2023年5月23日,国家标准化管理委员会和国家市场监督管理总局联合发布了《信息安全技术个人信息处理中告知和同意的实施指南》(GB/T 42574-2023)(以下简称“《实施指南》”),将于2023年12月1日起正式实施。在前几期的解读中,我们主要对告知-同意规则进行了梳理,并详细介绍了同意机制的选择、单独同意和书面同意的实施要点。本文将承接上述内容,重点梳理和分析个人信息主体拒绝同意和撤回同意的具体要求,并结合实践案例进行分析,以帮助企业更好地理解和应用《实施指南》中的相关要点。
一、拒绝同意
《个人信息保护法》(以下简称“《个保法》”)第44条规定,个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理。另外,根据第24条和第27条的规定,个人信息主体还享有自动化决策拒绝权和公开信息处理拒绝权。为了更好地帮助个人信息主体行使这些权利,《实施指南》对个人信息处理者提出了如下要求:
第一,明确个人拒绝同意的表现形式,确保在未完成同意操作前,不会收集同意过程中涉及的个人信息。常见的拒绝或放弃同意操作包括:点击拒绝按钮、中断操作、关闭界面、停止填写表单、回退到上一步等。如果个人信息主体在填写其个人信息时中断操作或关闭界面,个人信息处理者还应采取措施删除已填写的部分个人信息或系统缓存的个人信息,不得未经同意自动采集。
第二,个人拒绝同意后,宜采用适当的方式向个人说明拒绝后的后果,不得影响个人使用与此类个人信息无关的其他功能。根据《个保法》第16条规定,个人信息处理者不得以个人不同意处理其个人信息为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
例1:在扫码点餐场景中,消费者扫码后出现“手机号一键登录”获取手机号、“微信一键登录”获取昵称和头像等弹窗提示,或者买单时要求提供手机号,如果消费者选择拒绝提供这些信息,商家不得影响消费者正常下单。
例2:在线上停车缴费处罚案例[1]中,经营者提供的线上缴纳停车费功能要求消费者提供其微信昵称、头像、手机号、身份证号等信息,如果消费者不同意提供这些个人信息,将无法完成线上支付。监管部门认为,这一行为属于强制收集非必要个人信息,构成过度收集个人信息的违法行为,对其处以警告和罚款处罚。
例3:在胡某诉携程案[2]中,新用户必须点击同意携程《服务协议》《隐私政策》方能使用携程APP,如不同意,将直接退出携程APP,而携程APP要求用户签署的《服务协议》《隐私政策》中均包含了对用户个人信息收集和使用的条款。法院认为,携程公司以捆绑服务、强制停止使用等不正当手段变相胁迫、强制用户提供个人信息的行为,违反我国法律有关处理个人信息的正当性原则。
第三,个人拒绝同意后,如果是非必要个人信息,个人信息处理者不得以频繁询问、请求同意方式打扰个人信息主体。个人明确表示不同意后,仍频繁征求用户同意、干扰用户正常使用的行为已在《App违法违规收集使用个人信息行为认定方法》中被认定为违规收集用户个人信息行为。《信息安全技术人脸识别数据安全要求》(GB/T 41819-2022)中也有类似的规定,当个人拒绝使用人脸识别方式后,不应频繁提示以获得同意,在48小时内提示次数超过1次即可判定为“频繁提示”。
第四,个人拒绝同意某业务功能处理个人信息后,可为其切换至产品或服务的基本业务功能或其他相关业务功能的界面。如拒绝的是基本业务功能,可切换至不涉及个人信息处理的服务模式(如静态页面、非个性化的浏览页面等)。
二、撤回同意
(一)适用前提
撤回同意并非在所有的信息处理情境中均可适用,根据《个保法》的规定,撤回同意的范围仅限基于个人同意进行的个人信息处理活动,不包括基于其他合法性基础进行的个人信息处理活动。
目前,部分网站的隐私政策或个人信息保护政策中写明了撤回同意的例外,例如,“广汽丰田”的个人信息保护政策中规定,在“与我们履行法律法规规定的义务相关的”、“为订立、履行个人作为一方当事人的合同所必需”等6类基于法律法规规定的情形中,不会响应个人提出的撤回同意的申请;而“淘宝”和“高德地图”的隐私政策则规定,对于实现基本功能所必须的信息或者履行法律法规规定的义务所必需的信息,可能无法响应关于改变授权范围的请求。经查询,部分隐私政策中还规定了“涉及商业秘密保护”、“维护国家安全、他人合法权益”等不予撤回同意的情形。然而,需要注意的是,只有当这类信息处理满足《个人信息保护法》第13条规定的其他合法性基础时,不响应撤回同意申请才具有法律依据。
(来源:广汽丰田个人信息保护政策[3])
(二)机制设计
《个保法》第15条规定,个人信息处理者应当提供便捷的撤回同意的方式。此处强调撤回同意方式的便捷性,要求明确个人的何种操作意味着撤回同意。根据《实践指南》的规定,个人信息处理者可以在个人信息保护政策中向个人说明撤回同意的具体场景和操作方法,如果通过交互式界面收集个人信息的,可直接设置便捷的交互式页面提供撤回同意授权的功能或选项。实务中,相关企业提供的撤回同意的方式大致包括以下四种:修改或删除信息,改变授权范围,关闭设备功能以及注销账号。
