注金杜研究院