《个人信息处理中告知和同意的实施指南》系列解读之同意的基本原则、机制选择、实施要点及证据留存

来源:观韬中茂律师事务所

文章摘要
国家标准化管理委员会和国家市场监督管理总局联合发布的《信息安全技术个人信息处理中告知和同意的实施指南》(GB/T 42574-2023)(以下简称“《实施指南》”)将于今年12月1日起正式实施。

国家标准化管理委员会和国家市场监督管理总局联合发布的《信息安全技术个人信息处理中告知和同意的实施指南》(GB/T 42574-2023)(以下简称“《实施指南》”)将于今年12月1日起正式实施。在前几期的系列解读文章中,我们已经从告知方式、实施流程、告知内容等角度,详细解读了“告知”规则的相关要求。本文将聚焦“同意”规则,从同意的基本原则出发,具体介绍同意的机制选择、实施要点及证据留存方面的要求。
一、同意的基本原则
《个人信息保护法》(以下简称“《个保法》”)第十四条规定,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。因此,要确保取得有效的同意,必须同时满足三个要素:充分知情、自愿和明确。
《实施指南》进一步提出个人信息处理者在取得个人同意时应遵循告知一致、自主选择、时机恰当、避免捆绑这四个基本原则。

基本原则
要求
常见违法违规情形
告知一致
取得同意的范围不得超出所告知的内容
APP、小程序或内嵌第三方软件开发工具包(SDK)收集地理位置信息,却未在隐私声明中告知用户
自主选择
支持个人通过自行操作的方式作出同意,不使用默认勾选的方式取得同意
餐饮连锁企业在点餐小程序中设定了“0元入会”的默认勾选按钮,诱导消费者在不完全了解服务内容和隐私政策的情况下授权企业获取其个人信息
时机恰当
在个人信息收集行为发生前,且同步传达告知内容时,取得个人同意,以增进个人对业务功能与所收集的个人信息之间关联性的理解
首次打开APP或小程序时,在消费者同意隐私政策之前,就向消费者申请授权精准位置信息、手机号码、昵称等信息
避免捆绑
区分产品或服务的业务功能,不采用捆绑方式强迫个人一次性同意多种业务功能可能收集的个人信息或多个处理活动;个人拒绝同意时,不影响与该个人信息无关的业务功能的正常使用。
APP账号注册时,强制要求消费者同意与业务功能不相关的第三方APP隐私政策,或向消费者申请授权“一揽子”个人信息,消费者不同意则无法使用APP

