国家标准''提前观'':个人信息处理活动中告知和同意的实施(附标准文件)

来源:iLaw合规

文章摘要
编者按 国家标准的主要任务是将法律法规的要求通过技术语言、实践案例等形式形成标准性文件,从而对企业合规实践操作提供指导。

编者按
国家标准的主要任务是将法律法规的要求通过技术语言、实践案例等形式形成标准性文件,从而对企业合规实践操作提供指导。“告知-同意”规则是当前社会各界关注度较高的关键规则,《信息安全技术个人信息处理活动中告知和同意的实施指南》(《告知-同意》标准)作为指南类标准,为《个人信息保护法》的顺利实施提供重要支撑。
本文以国家标准“提前观”的视角,从《告知-同意》国家标准整体速览入手,分别围绕《告知-同意》国家标准中“告知”和“同意”的要点内容展开介绍,以期帮助读者深入理解《个人信息保护法》中“透明性”和“合法性”两个基本原则,为企业落实合规义务提供实践指引与标准支撑。

《告知-同意》国家标准内容解读

《告知-同意》国家标准中“告知”部分的要点

《告知-同意》国家标准中“同意”部分的要点

小结


01 《告知-同意》国家标准内容解读
信息安全技术 个人信息处理中告知和同意的实施指南》完整列出了在落实《个人信息保护法》”告知-同意”规则的具体适用范围,主要包括以下几个方面:
第一, “告知”的适用情形,如数据收集告知方式,如何界定提供数据公开或处理数据活动;
第二, “同意”的适用情形;
第三, “告知-同意”的基本原则;
第四, “告知”的机制,包括告知的方式、告知的内容以及告知的实施;
第五, “同意”的机制,包括同意机制的选择、实施、单独同意、书面同意、拒绝同意、同意撤回以及同意证据留存;
第六, 附录。作为资料型附录,本部分由各行业专家参与制定,内容丰富,涵盖十多个场景,如APP、APP嵌入第三方SDK、智慧生活、公共场所、个性化推荐等。
上述内容可以看出该标准对于“告知-同意”合规义务进行了详细全面的拆解,使得企业对于相关内容的把握更加全面、准确。
02《告知-同意》国家标准中“告知”部分的要点
(一) 告知的方式
“告知”与“同意”在性质上存在较大差异,告知是透明度原则的体现,而同意则是合法性原则的体现。因此,在《告知-同意》标准中区分讲述了“告知”义务与“同意”义务。
现实生活中,告知方式千奇百怪,如电梯广告、手机推送、电子邮件等,标准通过对告知方式进行归纳总结,目的在于增强告知的透明性,同时降低用户的反感度,主要包括三种:
第一,一般告知,即将所有个人信息处理规则形成规范性文本,常见的如隐私政策、个人信息保护指引等。此方式可以完成全量的告知义务,但难免会存在文本内容过长的缺点。由于是全量告知,即但凡与《个人信息保护法》项下个人信息相关的内容都需要进行披露,且需要便于公开查阅,因此这种告知方式触达用户的方式并不强烈,因此在需要附上提示,提醒用户勾选或者意识到该文本的存在,避免默认勾选的方式;
第二,增强告知,是指对于需要个人“同意”的事项提供重要参考,需要依据增强告知相关解释的规定确定同意事项的重要性程度,进而决定是否需要增强告知。需要增强告知哪些内容,是以“对个人权益的影响”为核心来判断,典型的实施方式是通过弹窗等形式提示重点条款,以增强告知的效果;
第三,即时提示,是指在个人使用产品或服务的过程中,为了进一步强化明确当下收集个人信息的目的,方便个人获取到对其做出判断有利的信息,防止由于不当操作而引发个人信息泄露的风险,对处理活动进行即时的提示提示。此种方式对于用户的触达率最高、推送文字量最少,但是推送与提示效果更明显,告知效果更强。
以上三种“告知”方式并不是非此即彼的关系,而是一套组合工具包,只有多层级组合在一起,才能完成完整的告知义务,从而真正落实有效传达、事实充分、真实明确的“告知”义务。
(二) 告知的内容
在告知内容方面,《告知-同意》国家标准遵循的编制思路是,摒弃笼统模糊界定的方式,不是局限于《个人信息保护法》的条款,同时还包括了具体实施层面的具体方法,最终确保告知的内容充分明确,且对应法律中的关键性要求。
例如,《个人信息保护法》规定了向其他处理者提供个人信息时需要履行的告知义务,如需要告知接收方身份、姓名或名称、联系方式等身份信息。既然法律已经明确规定了这些关键信息,因此《告知-同意》国家标准便对于这些内容进行了细化,要求在这一场景下告知的内容必须准确对应法律规定。
