We take your personal privacy very seriously and when you visit our website, please agree to all cookies used. Further information on the processing of personal data is available at《Privacy Policy 》

企业个人信息处理合规实务系列(一)告知和同意

release time 2023.09.22 author 杨澜波 李琦



近期,我们刚为客户提供个人信息合规及出境相关配套法律服务,包括帮助企业评估个人信息收集和处理是否满足合规要求、判断个人信息是否需本地化存储以及个人信息的出境路径选择、协助准备个人信息保护影响评估报告、准备个人信息处理规则(告知)和同意书等。

企业不可避免地在日常经营过程中会涉及处理各类主体的个人信息,例如企业需要处理员工、劳务人员的个人信息,业务开展过程中也会涉及处理合作伙伴联系人的信息,企业也可能涉及从第三方获取相关个人信息或委托第三方处理个人信息的情形,药械企业还会涉及处理患者个人信息、聘请的专家顾问个人信息,还可能会因集团内部的管理需要涉及数据出境。

《中华人民共和国个人信息保护法》(“《个保法》”)《数据出境安全评估办法》《个人信息出境标准合同办法》等相关法规对个人信息处理活动提出了明确的要求。2023年5月23日国家市场监督管理总局、国家标准化管理委员会发布的GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》(“《实施指南》”) ,将于2023年12月1日起实施。

根据相关法律法规的要求及相关指南,结合我们在服务客户过程中遇到的不同处理场景,我们推出本系列文章,对个人信息处理的注意事项和相关经验予以总结,希望对企业的个人信息合规工作提供指引和帮助。“告知-同意”是个人信息处理的核心内容之一,在不同场景下对是否以及如何履行“告知-同意”需要格外关注,因此本系列第一篇将解读个人信息处理中告知-同意的关系、适用的情形以及需要注意的要点、遵循的基本原则。


一、告知与同意的关系


在讨论是否以及如何履行告知、取得个人同意之前,需要先明确告知与同意二者之间的关系,这有利于帮助理解个人信息处理中告知同意的整体思路。

企业首先需要考虑企业处理个人信息是否具备合法基础企业是否可以处理个人信息。根据《个保法》第13条,有如下七类合法基础,取得个人同意是其中之一,当存在其它合法基础,处理个人信息无需取得同意


(一)取得个人同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。

关于“告知”,原则上企业应当在处理个人信息之前向个人告知相关的事项,以充分保证个人的知情权,即事先告知。《个保法》同时也规定了例外情形:有法律、行政法规规定应当保密或者不需要告知的情形,可以不向个人告知;紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。[1]


因此,告知和同意其实是两项不同的要求,更多情形下两项要求均需要履行,即需要在告知基础上取得同意。特定情形可能只需告知无需同意,例外情形中不需要事前告知个人也不需要个人同意。



二、告知和同意的适用情形


《实施指南》将需要履行告知的适用情形分为4类:收集个人信息,提供、公开个人信息处理活动等发生变更,以及其他情形并在此分类基础上结合实践具体列举出各自的特定情形,涉及下述1、2、3a)-e)、4a)-d)中的情形,企业处理个人信息前,除有上述一中(二)-(七)所列情形外,需在告知的基础上取得同意(如下表)[2]此种列举的方式可以涵盖企业日常经营中涉及的大部分个人信息处理情形,有助于企业判断是否需要履行告知、取得同意,更准确地将相关要求应用于实践,从而更有效地推进个人信息保护合规工作。


告知的适用情形

需同意


1.收集个人信息

a) 通过个人填写、勾选、上传等方式收集个人信息


b) 通过软件程序或硬件设备等自动采集个人信息

c) 与个人交互并记录个人的行为

d) 从第三方间接获取个人信息

e) 从非完全公开渠道获取个人信息

f) 从与个人相关的他人账号收集个人信息

g) 使用大数据、人工智能等技术分析、关联或生成个人信息


2.提供、公开个人信息

a) 向其他个人信息处理者提供个人信息

b) 向境外提供个人信息

c) 在一定范围内或向不特定范围公开个人信息

d) 因合并、分立、解散、被宣告破产等原因转移个人信息


3.处理活动等发生变更

a) 个人信息的处理目的、处理方式发生变更

b) 处理的个人信息种类发生变更

c) 因合并、分立、解散、被宣告破产等原因转移个人信息,接收方变更原先的处理目的、处理方式的

d) 向其他个人信息处理者提供其处理的个人信息,接收方变更原先的处理目的、处理方式的

e) 公开的范围发生变更,如从一定范围内公开变为向不特定范围公开

f) 个人信息的保存期限延长

×

g) 个人信息处理者的名称或者姓名和联系方式发生变更

h) 个人行使其权利的方式和程序发生变更


4.其他情形

a) 两个及以上的个人信息处理者共同决定个人信息的处理目的和处理方式的

b) 在产品或服务中接入需处理个人信息的其他个人信息处理者的产品或服务的

c) 处理的个人信息涉及该个人以外的其他人的

d) 处理已公开的个人信息,对个人权益有重大影响的

e) 停止运营某类业务功能,或停止运营产品或服务时

×

f) 个人行使权利,可能对其权益产生影响的

g) 发生或者可能发生个人信息泄露、篡改、丢失等安全事件时

h) 无需取得个人同意,具备其余合法基础情形




三、告 知


1、需要告知什么事项?




