近期,我们刚为客户提供个人信息合规及出境相关配套法律服务,包括帮助企业评估个人信息收集和处理是否满足合规要求、判断个人信息是否需本地化存储以及个人信息的出境路径选择、协助准备个人信息保护影响评估报告、准备个人信息处理规则(告知)和同意书等。
企业不可避免地在日常经营过程中会涉及处理各类主体的个人信息,例如企业需要处理员工、劳务人员的个人信息,业务开展过程中也会涉及处理合作伙伴联系人的信息,企业也可能涉及从第三方获取相关个人信息或委托第三方处理个人信息的情形,药械企业还会涉及处理患者个人信息、聘请的专家顾问个人信息,还可能会因集团内部的管理需要涉及数据出境。
《中华人民共和国个人信息保护法》(“《个保法》”)《数据出境安全评估办法》《个人信息出境标准合同办法》等相关法规对个人信息处理活动提出了明确的要求。2023年5月23日国家市场监督管理总局、国家标准化管理委员会发布的GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》(“《实施指南》”) ,将于2023年12月1日起实施。
根据相关法律法规的要求及相关指南,结合我们在服务客户过程中遇到的不同处理场景,我们推出本系列文章,对个人信息处理的注意事项和相关经验予以总结,希望对企业的个人信息合规工作提供指引和帮助。“告知-同意”是个人信息处理的核心内容之一,在不同场景下对是否以及如何履行“告知-同意”需要格外关注,因此本系列第一篇将解读个人信息处理中告知-同意的关系、适用的情形以及需要注意的要点、遵循的基本原则。
企业首先需要考虑企业处理个人信息是否具备合法基础,即企业是否可以处理个人信息。根据《个保法》第13条,有如下七类合法基础,“取得个人同意”是其中之一,当存在其它合法基础时,处理个人信息无需取得同意:
关于“告知”,原则上企业应当在处理个人信息之前向个人告知相关的事项,以充分保证个人的知情权,即事先告知。《个保法》同时也规定了例外情形:有法律、行政法规规定应当保密或者不需要告知的情形,可以不向个人告知;紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。[1]
因此,告知和同意其实是两项不同的要求,更多情形下两项要求均需要履行,即需要在告知基础上取得同意。特定情形可能只需告知无需同意,例外情形中不需要事前告知个人也不需要个人同意。
《实施指南》将需要履行告知的适用情形分为4类:收集个人信息,提供、公开个人信息,处理活动等发生变更,以及其他情形,并在此分类基础上结合实践具体列举出各自的特定情形,涉及下述1、2、3a)-e)、4a)-d)中的情形,企业处理个人信息前,除有上述一中(二)-(七)所列情形外,需在告知的基础上取得同意(如下表)。[2]此种列举的方式可以涵盖企业日常经营中涉及的大部分个人信息处理情形,有助于企业判断是否需要履行告知、取得同意,更准确地将相关要求应用于实践,从而更有效地推进个人信息保护合规工作。
告知的适用情形 | 需同意 | |
1.收集个人信息 | a) 通过个人填写、勾选、上传等方式收集个人信息 | √ |
b) 通过软件程序或硬件设备等自动采集个人信息 | ||
c) 与个人交互并记录个人的行为 | ||
d) 从第三方间接获取个人信息 | ||
e) 从非完全公开渠道获取个人信息 | ||
f) 从与个人相关的他人账号收集个人信息 | ||
g) 使用大数据、人工智能等技术分析、关联或生成个人信息 | ||
2.提供、公开个人信息 | a) 向其他个人信息处理者提供个人信息 | √ |
b) 向境外提供个人信息 | ||
c) 在一定范围内或向不特定范围公开个人信息 | ||
d) 因合并、分立、解散、被宣告破产等原因转移个人信息 | ||
3.处理活动等发生变更 | a) 个人信息的处理目的、处理方式发生变更 | √ |
b) 处理的个人信息种类发生变更 | ||
c) 因合并、分立、解散、被宣告破产等原因转移个人信息,接收方变更原先的处理目的、处理方式的 | ||
d) 向其他个人信息处理者提供其处理的个人信息,接收方变更原先的处理目的、处理方式的 | ||
e) 公开的范围发生变更,如从一定范围内公开变为向不特定范围公开 | ||
f) 个人信息的保存期限延长 | × | |
g) 个人信息处理者的名称或者姓名和联系方式发生变更 | ||
h) 个人行使其权利的方式和程序发生变更 | ||
4.其他情形 | a) 两个及以上的个人信息处理者共同决定个人信息的处理目的和处理方式的 | √ |
b) 在产品或服务中接入需处理个人信息的其他个人信息处理者的产品或服务的 | ||
c) 处理的个人信息涉及该个人以外的其他人的 | ||
d) 处理已公开的个人信息,对个人权益有重大影响的 | ||
e) 停止运营某类业务功能,或停止运营产品或服务时 | × | |
f) 个人行使权利,可能对其权益产生影响的 | ||
g) 发生或者可能发生个人信息泄露、篡改、丢失等安全事件时 | ||
h) 无需取得个人同意,具备其余合法基础情形 |
1、需要告知什么事项?
2、采用何种方式告知?
即时提示通常用于个人信息处理活动发生的当时或仅需告知的情形,通过弹窗、提示条、状态栏提示等方式向个人及时、有效地传达告知内容,进一步强化个人对收集个人信息的目的的理解、方便个人获取有价值的信息。
在明确告知与同意的关系以及如何履行告知之后,我们在此基础上进一步讨论取得个人同意的相关具体要求。
1、哪些事项需要同意?