处理者需要区分《个人信息保护法》所规定的场景和处理个人信息的环节,从而最终决定告知的内容。如在个人信息收集环节中,若是首次收集则必须要进行全量告知,即对于处理者身份、联系方式、目的种类、保存期限、安全保护措施、行权方式、投诉渠道等全量告知;涉及敏感个人信息的,则需要增加“必要性”和“权益影响”的告知;涉及个性化推送进行营销的,需要告知如何设置不针对其个人特征的选项或个性化的推送方式。
此外,《告知-同意》标准还规定在“提供”和“公开”的场景之下,落实告知规则及告知内容时需要通过增强告知的方式,而非采取一般告知的形式;对于在数据处理活动发生变化时的告知内容也进行了细化,同时还设置了兜底性内容。
(三)告知的落地
《告知-同意》标准中对于告知落地实施环节进行了综合性阐述,涵盖了各类场景,包括交互式界面与非交互式界面,甚至囊括了信息接受不便的特殊群体的告知方式细则,包括放大字体、设置语音提示等方式增强告知内容的生动性,全方位介绍了告知内容的合理展示方式,为企业提供了可充分选择的资源池。
企业可以根据产品形态、服务群体、用户群体特点针对性选择告知方式。例如,公共场所的显示屏等非交互式界面下如何顺利实施“告知”,一直存在较大的落地困难,《告知-同意》标准特别给出了非常具有实践意义的方式:设置倒计时结束后自动关闭的单独弹窗,或提供简单的提示后公布获取具体告知内容的二维码等;没有可供个人直接操作的界面或可观看的屏幕的,《告知-同意》标准介绍可以在纸质手册、说明书、产品外包装标签等内容中展示增强告知的内容,同时设置全量告知的访问链接;针对特殊情况设置声光提示方式等。
在“告知”义务的实施过程中,企业还需要注意把握合适的告知时机与频率,以免引发用户的不满。因此《告知-同意》标准还相应规定了告知时机的选择、告知内容的适当性等,为企业提供了更加细化、优化、标准的方案,促进“告知”义务的落地。
03《告知-同意》国家标准中“同意”部分的要点
(一) 明示同意
针对处理个人信息时“同意”机制,《告知-同意》标准明确了基本原则:需采用“明示同意”的方式,且“同意”是建立在了解个人信息处理规则的基础之上。
《告知-同意》标准中详细列出了“明示同意”的不同场景,提供了较为清晰的外延,如个人通过交互页面所作的主动勾选、点击同意等动作,则构成明示的同意;个人通过过主动填写、上传、输入个人信息、出示证件、刷卡等做出的主动动作,也构成明示的同意。此外还有与书面同意有关的形式,如签字、电子签名等形式。标准还明确要求用户在采取上述动作时需要对于同意有明确合理的认识,不能“出尔反尔”,无法自圆其说。
在“明示同意”之外,尚存在一些例外:由于客观原因造成取得“明示同意”显著困难的场景,例如在移动设备强制联网功能中,存在个人信息的传输,但用户客观上无法提前了解相关条件,也无法提前告知用户。针对此类特殊情形,《告知-同意》标准中给出了“推定同意”的方式,同时规定了约束条件,即需要评估此种推定同意是否会对个人权益造成不利的影响,也依然要采取适当的方式向个人告知个人信息处理规则,而且也不影响用户行使撤回同意的权利。
(二)单独同意
“单独同意”的出现是我国法律下“告知-同意”个人信息处理规则体系的重大完善。“单独同意”属于“告知-同意”规则中的“增强”同意方式,因此,当选择同意作为合法性基础时,才需要考虑如何实施单独同意。
《告知-同意》标准对于“单独同意”的实施设计了通用实施要点、按照法律规定必须取得“单独同意”的具体实施方式。其中,通用实施要点是“单独同意”的必备构成要件,无论采用何种方式、在何种场景下实施单独同意都需要符合这些要件——
1. 需要进行增强告知
与一般同意下的告知不同,单独同意的取得必须具有强化的“告知”效果,这具体体现在:取得一般的“同意”时可以采取一般告知和/或增强告知和/或及时告知的形式,但取得单独同意时,必须针对单独同意场景下的个人信息处理规则进行“增强告知”。
以基于“同意”而进行人脸识别场景为例,由于涉及处理敏感个人信息,根据《个人信息保护法》的规定,必须取得“单独同意”,因而在该场景中,需要以弹窗或浮窗等形式来突出告知单独的“人脸识别服务规则/人脸识别个人信息处理规则”,而并不是再次告知一遍“隐私政策”和要求个人点击同意。