个人信息处理者还可根据实际情况设置撤回同意机制的颗粒度。对于个人撤回单个业务功能或特定目的处理个人信息的同意的情形,个人信息处理者可通过清单勾选、开关键等方式向个人展现,同时不得拒绝提供或降低其他业务功能的服务质量;对于个人撤回处理某类个人信息的同意的情形,如明确了所撤回的具体处理目的,个人信息处理者需暂停与此目的相关的处理活动;对于个人撤回单独同意的情形,个人信息处理者需提供与单独同意相对应的撤回机制。
个人信息处理者设置撤回同意机制时还应注意,不得通过“功能捆绑”或设置不合理条件妨碍个人信息主体行使权利。以上海网信办公布的理财APP个人信息违法案例为例,当消费者尝试注销某投资APP的账号时,被要求同时注销与该APP并无必要关联的某第三方App账号。这种捆绑注销行为为消费者注销账号设置了不合理的条件,妨碍个人撤回同意。
此外,《实践指南》进一步明确了个人信息处理者在个人无法直接撤回同意时应履行的义务。具体而言,如果由于客观条件限制或撤回同意后对个人使用产品或服务的安全性造成严重影响等原因,导致无法直接撤回同意的,个人信息处理者应该向个人详细说明原因,并提供注销账号、停止使用产品或服务后整体删除数据等可行的替代方式,以达到撤回同意的效果。
最后,根据《个保法》的规定,个人撤回同意后,个人信息处理者应当主动删除相关信息。如果个人信息处理者未删除的,个人有权请求删除。关于撤回同意后个人信息的删除制度设计,《实践指南》提供了一些操作层面的建议。例如,当被撤回同意的个人信息处理活动相关的个人信息未被用于其他已同意的处理目的时,可以向个人说明影响,并直接提供是否选择删除的选项。如果个人信息已经被用于其他已同意的处理目的,且不具备删除技术条件,则可以采取其他技术或管理措施对处理目的进行限制,并向个人明确告知无法删除的个人信息种类将不再用于被撤回同意的处理目的。
(三)实施要点
在提供撤回方式的基础上,个人信息处理者收到个人的撤回同意请求后应积极响应和落实。为此,《实施指南》对撤回同意的实施要点进行了详细规定:
1. 个人撤回同意后,个人信息处理者不得再处理相应的个人信息,但不影响撤回前基于个人同意已进行的个人信息处理活动的效力,这一要求是对《个保法》第15条第2款规定的重申。而对于撤回前已向其他个人信息处理者提供个人信息的情形,个人信息处理者需向接收信息的其他个人信息处理者传达个人行使权利的诉求,或向个人提供其他个人信息处理者的申请受理机制。
2. 当个人信息处理者收到个人的撤回同意请求时,可通过验证个人身份等方式,确认提出请求者为个人本人或授权委托人。
3. 个人撤回同意的申请处理时限不得超过15日。在此期限内,个人信息处理者必须完成对撤回同意请求的确认,删除或匿名化相关个人信息,并向个人反馈撤回同意的结果。《App违法违规收集使用个人信息行为认定方法》中也有类似的规定,即个人信息处理者虽然提供更正、删除个人信息及注销用户账号功能,但未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)响应用户相应操作的,可能被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”。
《实践指南》在重申处理期限的基础上,进一步规定在个人发起撤回同意的请求后直至撤回同意的请求完成前,个人信息处理者不得对相关个人信息进行处理。在刘某诉顺丰案[4]中,刘某通过致电顺丰客服明确表示不同意顺丰公司继续关联储存其个人信息,但顺丰公司未予处理并继续使用该信息。法院认为,顺丰公司继续存储刘某个人信息的行为已经侵害了刘某对其个人信息的控制权。涉诉快递在实际系他人作为寄件人的情况下,顺丰公司将该运单寄件人身份证件号码登记为刘某,构成对刘某个人信息的非法使用,侵害了刘某的合法权益。
4. 个人信息处理者可以通过投诉、举报等渠道了解个人对撤回同意的反馈,以评估其实施效果,并进一步完善和更新撤回同意的机制,提高撤回机制的便捷性和适用性。
三、法律后果
根据《个保法》的明确规定,个人信息主体拥有拒绝同意和撤回同意的权利。如果个人信息处理者违反了相关规定,则应当承担相应的法律后果。
《个保法》第六十六条规定,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
[1] 沪市监静处〔2023〕062021002963 号
[2] (2021)浙06民终3129号
[3] https://www.gac-toyota.com.cn/privacy/policy
[4] (2020)京0113民初16062号
《个人信息处理中告知和同意的实施指南》系列解读之拒绝同意和撤回同意
作者:吴丹君来源:大数据法律研究

2023年5月23日,国家标准化管理委员会和国家市场监督管理总局联合发布了《信息安全技术个人信息处理中告知和同意的实施指南》(GB/T 42574-2023)(以下简称“《实施指南》”),将于2023