二、同意机制的选择
(一)明示同意
针对个人信息处理活动中的“同意”机制,《实践指南》规定个人信息处理者原则上应采用明示同意的方式来取得个人的授权,避免个人信息主体在同意的过程中被动接受或默认选择的情况。这一要求是“自主选择”原则的具体体现,旨在确保个人信息主体作出“有效同意”。那么,哪些行为构成明示同意呢?根据《信息安全技术个人信息安全规范》(GB T 35273-2020)的规定,明示同意是指个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作[1],对其个人信息进行特定处理作出明确授权的行为。《实践指南》在此基础上进一步细化了明示同意的不同场景,以帮助个人信息处理者更好地理解和应用明示同意的规则。例如,个人信息主体通过交互界面作出的主动勾选、滑动滑块等动作、主动填写、输入个人信息、开启可收集个人信息的API、出示证件、刷卡刷脸等行为,均构成明示的同意。此外,个人信息主体还可以通过书面同意有关的形式表示同意意愿,如纸质声明、签字确认等。
(二)推定同意
除了明示同意之外,《实践指南》还规定了特殊情况下的“推定同意”机制,即因客观条件限制、各方利益权衡等原因难以获得明示同意的情况下,个人信息处理者可以根据个人的行为和具体情境来合理推定其已经表示同意意愿。在实践中,一些常见的推定同意情形包括:个人收到包含个人信息处理规则的提示后未明确表示拒绝,仍继续主动执行提供个人信息的操作(如发送包含个人信息的短信等);个人已被告知进入视频监控区域后选择继续进入该区域或在该区域停留。
这种推定同意的做法同样也需要建立在明确的信息披露和充分的告知基础上。根据《实施指南》,“推定同意”被视为《个保法》第13条“取得个人同意”的形式之一,对个人信息主体的权益产生重大影响,因此应当严格限制其适用情形。《实践指南》规定只有同时满足以下条件时,才能适用"推定同意"规则:
1. 取得明示同意存在显著困难,例如个人自行更换联系方式导致个人信息处理者无法掌握与其沟通的渠道;为维护公共利益使用去标识化后的个人信息;因客观原因如网络环境受限等无法取得明示同意;
2. 经个人信息保护影响评估确认个人信息的处理不会对个人权益造成不利影响;
3. 采取了适当的方式向个人告知了个人信息处理规则。以个性化推送场景为例,在用户首次使用以个性化推送为核心业务功能模式的产品前,个人信息处理者可通过交互设计(例如弹窗、提示框等)向用户告知个性化推送的机制和相关内容;
4. 被推定为个人同意的情形不影响个人行使撤回同意的权利。《个保法》第15条明确规定“基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。”结合场景判断个人的行为,推定其表示同意亦属于“个人同意”的方式,因此,被推定同意的个人也有权撤回同意。
值得注意的是,“推定同意”并非始终有效。如果在后续的个人信息处理活动中,个人信息处理者具备了执行明示同意的条件,那么他们应告知个人如何撤回同意的方式或者重新取得个人的明示同意。在推定同意的情境下,如果个人通过投诉或举报渠道反馈其个人权益受到不利影响,一旦确认了这一情况,个人信息处理者需要立即中止相关的处理活动。尽管推定同意在某些情况下被视为取得同意,但在实践中仍需谨慎使用,并遵循“公开透明”和“最小必要”原则处理被推定同意收集的个人信息。同时,个人信息处理者应密切关注个人信息主体的反馈和权益变化,并及时采取相应措施来保护其合法权益。
三、同意的实施
在了解同意的基本原则和获取机制后,个人信息处理者需要制定具体的实施方法和步骤来获得个人的同意。为此,《实施指南》为个人信息处理者提供了详细的个人同意获取实施要点,并针对不同场景提供了相应的参考指引。
首先,在取得个人同意之前,个人信息处理者需要明确哪些个人信息处理活动需要获得个人同意,并针对这些处理活动设计相应的明示同意方案。如果存在推定同意的情形,还需要仔细分析是否满足上文提到的条件,并在个人信息处理期间保存个人信息保护影响评估的结果。在设计同意实施方案时,个人信息处理者可以采用诸如个人信息安全工程等方法,对处理个人信息的系统架构进行充分评估,以便支持个人便捷地撤回同意、限制使用或删除个人信息等操作。
