《个人信息处理中告知和同意的实施指南》系列解读之告知内容

来源:观韬中茂律师事务所

文章摘要
2023年5月23日,国家标准化管理委员会和国家市场监督管理总局联合发布了《信息安全技术个人信息处理中告知和同意的实施指南》(GB/T 42574-2023)(以下简称“《实施指南》”),并将于202

2023年5月23日,国家标准化管理委员会和国家市场监督管理总局联合发布了《信息安全技术个人信息处理中告知和同意的实施指南》(GB/T 42574-2023)(以下简称“《实施指南》”),并将于2023年12月1日起正式实施。在前两期的系列解读中,我们已经详细介绍了“告知同意”规则的适用情形、基本原则、实施方式以及告知流程。本文将聚焦个人信息处理活动中的告知内容,从“告知”规则的立法概况出发,深入探讨不同处理环节和场景下的具体告知要求。
一、“告知”规则的立法概况
“告知”是指使个人知晓其个人信息处理活动及其有关规则的行为,在法律语言中,通常使用“公开规则”、“明示处理目的、方式和范围”等表述来明确告知的内容。在《个人信息保护法》(以下简称“《个保法》”)出台之前,许多法律法规、部门规章以及其他规范性文件已经以类似的语言规定了相关主体的告知义务和告知内容。这些规定从不同层面和视角对“告知”规则进行探索,旨在确保个人信息的安全处理,同时保障个人信息主体的知情权和隐私权。

规定名称
发布日期
内容
《电信和互联网用户个人信息保护规定》
2013.07.16
第九条电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。
《消费者权益保护法(2013修正)》
2013.10.25
第二十九条经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
《地图管理条例》
2015.11.26
第三十五条互联网地图服务单位收集、使用用户个人信息的,应当明示收集、使用信息的目的、方式和范围,并经用户同意。
互联网地图服务单位需要收集、使用用户个人信息的,应当公开收集、使用规则,不得泄露、篡改、出售或者非法向他人提供用户的个人信息。
《网络安全法》
2016.11.07
第四十一条网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
《民法典》
2020.05.28
第一千零三十五条处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;

随着2021年《个保法》的生效,“告知”规则相关的框架体系得到了进一步的完善。作为个人信息保护领域的首部单行立法,《个保法》明确了个人信息处理者在处理个人信息时的告知义务、告知事项、告知例外以及特殊场景下的不同告知要求,为 “告知”规则的执行提供了系统化的指导。
在《个保法》的背景下,“充分告知”是获得“有效同意”之前提,那么何种程度的告知属于“充分告知”呢?可以参考《个保法》第17条[1]的规定,其中包括以下告知事项:
个人信息处理者的名称或者姓名和联系方式;
个人信息的处理目的、处理方式,个人信息种类、保存期限;
个人行使本法规定权利的方式和程序;
法律法规规定的其他事项。
上述规定明确了个人信息处理者应向个人明确告知的内容,以确保个人能够充分了解其个人信息的处理方式和目的,并行使相关权利。然而,由于不同产品或服务提供的业务功能各不相同,所收集的个人信息种类、数量、敏感程度也存在差异,因此对于“充分告知”的具体标准可能会有所不同。为了回应公众对此问题的关切,《实施指南》第8.2条详细规定了涵盖个人信息处理全生命周期的告知内容,为企业履行告知义务提供重要的参考和指导。
二、告知的内容
《实践指南》针对《个保法》第17条“告知内容”作出了进一步的细化和补充,涵盖了个人信息的收集、提供、公开以及处理活动发生变更等不同情形,并在附录中详细列举了APP嵌入第三方SDK、公共场所、个性化推送等不同场景下的告知内容。以下将对不同环节和场景下的告知内容进行详细解读:
(一)收集个人信息
根据《实践指南》第8.2.1 a)条的规定,个人信息处理者在首次收集个人信息时,除了应告知《个保法》第17条规定的内容外,还应向个人告知与个人信息处理相关的安全措施(包括信息的加密、访问控制、数据备份等措施),并明确告知其处理个人询问、投诉的渠道和机制,以建立有效的沟通渠道,确保个人信息主体的权益得到充分保护。个人信息处理者还可以通过个人信息保护政策明确说明,当所处理的个人信息种类、处理目的、方式等发生变更时,会重新取得个人同意。这一做法有助于确保个人信息主体对信息处理的变更有充分的了解并可以自主决定其是否同意。
根据《实践指南》的具体要求,针对不同业务功能和不同的个人信息收集方式,需要进行特定的告知。其中,需重点关注以下几点:
1. 涉及自动采集个人信息的,说明自动采集个人信息的方式、时机、频次。
2. 涉及Cookies等同类技术(如脚本、点击流路径、网络信标等)收集个人信息,需简要说明相关机制,包括收集个人信息的目的、种类,拒绝或清除记录的方法等。
3. 涉及嵌入的第三方代码、插件(如SDK等)收集个人信息,说明第三方身份(名称、联系方式),及收集个人信息的种类、目的、方式等。如嵌入一个或多个SDK的,可采用表格等形式在其个人信息保护政策中逐一列举。对于SDK的个人信息处理规则,可以提供链接或其他方式,以便个人信息主体查看详细信息。