根据《个保法》,个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。[7]也就是说,前述事项一旦发生变更,需要重新履行告知同意程序保障个人权益,上述内容以外的告知事项发生变更,则无需取得个人同意。这也是《实施指南》明确不涉及上述内容变更的部分场景无需取得同意的原因(如上述二中的表格所示)。
2、明示同意
考虑到实践中存在一些确实难以获取明示同意的场景,《实施指南》也提出了可以获取推定同意的特定情形。所谓推定同意,是指个人因客观条件限制、个人自身习惯、保护各方合法利益等原因无法表达明示同意,但通过对个人行为的分析,可以推定出个人表示同意。[10]由于使用推定同意其实是跳过了个人明确表达同意这一步骤,因此使用此种方式取得个人同意的条件比较苛刻,需要同时满足四个条件:(1)取得明示同意存在显著困难;(2)经个人信息保护影响评估确认个人信息的处理不会对个人权益造成不利影响;(3)采取了适当的方式向个人告知了个人信息处理规则;(4)被推定为个人同意的情形不影响个人行使撤回同意的权利(详见《实施指南》第9.1.2条及附录N可推定为同意的情形示例),并且当具备取得明示同意的条件时,需向个人告知撤回推定同意的方式,或者重新取得个人的明示同意。从上述四个条件可以看出,所有的限制都是为了确保采用推定同意没有侵害个人的合法权益,可以理解为是在不得已的情形下所做的必要变通。所以,企业需要密切关注客观条件的变化,在具备明示条件的情形下,及时补充取得明示同意。
3、单独同意和书面同意
《实施指南》第9.2、9.3和9.4条分别明确了同意、单独同意和书面同意实施要点,单独同意和书面同意是同意的特殊类型,除了需要关注通用的同意实施要点外,还需要关注各自的特别要求。我们将在后续系列文章的实务场景中介绍相应的同意与相应的实施要点。
在《个保法》对个人信息处理活动所规定的合法、正当、必要、诚信、公开、透明原则的基础上[14],《实施指南》对于告知和同意提出了更为细化的原则要求,并指出在实施告知和同意时宜考虑的因素,优化告知和同意的方案和机制,将这些原则贯穿体现于履行告知-同意的具体要求中。[15]
原则/要素 | 具体内容 | |
告知的基本原则 | 公开透明 | 公布处理个人信息的种类、目的、方式、安全措施等处理规则,不采取故意遮挡、隐藏等方式诱导个人略过告知内容 |
有效传达 | 尽可能通过交互式界面、邮件、电话或短信等方式向相关个人进行告知 | |
适时充分 | 在收集、提供、公开等个人信息处理活动发生之前或同时,对个人进行充分告知 | |
真实明确 | 告知个人信息的处理种类、目的、方式等规则与实际情况一致,且需结合实际业务功能,不使用笼统、宽泛的表述 | |
清晰易懂 | 告知文本符合个人的语言习惯,使用通用且无歧义的语言、数字、图示等 | |
同意的基本原则 | 告知一致 | 取得同意的范围不超出所告知的内容 |
自主选择 | 支持个人通过自行操作的方式作出同意,不使用默认勾选的方式取得同意 | |
时机恰当 | 在个人信息收集行为发生前,且同步传达告知内容时,取得个人同意,以增进个人对业务功能与所收集的个人信息之间关联性的理解 | |
避免捆绑 | 区分产品或服务的业务功能,不采用捆绑方式强迫个人一次性同意多种业务功能可能收集的个人信息或多个处理活动;个人拒绝同意时,不影响与该个人信息无关的业务功能的正常使用 | |
实施告知和同意宜考虑的要素 | 友好展示 | 使用友好、生动、形象的方式编辑告知内容,优化告知内容组织形式,以促进个人理解 |
适配媒体 | 告知内容、展示形式、取得同意的方式等可根据告知媒体的种类、界面特点进行适应性设计,如适宜的字型大小、字体颜色、额外的震动和语音提示等 | |
考虑影响 | 设计告知和同意方案时,可考虑个人信息处理活动对个人权益的影响程度以及个人的体验、习惯、合理预期等因素 | |
区分阶段 | 根据个人使用产品或服务的不同阶段及交互场景,选用个人信息保护政策、弹窗提示、文字说明等不同的告知和同意方案 | |
兼顾差异 | 考虑复杂多样的网络条件、软硬件差异、个人的知识水平和理解能力、身体机能差异等,使用可广泛适用且兼顾特定群体的告知和同意方案 |
本篇我们在明确告知与同意的关系基础上,初步解读了告知和同意的适用场景,以及告知和同意各自需要注意的要点、遵循的基本原则。后续我们将结合特定场景介绍企业涉及处理不同类型主体个人信息的相关合规要求,敬请关注。
1、《中华人民共和国个人信息保护法》第十七条、第十八条
2、GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》第5条、第6条
3、《中华人民共和国个人信息保护法》第十七条
4、《中华人民共和国个人信息保护法》第三十条
5、GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》第8.1条
6、GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》第8.2条
7、《中华人民共和国个人信息保护法》第十四条第二款
8、《中华人民共和国个人信息保护法》第十四条第一款
9、GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》第3.6条、第9.1.1条
10、GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》第9.1.2条
11、《中华人民共和国个人信息保护法》第十四条第一款
12、《中华人民共和国个人信息保护法》第二十三条、第二十五条、第二十六条、第二十九条、第三十九条
13、GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》第9.4条
14、《中华人民共和国个人信息保护法》第五条、第七条
15、GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》第7条
-
lanboyang@hengtai-law.com
-
021-68816261
-
Corporate and M&A/Private Equity and Investment Funds/Dispute Resolution/Healthcare and Life Sciences/Compliance
-
Chinese、English