其次,个人信息处理者在获得同意时,应进行适当的区分工作。例如,合理地将对个人信息处理的同意与其他同意事项区分开来,避免将其混杂在其他同意事项中;区分不同处理目的或不同业务功能所需的个人信息种类,通过分步骤获取同意的方式逐步取得个人同意,确保每个同意都与其相关的信息处理明晰对应;区分满足特定目的所必需收集的个人信息与为改进服务而收集的个人信息,分别取得个人同意。除此之外,不同场景下的义务要求也有所不同。以处理不满14周岁的未成年人个人信息场景为例,如产品为儿童和监护人提供不同的服务界面,个人信息处理者可根据不同角色来制定获得同意的方案。
再次,如果个人信息处理活动可能对个人权益产生重大或长期影响,个人信息处理者可以采取多种方式来确保个人充分知情。举例来说,除了点击“同意”“继续”、滑动滑块等操作外,还可以结合签字确认、回复短信等方式来获取个人的明示同意。此外,也可以限制同意的期限或范围,例如只在一次操作周期、一段时间内或一定区域内获取对个人信息处理活动的同意。如果超出了授权的期限或范围时,必须再次征得个人的同意,否则需立即停止个人信息的处理活动。
最后,《实施指南》强调个人信息处理者不得使用含糊其辞、避重就轻、模棱两可、有悖正常逻辑的文字或功能设计影响个人对同意的判断,让个人的期许与实际的个人信息处理活动出现偏差。
四、同意的证据留存
在获取个人同意的过程中,保存相关证据对于个人信息处理者来说具有重要意义。这一留痕工作不仅能够确保个人信息处理者具备处理个人信息的合法性基础,还能帮助其在面临监管要求时提供必要的证明材料。同时,证据留存还更好地保障了个人信息主体的合法权益。在采取技术措施进行证据留存时,个人信息处理者应遵循《实施指南》所明确的标准和要求,以确保留痕的可靠性和合法性。
(一)证据留存内容
在同意方案的设计阶段,个人信息处理者可以选择多种方式(例如内部的文档或邮件记录、专业咨询机构提供的第三方意见记录)留存证据,以确保个人信息处理的合规性和透明度。可留存的证据包括:个人信息保护影响评估实施方案和记录、同意方式选择的判断记录、告知内容的撰写与批准记录、实施后验证与方案一致性的记录等。
在个人同意的获取阶段,个人信息处理者可以留存与个人关联的同意记录,包括:个人标识信息记录(包括真实身份信息、设备标识等)、同意细节记录(包括同意的方式、时间、期限、意见等)、对应告知内容记录(包括具体的个人信息处理规则)等。《实践指南》中提及的记录方式包括以文件形式留存个人同意的操作界面、与同意相关的操作日志、电子签章记录等。
在后续处理阶段,如隐私政策更新或个人信息处理规则调整,个人信息处理者可留存不同时期发布的取得个人同意所需的规则文本及版本。
在特殊情形下,例如涉及多个角色的个人信息处理活动(如向其他个人信息处理者提供个人信息、与其他个人信息处理者构成共同个人信息处理者、接入其他个人信息处理者的产品或服务等),个人信息处理者还需记录其他个人信息处理者的具体身份、个人信息处理规则、有关告知和同意责任分配的约定记录、签署的合同或协议等内容。如果涉及到向境外提供个人信息的情形,个人信息处理者还需留存境外接收方所处国家或地区、联系方式等信息。
(二)证据留存要求
由于留存个人同意证据时可能涉及到个人标识信息、其他个人信息主体的身份信息等内容,个人信息处理者在留存证据时应遵守以下规则:
1. 留存时限要求。根据《实践指南》,个人信息处理者应根据相关法律法规要求和自身的举证需求来确定证据留存的时限。通常情况下,留存时间不应少于 3 年。
2. 最小必要原则。个人信息处理者留存同意证据时应当遵循最小必要原则,避免以留存证据为由扩大个人信息的收集范围。如因自身举证或澄清异议等需求,必须披露留存的证据,那么个人信息处理者应该只提供最小必要的信息,并且仅限用于确认个人信息处理活动是否已经取得个人同意,不得用于其他目的。
3. 严格限制使用范围。《实践指南》明确规定,个人信息处理者不得利用留存证据来分析个人的习惯、意图或想法。个人信息处理者应对留存证据的使用范围进行严格限制,以最大程度地减少滥用和不当使用这些证据的风险。
4. 采取充分的技术措施。在整个证据留存期间,个人信息处理者必须采取严格的访问控制措施,以防止未经授权的访问,从而确保相关信息不会被用于除法律法规要求或自身举证以外的其他目的。如果确实需要披露留存的证据,那么个人信息处理者还应采取适当的措施,以确保只有相关组织或个人能够访问这些证据。同时,还应采取必要的安全技术措施来确保数据的安全性,避免留存证据被篡改、泄露、毁损或丢失。
[1]肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等

技术驱动法律,专业成就未来