个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:个人信息处理者的名称或者姓名和联系方式;处理目的、处理方式、处理的个人信息种类、保存期限;个人行使《个保法》规定权利的方式和程序;以及法律、行政法规规定应当告知的其他事项。前述事项发生变更,应当将变更部分告知个人。[3]涉及处理敏感个人信息的,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。[4]


2、采用何种方式告知?




《实施指南》提供了一般告知、增强告知、即时提示三种方式[5],并明确每类适用告知的特定情形下应当告知的内容,以及如何选择一般告知、增强告知和即时告知作为合适的告知方式[6]企业可以结合自身业务功能的特点,适当选择一种或多种方式的组合进行告知。

一般告知主要是在收集个人信息前向个人全面阐述个人信息处理规则,通常采用制定、展示个人信息处理规则(或称“隐私政策”等)的形式进行告知,适用于所有情形下的个人信息处理。

增强告知则需要凸显出与一般告知的差异。从告知内容来说,主要是在一般告知的基础上,对其中的关键内容或特定业务相关的关键规则予以解释,更方便直接阅读,也便于个人理解。从告知方式来说,通常以设置专门界面或单独步骤这些个人无法绕过的方式向个人直接送达关键内容,使个人更易获取其中的关键处理规则,从而协助个人对特定场景下的个人信息处理做出是否同意的决定。

即时提示通常用于个人信息处理活动发生的当时或仅需告知的情形,通过弹窗、提示条、状态栏提示等方式向个人及时、有效地传达告知内容,进一步强化个人对收集个人信息的目的的理解、方便个人获取有价值的信息。


四、同 意


在明确告知与同意的关系以及如何履行告知之后,我们在此基础上进一步讨论取得个人同意的相关具体要求。


1、哪些事项需要同意?




根据《个保法》,个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。[7]也就是说,前述事项一旦发生变更,需要重新履行告知同意程序保障个人权益,上述内容以外的告知事项发生变更,则无需取得个人同意。这也是《实施指南》明确不涉及上述内容变更的部分场景无需取得同意的原因(如上述二中的表格所示)。


2、明示同意




原则上,《个保法》要求取得个人同意应当在个人充分知情的前提下自愿、明确作出,也即明示同意。[8]例如个人通过主动作出声明,或者自主作出肯定性动作(主动勾选、主动填写或提供)来表示其作出明确授权。[9]以明示同意为原则的原因是,避免采取被动接受、默认选择的方式,导致个人忽略对个人信息处理规则的关注,目的也是为了充分保障个人的知情权。

考虑到实践中存在一些确实难以获取明示同意的场景,《实施指南》也提出了可以获取推定同意的特定情形。所谓推定同意,是指个人因客观条件限制、个人自身习惯、保护各方合法利益等原因无法表达明示同意,但通过对个人行为的分析,可以推定出个人表示同意。[10]由于使用推定同意其实是跳过了个人明确表达同意这一步骤,因此使用此种方式取得个人同意的条件比较苛刻,需要同时满足四个条件:(1)取得明示同意存在显著困难;(2)经个人信息保护影响评估确认个人信息的处理不会对个人权益造成不利影响;(3)采取了适当的方式向个人告知了个人信息处理规则;(4)被推定为个人同意的情形不影响个人行使撤回同意的权利(详见《实施指南》第9.1.2条及附录N可推定为同意的情形示例),并且当具备取得明示同意的条件时,需向个人告知撤回推定同意的方式,或者重新取得个人的明示同意。从上述四个条件可以看出,所有的限制都是为了确保采用推定同意没有侵害个人的合法权益,可以理解为是在不得已的情形下所做的必要变通。所以,企业需要密切关注客观条件的变化,在具备明示条件的情形下,及时补充取得明示同意。


3、单独同意和书面同意




根据《个保法》,特定情形下对处理个人信息取得同意的类型有要求的,则按照规定的要求取得单独同意或书面同意。[11]不以取得个人同意作为合法基础的,则不涉及单独同意和书面同意。

