目前我国数据立法的结构,总体而言即以《国家安全法》作为我国数据立法的基石,在此基石之下,《网络安全法》《数据安全法》《个人信息保护法》成为规制数据安全的“三驾马车”,在这三部法律之下,又有《信息安全技术 个人信息安全规范》《数据安全技术 数据出境安全评估指南》《数据出境安全评估办法》《个人信息出境标准合同规定》《个人信息保护认证实施规则》等多部规范性文件对“三驾马车”进行细化规定。

  我国数据保护立法虽相对而言起步较晚,但发展迅速,相关合规问题亦呈现“井喷式”爆发趋势,这其中涉及个人信息数据“单独同意”的问题尤为突出。飒姐法律团队在此简要梳理《个人信息保护法》中要求的个人信息“单独同意”的情形,并提供相应的注意事项。

  一、什么是单独同意?

  《个人信息保护法》第十三条规定了个人信息处理者处理个人信息的七项条件,即:

  (一)取得个人的同意;

  (二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

  (三)为履行法定职责或者法定义务所必需;

  (四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

  (五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

  (六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;

  (七)法律、行政法规规定的其他情形。

  根据该法条的规定,个人信息处理者处理个人信息的过程符合第(二)至第(七)这六项条件中的任何一项的时候,就可以不经个人的同意而处理个人信息,反之,则必须得到个人的同意。这就是《个人信息保护法》规定的个人信息处理的“个人同意”制度。

  《个人信息保护法》第十三条第(一)项规定的同意存在多种形式,如“口头同意”“书面同意”“一揽子同意”“单独同意”等。如果个人信息的处理者符合该条第(二)至第(七)项中的任意一项规定,其处理个人信息就不需要经过个人同意,自然也不存在究竟要采取哪种同意方式的问题,反之就必须要注意同意的方式。

  目前,《个人信息保护法》并未对“单独同意”的含义做出具体解释,在实务中,一般认为单独同意就是“一揽子”同意的对称,所谓“一揽子同意,”举例而言就是当用户只需要采取一个动作(如在手机APP中点击一个“√”)即一次性针对多项个人信息、多种处理活动进行同意,该种理解目前已经被《网络数据安全管理条例(征求意见稿)》所采纳。该“意见稿”第73条第(八)项规定,单独同意是指数据处理者在开展具体数据处理活动时,对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意。

  除了《网络数据安全管理条例(征求意见稿)》外,《信息安全技术 个人信息处理中告知和同意的实施指南》亦有关于“单独同意”的规定,该标准认为单独同意即“个人针对其个人信息进行特定处理活动而专门做出具体、明确的授权行为”。

  综上,虽然《个人信息保护法》并没有对“单独同意”的概念进行明确表述,但上述文件依然帮助我们在实务中处理需要“单独同意”的事项,至少可以帮助我们划定红线,即一次性针对多项(哪怕是两项)个人信息、处理活动的同意,均不能被认为是“单独同意”,单独同意一定是个人做出的专门、具体、明确的授权行为。

  二、哪些场景需要“单独同意”?

  根据《个人信息保护法》之规定,个人信息处理者在以下几种情形下,其处理个人信息时必须得到个人的单独同意:

  1.向第三方提供个人信息的场景

  根据《个人信息保护法》第二十三条之规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。

  2.公开个人信息

  根据《个人信息保护法》第二十五条之规定,个人信息处理者不得公开其处理的个人信息,但是取得个人单独同意的除外。

  简言之,个人信息处理者不公开其处理的个人信息是常态,如果需要公开,就必须要取得相应个人信息所指向的个人的单独同意。

  3.安装摄像头、人脸识别设备的情形

  根据《个人信息保护法》第二十六条之规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必须,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全目的,不得用于其他目的;取得个人单独同意的除外。

  简言之,在公共场所安装摄像头、人脸识别等设备,必须遵守国家规定且是为了维护公共安全所必须,而且还要设置显著的提示标识。倘若无法满足上述条件,那么就必须取得个人的单独同意,否则就是侵犯公民个人信息的违法行为。

