2023年5月23日,国家标准化管理委员会和国家市场监督管理总局联合发布了《GB/T42574-2023 信息安全技术个人信息处理中告知和同意的实施指南》(以下简称“《实施指南》”)。
个人信息收集和使用前的告知和同意如何落地实施一直是相关企业关注的重点。作为支撑个人信息保护相关法律法规落地的重要参考文件,该《实践指南》的颁布旨在通过技术语言和操作实例,对于告知和同意相关的合规义务进行拆解和阐释,从而在产品设计、交互界面等环节为企业合规实践提供指导。
本期为《实施指南》系列解读文章第三期“个人信息处理中的同意”。
在就同意的适用情形与基本原则作了整体阐述后,《实践指南》进一步就同意的具体实施提供了详细的指引。结合《实践指南》要求,我们建议个人信息处理者通过如下步骤实施同意。
1. 梳理个人信息处理活动
梳理个人信息处理活动,明确以同意为合法性基础的个人信息处理活动;
梳理单独同意清单,使之包含法律法规明确要求采取单独同意的情形,以及评估后认为可能对个人权益带来重大影响的个人信息处理活动,并不断更新;
梳理书面同意清单,使之包含法律法规明确要求采取书面同意的情形以及评估后认为需要进行增强存证或存档、加强证据固定效果等的个人信息处理活动,并不断更新。
2. 选择同意机制
为以同意为合法性基础的个人信息处理活动选择适当的同意机制。
《实施指南》明确,同意的获取原则上须采取明示同意的方式,如需通过推定方式获取同意,应同时满足:
取得明示同意存在显著困难(间接获取个人信息不一定属于此类),一旦具备执行明示同意条件,须告知撤回同意方式或重新取得明示同意;
经个人信息保护影响评估(PIA)确认个人信息的处理不会对个人权益造成不利影响,如经个人投诉、举报称对其权益造成不利影响,确认后应立即中止相关个人信息处理活动;
已进行告知;
不影响个人信息主体撤回同意;
不属于需取得单独同意或书面同意的情况。
如下情形通常可推定为个人对个人信息处理活动表示同意:
确认个人已被告知后,个人主动执行提供信息的操作;
个人已被明确告知其特定行为将导致信息收集后,个人未主动表示拒绝或未改变活动状态(如个人已被告知通话将被录音而继续保持通话);
可推断个人已知正常使用产品或服务所需收集的必要个人信息,个人虽未主动作出明示同意的操作,但在直接使用产品或服务时发生了收集个人信息的行为;
产品或服务进行升级、更新后,个人信息处理规则发生了变化,但个人自行更换了联系方式,且如果中止处理个人信息将可能导致个人权益受到损害。
3. 设计并实施同意获取与拒绝方案
结合产品服务特征及个人信息处理活动内容,设计具体的同意获取方案。如处理个人信息可能对个人权益造成重大影响的,可同时使用多种方式确保个人充分知情;处理个人信息可能对个人权益造成长期影响的,可采用限制同意期限或范围的方式。
值得关注的是,《实践指南》指出在特定场景下,也可合并获取单独同意:
为实现某一特定目的需要同时处理多项敏感个人信息的;
为实现某一特定目的需要同时处理多个主体的敏感个人信息的(拆分后无法达成目的);
为实现某一特定目的涉及收集、使用、提供等多个敏感个人信息处理活动的(拆分后无法达成目的);
向多个其他个人信息处理者提供个人信息,如提供个人信息的目的、方式、种类等一致,提供过程同时或同一场景发生的。
实施具体要点如下表所示。
4. 设计并实施撤回同意方案
《实施指南》细化明确了系列撤回同意实施要点。其中,个人信息处理者需重点关注:
便捷形式,采取与获取同意过程类似的方法设置撤回同意的机制;
从个人的实际需求和产品或服务的特点出发设置颗粒度,如因客观条件限制、撤回后对个人使用产品或服务的安全性等造成严重影响等情形,宜向个人详细说明无法直接撤回同意的理由,同时提供注销账号、停止使用产品或服务后整体删除数据等可行的方式以达到撤回同意的效果;
以一般告知形式说明撤回场景及操作方法,可能对个人权益造成重大影响的,可在具体场景中即时提示;
个人提出撤回请求时,可验证其身份,并在承诺时限内(不超过 15 日)完成,如以交互式界面方式撤回的,需立即在后台处理;
与删除或匿名化相关个人信息机制衔接,如被撤回同意的个人信息处理活动相关的个人信息被用于其他已同意的处理目的,可视技术条件决定限制处理目的或独立删除。
5. 作为证据留存同意
为应对有关司法活动及监管部门的审查,个人信息处理者可进一步留存取得个人同意过程的证据。
相关证据包括设计并实施告知和同意方案的记录、与个人关联的同意记录、不同时期发布的需取得个人同意的个人信息处理规则、第三方个人信息处理者的相关信息(如其个人信息处理规则、双方协议、尽职调查记录、个人信息跨境认证等)等,且需注意对此类证据的处理亦须遵循最小必要、目的限制、数据安全保护等原则要求。
《实践指南》进一步建议留存证据不少于三年。
《GB/T 42574-2023 信息安全技术 个人信息处理中告知和同意的实施指南》(三)
作者:中伦数据团队来源:TMT法律论坛

2023年5月23日,国家标准化管理委员会和国家市场监督管理总局联合发布了《GB/T42574-2023 信息安全技术个人信息处理中告知和同意的实施指南》(以下简称“《实施指南》”)。