本文來自微信公眾號(hào)“CCIA數(shù)據(jù)安全工作委員會(huì)”,作者/王昕、張蔣苗、落紅衛(wèi)。
一 概述
自《中華人民共和國個(gè)人信息保護(hù)法》正式實(shí)施以來,“告知-同意”成為APP個(gè)人信息處理的核心規(guī)則,該規(guī)則明確要求處理個(gè)人信息之前應(yīng)以顯著方式向個(gè)人履行告知義務(wù),應(yīng)在事先充分告知的前提下取得個(gè)人同意。“告知-同意”規(guī)則的有效實(shí)施對(duì)于企業(yè)落地個(gè)人信息保護(hù)法、提升用戶個(gè)人信息保護(hù)至關(guān)重要,是企業(yè)個(gè)人信息保護(hù)合規(guī)實(shí)務(wù)中應(yīng)用最為基礎(chǔ)也是最為廣泛的內(nèi)容之一。本文旨在對(duì)個(gè)人信息數(shù)據(jù)處理中“告知-同意”的相關(guān)法律法規(guī)、內(nèi)涵及相關(guān)合規(guī)標(biāo)準(zhǔn)展開討論,以供App運(yùn)營者理解和落地“告知-同意”相關(guān)要求時(shí)參考。
二 相關(guān)法律法規(guī)與規(guī)范性文件
2012年,《全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》中首次明確了未經(jīng)用戶同意不得收集、使用個(gè)人信息的原則。2017年,《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定網(wǎng)絡(luò)運(yùn)營者收集、使用個(gè)人信息時(shí),應(yīng)明示告知并獲得被收集者的同意。2020年通過的《中華人民共和國民法典》進(jìn)一步圍繞“告知-同意”搭建了個(gè)人信息保護(hù)的法律框架。隨后,2021年,《中華人民共和國個(gè)人信息保護(hù)法》將“告知-同意”進(jìn)一步具體化,正式確立了以“告知-同意”為核心的個(gè)人信息保護(hù)規(guī)則。
圖1法律法規(guī)與規(guī)范性文件
“告知-同意”規(guī)則在《網(wǎng)絡(luò)安全法》、《民法典》、《個(gè)人信息保護(hù)法》等法律中均有規(guī)定,《網(wǎng)絡(luò)安全法》首次從法律層面明確了我國個(gè)人信息處理的“告知-同意”規(guī)則,《民法典》則以基礎(chǔ)法的形式確立了這一原則,將“告知-同意”規(guī)則作為處理個(gè)人信息的首要合法條件予以規(guī)定,《個(gè)人信息保護(hù)法》確立了以“告知-同意”為核心的個(gè)人信息處理規(guī)則。在處理個(gè)人信息時(shí),應(yīng)履行“告知-同意”義務(wù)。涉及個(gè)人信息數(shù)據(jù)跨境、公開個(gè)人信息、敏感個(gè)人信息處理等情形時(shí)需獲得個(gè)人的單獨(dú)同意,變更個(gè)人信息處理目的、方式和個(gè)人信息種類時(shí),需取得個(gè)人的重新同意,法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書面同意的,從其規(guī)定。
個(gè)保法中“告知”與“同意”的關(guān)系如圖2所示:
圖2個(gè)保法中的“告知”與“同意”
此外,《工業(yè)和信息化部關(guān)于開展信息通信服務(wù)感知提升行動(dòng)的通知》(工信部信管函〔2021〕292號(hào))、《關(guān)于進(jìn)一步提升移動(dòng)互聯(lián)網(wǎng)應(yīng)用服務(wù)能力的通知》(工信部信管函〔2023〕26號(hào))也對(duì)“告知-同意”做出了規(guī)定:《工業(yè)和信息化部關(guān)于開展信息通信服務(wù)感知提升行動(dòng)的通知》(工信部信管函〔2021〕292號(hào))規(guī)定,互聯(lián)網(wǎng)企業(yè)應(yīng)以簡潔、清晰、易懂的方式,向用戶提供APP產(chǎn)品隱私政策摘要,涉及敏感權(quán)限應(yīng)以適當(dāng)方式告知用戶調(diào)用目的,充分保障用戶知情權(quán);《關(guān)于進(jìn)一步提升移動(dòng)互聯(lián)網(wǎng)應(yīng)用服務(wù)能力的通知》(工信部信管函〔2023〕26號(hào))規(guī)定,企業(yè)應(yīng)明示個(gè)人信息處理規(guī)則,如發(fā)生變動(dòng),應(yīng)及時(shí)告知用戶最新情況。突出顯示敏感個(gè)人信息的處理目的、方式和范圍,建立已收集個(gè)人信息清單,不得采用默認(rèn)勾選、縮小文字、冗長文本等方式誘導(dǎo)用戶同意個(gè)人信息處理規(guī)則。
三 “告知-同意”規(guī)則的內(nèi)涵