(来源:三星官方网站[2])
4. 以个人的操作视角,分步骤描述个人权利的实现机制。

(来源:微信官方网站[3])
5. 涉及使用自动化决策方式处理个人信息的,如经个人信息保护影响评估认为对个人权益可能产生重大影响,宜主动说明自动化决策的基本原理(例如采用了哪些算法或模型)、对个人权益的重大影响和拒绝自动化决策的方式。
最后,《实践指南》还规定了收集个人信息过程中应增强告知和即时提示的内容。
告知方式
告知情形
告知内容
增强告知
基本业务功能开启前
个人信息保护政策的章节结构(点击后可直接访问对应内容),基本业务功能所必需的个人信息种类,收集方式、目的等,以及处理个人询问、投诉的联系方式
使用扩展或新增业务功能
处理个人信息的关键规则,如当前业务功能所必需的个人信息种类,收集方式、目的等,以及与产品或服务的完整个人信息保护政策有所区别的内容
生物识别
处理个人生物识别信息的必要性、对个人权益的影响,处理目的、方式,以及保存期限等规则
间接获取个人信息
个人信息来源、需获取的个人信息种类及其必要性等
不满14周岁的未成年人个人信息
需要向未成年人的监护人告知收集个人信息的情形,以及收集未成年人个人信息的目的、必要性、监护人可代为行使的权利及实现机制等规则。
敏感个人信息
处理个人信息的目的、处理的必要性和对个人权益的影响
自动采集个人信息
采集个人信息的目的
即时提示
需个人予以配合的(如人脸识别时需要个人点头配合)
收集的具体时机、注意点等

(二)提供、公开个人信息
告知方式
告知情形
告知内容
一般告知
提供个人信息前
可能涉及的提供个人信息的场景,接收方的身份,提供的具体目的、方式,涉及的个人信息种类等。
接收方位于境外的,还需告知个人向境外接收方行使权利的具体方法以及个人信息出境所具备的条件(安全评估/保护认证/标准合同)。
增强告知
首次使用涉及提供个人信息的业务功能
接收方身份、提供的具体目的、涉及个人信息种类等规则
主动使用涉及向境外提供个人信息的业务功能
境外接收方的身份、出境目的、涉及个人信息的种类、具备的出境条件等
公开个人信息
公开的原因、涉及的个人信息种类、已采取的去标识化等安全措施、可能产生的影响
转移个人信息
接收方身份和联系方式、转移的原因、涉及个人信息种类、可能产生的影响、接收方需继续履行的义务
即时提醒
使用的业务功能可能导致个人信息被公开
提醒个人谨慎使用,以免造成个人信息泄露