  4.处理敏感个人信息

  根据《个人信息保护法》第二十九条之规定,处理敏感个人信息应当取得个人的单独同意;行政法规规定处理敏感个人应当取得书面同意的,从其规定。

  简言之,处理敏感个人信息一定要取得个人的单独同意,不仅如此某些敏感信息的取得还需要个人的书面同意。

  所谓敏感个人信息,《信息安全技术 个人信息安全规范》(GB/T 35273-2020)在其附录B中做了详细说明,该国标明确载明,个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康收到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息,这些敏感信息包括但不限于以下类型:

  5.数据出境

  根据《个人信息保护法》第三十九条之规定,个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。

  该条需要和《个人信息保护法》第二十三条加以区分,简言之,个人信息处理者向第三方提供个人信息时,如果该第三方是境内的其他个人信息处理者,则需要依据《个人信息保护法》第二十三条的规定取得单独同意,倘若第三方并非是“其他个人信息处理者(比如很可能是委托处理个人信息的第三方)”,则不需要依据个人信息保护法第二十三条取得单独同意。但倘若该第三方位于境外,则无论其法律地位如何,个人信息处理者都需要取得单独同意,且要做到《个人信息保护法》第二十三条和第三十九条规定的其他义务。

  三、合规要点

  在实践中,针对“单独同意”问题,目前互联网APP在不同的场景下合规要点亦不同:

  1.向第三方提供个人信息的场合,App在登陆注册时允许用户使用其他平台的账号进行登录,此时就会存在用户的账号信息在两个处理者之间共享。合规做法就是APP跳出弹窗(单独同意)页面,将账号信息授权事项明示告知用户,并征得用户对该共享的单独同意;

  2.公开个人信息的场合,这类场合相比第一类场合较为罕见,但也容易被忽视。实际上多数企业,尤其是互联网APP没有理由也不会公开其所收集的个人信息,但在极特殊的场景下,比如某APP公开抽奖活动的中奖人名单(涉及手机号、APP名称头像等),此时就必须在公开之前取得个人的单独同意;

  3.安装摄像头、人脸识别设备的场合,部分企业的门禁系统会涉及到人脸识别问题,倘若上述门禁系统被认为与维护公共安全无关,那就必须要征得员工的个人同意方可实施;

  4.处理敏感个人信息的场合,APP在涉及处理个人敏感信息的场合必须单独弹窗,这已经是合规惯例,较难以判断的是敏感信息的种类,在此飒姐团队提醒各位从业者务必仔细研读《信息安全技术 个人信息安全规范》(GB/T 35273-2020)附录B中的所有内容,以充分掌握何为敏感个人信息;

  5.在数据出境的场合,一定要注意其与《个人信息保护法》第二十三条规定的异同,尤其要注意提示个人向境外接收方行使本法规定权利的方式和程序等内容。

  四、写在最后

  单独同意是数据合规和个人信息保护的一项重中之重,正如前文所言,目前《个人信息保护法》并未对“单独同意”的概念及其实施标准做出明确规定,从目前来看,个人信息主体在个人信息跨境传输、公共场所安装监控或身份识别信息设备、敏感个人信息处理(如在线问诊等产品)等领域,履行与落实单独同意义务实仍有较大的改善空间,当然这无疑增大了合规的难度,飒姐团队建议涉及到个人信息处理的企业务必增强相关合规意识,在自己的APP中明确告知用户关键事项,保护用户的重要权益,增强自身业务合规性。

  作者介绍:

  肖飒律师团队,由北京大成律师事务所高级合伙人肖飒牵头,在数字资产、数据合规、金融科技等民商事业务领域,以及刑事合规、反腐败和反商业贿赂、网络安全犯罪等刑事业务领域有丰富的法律服务经验。

  团队负责人肖飒,系北京大成律师事务所高级合伙人,北京市律师协会数字经济与人工智能领域法律专业委员会副主任、法学博士、仲裁员,擅长数据合规、数字经济、刑事辩护、刑事合规、金融科技领域法律服务,曾代理国内NFT第一案二审、河南村镇银行系列案件,并为大型企业提供科技创新业务合规、金融创新业务合规法律服务。担任北京大学法学院法律硕士研究生实践指导老师、中国人民大学法学院法硕实务导师、中国政法大学法律硕士学院兼职导师等职务。荣登2023《中国知名企业法总推荐的律师》推荐名录、2024《中国知名企业法总推荐的优秀律师&律所》推荐名录年度客户精选律师。