“告知-同意”是個(gè)人信息保護(hù)領(lǐng)域的重要規(guī)則,作為個(gè)人信息主體意愿表達(dá)、控制權(quán)行使的工具,體現(xiàn)了個(gè)人信息自決權(quán)。通過“告知-同意”規(guī)則,個(gè)人信息處理者向用戶告知個(gè)人信息處理的目的、方式等法定事項(xiàng),用戶可選擇是否與個(gè)人信息處理者共享個(gè)人信息,經(jīng)用戶同意后個(gè)人信息處理者方可獲得處理個(gè)人信息的合法性基礎(chǔ)。
關(guān)于“告知”,GB/T 42574-2023《信息安全技術(shù)個(gè)人信息處理中告知和同意的實(shí)施指南》(以下簡稱“指南”)中指出:告知是指使個(gè)人知曉其個(gè)人信息處理活動(dòng)及其有關(guān)規(guī)則的行為。告知是個(gè)人信息處理者履行義務(wù)的表現(xiàn)。“指南”將告知分為一般告知、增強(qiáng)告知和即時(shí)提示三種:一般告知主要用于個(gè)人信息處理前,強(qiáng)度較低;增強(qiáng)告知和即時(shí)提示更多用于個(gè)人信息處理過程中。
關(guān)于“同意”,“指南”指出:同意是指?jìng)€(gè)人對(duì)其個(gè)人信息進(jìn)行處理自愿、明確作出授權(quán)的行為。同意是個(gè)人意思自治的體現(xiàn),代表了個(gè)人自主地對(duì)個(gè)人信息進(jìn)行處分的權(quán)利。“指南”按照個(gè)人信息主體行為的主觀態(tài)度,將同意機(jī)制分為明示同意和其他同意。其中:個(gè)人信息主體通過積極的行為作出授權(quán)則為明示同意,因客觀條件限制、個(gè)人自身習(xí)慣、保護(hù)各方合法利益等原因,個(gè)人無法表達(dá)明示同意時(shí),通過個(gè)人的行為而推定其作出授權(quán)即為其他同意。
“指南”根據(jù)同意在實(shí)施中具體的表現(xiàn)形式,將同意分為單獨(dú)同意、書面同意等。單獨(dú)同意、書面同意是基于特定目的和效果而產(chǎn)生,是特殊的明示同意。其中:單獨(dú)同意是細(xì)顆粒度實(shí)現(xiàn)明示同意的一種方式,指為了對(duì)個(gè)人信息進(jìn)行特定處理而專門作出具體、明確授權(quán)的行為,不包括一次性針對(duì)多種目的或方式的個(gè)人信息處理活動(dòng)作出的同意;書面同意一般為法律法規(guī)明文要求,以紙質(zhì)或數(shù)據(jù)電文等有形地表現(xiàn)所載內(nèi)容,并由個(gè)人通過主動(dòng)簽名、簽章等形式取得個(gè)人同意。
“明示同意”強(qiáng)調(diào)從主體角度的提示方式和程度;“單獨(dú)同意”強(qiáng)調(diào)提示對(duì)象的粒度,針對(duì)特定場(chǎng)景、行為的同意。
總體來看,“告知”與“同意”分別對(duì)應(yīng)個(gè)人的知情權(quán)與決定權(quán),“告知”是“同意”的前提,知情權(quán)先于決定權(quán)。“指南”在第8章、第9章對(duì)“告知”和“同意”提出了要求,兩者的分類及對(duì)應(yīng)關(guān)系如圖3所示:
圖3“指南”中的“告知”與“同意”的對(duì)應(yīng)
《民法典》第140條規(guī)定,行為人可以明示或默示做出意思表示。個(gè)人信息保護(hù)的諸多標(biāo)準(zhǔn)文稿中,也多次出現(xiàn)了“默示同意”的描述,即通過消極的不作為而作出授權(quán)為默示同意。行業(yè)標(biāo)準(zhǔn)T/CLAST 001-2021T/CLAST 001-2021《個(gè)人信息處理法律合規(guī)性評(píng)估指引第1部分:概述和術(shù)語》中也提到了“默示同意”。但該標(biāo)準(zhǔn)同時(shí)強(qiáng)調(diào),“應(yīng)盡可能避免需要將消極行為推定為默示同意的場(chǎng)景設(shè)計(jì)”,“不宜將默示同意作為授權(quán)同意的一般原則或默認(rèn)設(shè)定”。在后續(xù)的個(gè)人信息保護(hù)標(biāo)準(zhǔn)中,“默示同意”較少正式出現(xiàn),旨在引導(dǎo)個(gè)人信息處理者通過明示同意方式處理個(gè)人信息,加強(qiáng)對(duì)用戶個(gè)人信息的保護(hù)。
四 相關(guān)標(biāo)準(zhǔn)情況
除法律法規(guī)外,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)、中國通信標(biāo)準(zhǔn)化協(xié)會(huì)和電信終端產(chǎn)業(yè)協(xié)會(huì)分別制定了“告知-同意”相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和團(tuán)體標(biāo)準(zhǔn)。其中,GB/T 42574-2023《信息安全技術(shù)個(gè)人信息處理告知同意實(shí)施指南》對(duì)個(gè)人信息處理者在不同場(chǎng)景下處理個(gè)人信息過程中的“告知-同意”給出了頂層的實(shí)施參考框架;行業(yè)標(biāo)準(zhǔn)和團(tuán)體標(biāo)準(zhǔn)則更多針對(duì)移動(dòng)互聯(lián)網(wǎng)的特定業(yè)務(wù)場(chǎng)景提出“告知-同意”相關(guān)要求。本文選取兩項(xiàng)代表性國家標(biāo)準(zhǔn)予以解讀,更細(xì)分領(lǐng)域和場(chǎng)景下的“告知-同意”要求常被其他行業(yè)或團(tuán)體標(biāo)準(zhǔn)覆蓋,如需詳細(xì)了解需要參與或查閱相關(guān)標(biāo)準(zhǔn)編制進(jìn)展。