(三)处理活动等发生变更时
个人信息处理者更新个人信息保护政策时,可在个人再次使用产品或服务时,使用增强告知或即时提示的方式告知个人信息保护政策中更新的内容。如个人信息处理活动的变更可能会对个人权益带来不利影响,个人信息处理者应该向个人告知个人信息保护影响评估的结果。
如果已经收集的个人信息将用于临时性的目的进行处理,个人信息处理者应通过增强告知的方式向个人告知这一临时性目的,以及目的达成后的处理方式。
(四)其他情形
1. 共同处理
当个人信息处理者与其他个人信息处理者为共同个人信息处理者时,可通过一般告知的方式说明各自分别承担的责任和义务。如个人使用涉及其他个人信息处理者的业务功能时,可使用即时提示的方式提醒其身份与注意事项。
2. 停止运营
个人信息处理者停止运营某类业务功能,或停止运营产品或服务时,除应告知如何对个人信息删除或匿名化处理的规则外,还可使用增强告知方式向个人告知复制或转移个人信息的方法、删除或匿名化的限定期限,保证个人可随时查阅告知内容。
3. 个人注销账号
个人注销账号时,个人信息处理者可向个人告知验证身份所需个人信息种类、设置的注销条件和理由、注销后的影响等规则。
4. 发生安全事件
当发生或可能发生个人信息泄露、篡改、丢失等安全事件时,个人信息处理者应及时向个人告知个人信息安全事件出现的原因。同时根据《信息安全技术个人信息安全规范》(GB/T 35273-2020)的规定,个人信息处理者还应告知安全事件的内容和影响、已采取或将采取的处置措施、个人信息主体自主防范和降低风险的建议、针对个人信息主体提供的补救措施、个人信息保护负责人和个人信息保护工作机构的联系方式。
值得注意的是,《实践指南》中指出个人信息处理者采取措施能够有效避免安全事件造成损害的,个人信息处理者可不告知个人,但履行个人信息保护职责的部门不认为可有效避免损害的除外。
当个人信息处理者通过个人行为分析得出其个人信息可能存在泄露、被诈骗等风险时,可向个人进行风险预警及提出安全建议。
(五)不同场景下的告知内容
1. 处理不满14周岁的未成年人个人信息
结合《儿童个人信息网络保护规定》《实践指南》以及附录C中的规定,个人信息处理者可参考告知如下内容:
处理个人信息的目的、方式和范围;
个人信息存储的地点、期限和到期后的处理方式;
更正、删除儿童个人信息的途径和方法;
未成年人个人信息的敏感性、处理活动可能会对用户权益产生的影响;
采取的特别安全保障措施;
监护人管理不满 14 周岁的未成年人个人信息、行使相关权利的方式和途径;
响应监护人诉求的专门渠道(如电话、邮箱等);
提示监护人正确履行监护职责;
如涉及幼儿园、学校等采用自动化设备收集不满 14 周岁的未成年人个人信息的,可说明采取此类措施的合法性、正当性与必要性,必要时可提供相关的个人信息保护影响评估报告的全文或摘要。经过与监护人进行了集体沟通的,可公开告知沟通的总体情况与结论。
除此之外,个人信息处理者还需制定儿童个人信息处理规则,并以个人信息保护政策的一部分或其他显著方式发布。

(来源:三星官方网站)

(来源:小红书官方网站[4])
2. APP服务
告知事项
告知内容
基本业务功能
App 的服务类型;
除基础服务类型外提供的其他服务类型情况(如有);
基本业务功能正常运行所必需的个人信息种类及对应的处理目的;
开启或使用基本业务功能的方式;
处理个人询问、投诉的渠道和机制等
扩展业务功能
可能处理的个人信息种类及处理目的、处理方式;
与产品或服务的完整个人信息保护政策有所区别的内容
嵌入第三方SDK
SDK的名称及提供者名称、联系方式;
SDK的个人信息处理规则

3. 公共场所
《个保法》第26条规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。《实施指南》在此基础上,进一步规定个人信息处理者需向个人告知公共场所采集设备的名称、功能、覆盖范围、个人信息种类、处理目的、保存期限、个人行使权利的方式和程序等内容。
4. 个性化推送

(来源:淘宝官方网站[5])
个人信息处理者利用个人信息,基于个人行为习惯、兴趣爱好等向用户针对性推送商品、服务、咨询等信息时,应告知其实现个性化推送需处理的个人信息种类、实现个性化推送的简单原理、算法说明,同时告知用户重置、修改、调整其个性化推送的方式,并通过用户协议、个人信息保护政策等途径说明开启或关闭个性化推送可能对用户权益造成的影响。
5. 网上购物
在网络购物场景中,个人信息处理者应该告知用户收集其手机号码的目的,并引导主动输入,以避免从第三方获取个人手机号码。此外,个人信息处理者还应向用户明确告知收集他们与购物平台之间的通信内容、地址信息以及身份证件信息的目的、依据、必要性、适用范围和安全保障措施等内容。
如果需要收集支付账号信息,个人信息处理者应明确收集的必要性,并说明拒绝提供该信息可能带来的影响、信息的保存期限以及删除方式等细节。同时,用户有权拒绝个人信息处理者收集其生物识别信息,该拒绝行为不得影响他们继续使用网上购物服务。
[1] 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
[2] https://www.samsung.com/cn/info/privacy/
[3] https://weixin.qq.com/cgi-bin/readtemplate?lang=zh_CN&t=weixin_agreement&s=privacy
[4] https://oa.xiaohongshu.com/h5/terms/ZXXY20220516001/-1
[5] https://terms.alicdn.com/legal-agreement/terms/suit_bu1_taobao/suit_bu1_taobao201703241622_61002.html?spm=a21bo.jianhua.1997523009.35.5af92a89TLPGWN

技术驱动法律,专业成就未来