《个保法》要求向他人提供个人信息、公开个人信息、在公共场所收集个人信息用于维护公共安全之外的目的、处理敏感个人信息以及向境外提供个人信息这五类情形,需要取得个人的单独同意[12]单独同意是一种增强的“同意”方式,是针对法律法规规定的特定个人信息处理情形或者可能对个人权益带来重大影响的个人信息处理活动,在充分履行告知义务后,取得个人单独同意。

书面同意是指针对法律法规要求取得个人书面同意的情形或者个人信息处理者认为需要以书面形式取得个人同意的情形,需以纸质或数字电文等方式有形地表现所载内容,并由个人通过主动签名、签章等形式取得个人同意[13],采用勾选、点击确认、同意等方式不是书面同意。法律法规要求取得个人书面同意的情形包括:在广告中使用他人名义或者形象,采集人类遗传资源,用人单位公开劳动者的个人信息等情形。此外,受委托处理个人信息的主体,若转委托其他主体处理个人信息,宜取得委托方的书面同意。

《实施指南》第9.2、9.3和9.4条分别明确了同意、单独同意和书面同意实施要点,单独同意和书面同意是同意的特殊类型,除了需要关注通用的同意实施要点外,还需要关注各自的特别要求。我们将在后续系列文章的实务场景中介绍相应的同意与相应的实施要点。



五、告知与同意的基本原则


在《个保法》对个人信息处理活动所规定的合法、正当、必要、诚信、公开、透明原则的基础上[14],《实施指南》对于告知和同意提出了更为细化的原则要求,并指出在实施告知和同意时宜考虑的因素,优化告知和同意的方案和机制,将这些原则贯穿体现于履行告知-同意的具体要求中。[15]



原则/要素

具体内容

告知的基本

公开透明

公布处理个人信息的种类、目的、方式、安全措施等处理规则,不采取故意遮挡、隐藏等方式诱导个人略过告知内容

有效传达

尽可能通过交互式界面、邮件、电话或短信等方式向相关个人进行告知

适时充分

在收集、提供、公开等个人信息处理活动发生之前或同时,对个人进行充分告知

真实明确

告知个人信息的处理种类、目的、方式等规则与实际情况一致,且需结合实际业务功能,不使用笼统、宽泛的表述

清晰易懂

告知文本符合个人的语言习惯,使用通用且无歧义的语言、数字、图示等

同意的基本原则

告知一致

取得同意的范围不超出所告知的内容

自主选择

支持个人通过自行操作的方式作出同意,不使用默认勾选的方式取得同意

时机恰当

在个人信息收集行为发生前,且同步传达告知内容时,取得个人同意,以增进个人对业务功能与所收集的个人信息之间关联性的理解

避免捆绑

区分产品或服务的业务功能,不采用捆绑方式强迫个人一次性同意多种业务功能可能收集的个人信息或多个处理活动;个人拒绝同意时,不影响与该个人信息无关的业务功能的正常使用

实施告知和同意宜考虑的要素

友好展示

使用友好、生动、形象的方式编辑告知内容,优化告知内容组织形式,以促进个人理解

适配媒体

告知内容、展示形式、取得同意的方式等可根据告知媒体的种类、界面特点进行适应性设计,如适宜的字型大小、字体颜色、额外的震动和语音提示等

考虑影响

设计告知和同意方案时,可考虑个人信息处理活动对个人权益的影响程度以及个人的体验、习惯、合理预期等因素

区分阶段

根据个人使用产品或服务的不同阶段及交互场景,选用个人信息保护政策、弹窗提示、文字说明等不同的告知和同意方案

兼顾差异

考虑复杂多样的网络条件、软硬件差异、个人的知识水平和理解能力、身体机能差异等,使用可广泛适用且兼顾特定群体的告知和同意方案



六、结 语


本篇我们在明确告知与同意的关系基础上,初步解读了告知和同意的适用场景,以及告知和同意各自需要注意的要点、遵循的基本原则。后续我们将结合特定场景介绍企业涉及处理不同类型主体个人信息的相关合规要求,敬请关注。


注释及参考文献


1、《中华人民共和国个人信息保护法》第十七条、第十八条

2、GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》第5条、第6条

3、《中华人民共和国个人信息保护法》第十七条

4、《中华人民共和国个人信息保护法》第三十条

5、GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》第8.1条

6、GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》第8.2条

7、《中华人民共和国个人信息保护法》第十四条第二款

8、《中华人民共和国个人信息保护法》第十四条第一款

9、GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》第3.6条、第9.1.1条

10、GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》第9.1.2条

11、《中华人民共和国个人信息保护法》第十四条第一款

12、《中华人民共和国个人信息保护法》第二十三条、第二十五条、第二十六条、第二十九条、第三十九条

13、GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》第9.4条

14、《中华人民共和国个人信息保护法》第五条、第七条

15、GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》第7条