GB/T 42574-2023《信息安全技術(shù)個(gè)人信息處理中告知和同意的實(shí)施指南》給出了個(gè)人信息處理者處理個(gè)人信息時(shí),向主體告知處理規(guī)則、取得個(gè)人同意的實(shí)施方法和步驟,是第一個(gè)對(duì)“告知-同意”進(jìn)行細(xì)化并給出了具體實(shí)施參考的國家標(biāo)準(zhǔn)。
圖4“指南”中“告知-同意”相關(guān)標(biāo)準(zhǔn)要求
GB/T 41391-2022《信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)收集個(gè)人信息基本要求》(以下簡稱“基本要求”)雖然發(fā)布時(shí)間早于“指南”,但其基本原則與細(xì)化要求均與“指南”一致。其6.4節(jié)對(duì)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(APP)收集個(gè)人信息的告知同意要求進(jìn)行了規(guī)定,從APP的服務(wù)類型、功能類型延伸至必要個(gè)人信息和非必要個(gè)人信息。除了要求APP顯著通知(彈窗、圖文、動(dòng)畫)隱私政策核心內(nèi)容外,“基本要求”還要求APP向用戶明示APP基本業(yè)務(wù)功能、擴(kuò)展業(yè)務(wù)功能和必要個(gè)人信息范圍,顯著區(qū)分必要和非必要個(gè)人信息。具體包括:必要個(gè)人信息和非必要個(gè)人信息的拆分同意;同意收集必要信息時(shí),保障可拒絕同意或撤回同意非必要信息收集,并不就此影響App基本功能的使用;不能通過捆綁不同類型服務(wù)、捆綁擴(kuò)展業(yè)務(wù)功能誘導(dǎo)、強(qiáng)迫用戶一次性同意個(gè)人信息收集請(qǐng)求。
圖5“基本要求”中“告知-同意”相關(guān)標(biāo)準(zhǔn)要求
五 結(jié)語
綜上,在“指南”國標(biāo)的頂層框架之下,更多個(gè)人信息保護(hù)合規(guī)標(biāo)準(zhǔn)已將“告知-同意”原則從一種基于隱私政策的基本要求,逐步落地為涉及用戶個(gè)人信息處理多個(gè)環(huán)節(jié)的詳盡規(guī)定。標(biāo)準(zhǔn)的細(xì)化有助于增強(qiáng)用戶對(duì)個(gè)人信息流向和使用的理解和控制,從而更加有效地保護(hù)用戶權(quán)益。對(duì)于個(gè)人信息處理者而言,需要建立更加精細(xì)、透明的用戶個(gè)人信息管理機(jī)制,提高技術(shù)和管理水平,加強(qiáng)用戶交互,在確保用戶良好體驗(yàn)的同時(shí)做好個(gè)人信息保護(hù),共同維護(hù)健康的數(shù)字生態(tài)。
參考文獻(xiàn)
【1】GB/T 42574-2023信息安全技術(shù)個(gè)人信息處理中告知和同意的實(shí)施指南
【2】T/CLAST 001-2021T/CLAST 001-2021個(gè)人信息處理法律合規(guī)性評(píng)估指引第1部分:概述和術(shù)語
【3】工業(yè)和信息化部關(guān)于開展信息通信服務(wù)感知提升行動(dòng)的通知(工信部信管函〔2021〕292號(hào))https://www.gov.cn/zhengce/zhengceku/2021-11/06/content_5649420.htm
【4】關(guān)于進(jìn)一步提升移動(dòng)互聯(lián)網(wǎng)應(yīng)用服務(wù)能力的通知(工信部信管函〔2023〕26號(hào))https://www.gov.cn/zhengce/zhengceku/2023-03/02/content_5744106.htm
【5】韓旭至.個(gè)人信息保護(hù)中告知同意的困境與出路——兼論《個(gè)人信息保護(hù)法(草案)》相關(guān)條款[J].經(jīng)貿(mào)法律評(píng)論,2021,(01):47-59.
【6】萬方.隱私政策中的告知同意原則及其異化[J].法律科學(xué)(西北政法大學(xué)學(xué)報(bào)),2019,37(02):61-68.
【7】萬方.個(gè)人信息處理中的“同意”與“同意撤回”[J].中國法學(xué),2021,(01):167-188.
(本文作者:北京快手科技有限公司谷晨、落紅衛(wèi))