这种“增强告知”是取得有效“单独同意”的前置要件,即显著提醒和告知本次单独同意下的场景所涉及的个人信息处理规则。
2.采用明示同意方式
在处理方式方面,实施“单独同意”一定需要采取明示同意的方式,如使用用户使用特定业务功能并需要向其他处理者提供个人信息或收集敏感个人信息的,则触发“单独同意”的交互式界面界面,在该界面上在向个人充分告知该功能下处理个人信息的具体情况,然后让用户进行勾选、点击而做出“同意”,即用户此时做出的同意一定是个人使用特定业务功能主动触发的、不是提前做出的一揽子同意,该同意的做出也是有感知、有意识、主动的,不是默认的、推定的“同意”。
3. “同意”的对象是单一业务功能
“单独同意”着重强调“同意”的内容必须是针对具体且独立的业务功能,即只能针对当前的具体业务功能,不能同其他处理目的和处理方式下的“同意”相捆绑,因此可以解释为何点击或勾选同意“个人信息保护政策”——无论以何种方式确认——不会构成针对具体个人信息处理活动的“单独同意”。
单独同意针对的对象非常单一,如单一场景下的刷脸功能等。反之,若未给出单独同意,则意味着当前单独同意的场景无法进行,如刷脸无法验证,但是浏览基本信息、接受非单独同意的产品或功能服务不会受其影响。
(三)撤回同意
《个人信息保护法》已经明确将“撤回同意”规定为个人的权利,因此《告知-同意》标准也特别对于“撤回同意”进行了专门阐述,以期提供更加准确的指导。
由于“撤回同意”既要兼顾个人行使这一权利的便捷性,又要确保产品使用体验等维持较好状态,因此一直是“隐私保护设计”中的难点。经过多方参与论证,《告知-同意》标准通过不同的机制设计,相应个人不同的“撤回同意”诉求,保证“撤回同意”权利的充分实现。
首先,需要合理设置“撤回同意”机制的颗粒度,实施“撤回同意”就不能设置“功能捆绑”,即当个人对于某一业务功能处理其个人信息进行“撤回同意”时,不得影响其他与之无关的业务功能正常使用。若其他业务功能中确实存在对于所“撤回”的个人信息的正当使用,则需要通过合适的告知方式向个人说明,优化撤回同意的方式。
其次,“注销”属于“撤回同意”机制的一种,只是此时撤回同意是将之前的“同意”一次性撤回。与此同时,由于存在智能设备终端的权限控制,“撤回同意”的实施也可以借助技术而更为方便,如安装在移动终端设备中的APP可以通过“撤回系统权限授权”的方式,达到撤回同意的效果。
最后,《告知-同意》标准提供了“保底”的“撤回同意”措施,如个人表示撤回同意的,处理者需在承诺时限内(不超过15个工作日)确认撤回同意请求,完成删除或匿名化相关个人信息的操作。
其实,个人“撤回同意”时,内在的逻辑是表示个人不再使用该产品/功能或对于该产品/功能不感兴趣,因而选择了“退出”,因此,作为“退出机制”的“撤回同意”真正体现了产品/服务提供者在保护用户个人信息方面的“诚意”。
(四)免于同意的情形
《个人信息保护法》明确列出了“免于同意”情形,可谓是对此前过于“刚性”的“同意”机制所做的矫正。
就处理个人信息的合法性基础而言,《网络安全法》下仅有“同意”这一种情形,《民法典》的颁布对这一合法性基础开了一点“口子”,而真正在法律上将其他“非同意”的情形都明确、完整、并行列为合法性基础的,则是《个人信息保护法》第十三条一款规定的六种情形。
《告知-同意》标准对于“免于同意情形”做了呼应,体现在对《个人信息保护法》中规定的六种情形逐一设定了适用条件、提供了相关实例,起到指引落地的作用。
例如,针对“订立、履行合同所必需”而处理个人信息的情形,《个人信息保护法》仅着笔数语,容易引发理解偏差,《告知-同意》标准则细化了适用这一合法性基础时的若干具体情形:
个人是合同一方当事人,且是向个人提供产品或服务中的基本业务功能下、仅处理必要的个人信息,这里的“必要”是指该个人信息为实现基本业务功能所必需,且采用的是对个人权益影响最小的处理方式——收集处理个人信息最少类型、最小数量、最低精度、最低频率等。
比如按照电商合同约定配送货物而收集个人的收货地址、联系方式,就可以适用“订立、履行合同所必需”的合法性基础。
04 小结
《告知-同意》国家标准的出台将会对《个人信息保护法》项下的“告知-同意”规则的落地提供实质性的帮助,通过各方广泛宣传并将其作为有效的抓手和工具,充分适用,必将有力推动和促进个人信息保护工作。
当然,如同简单的界面告知文案、功能开关设计背后需要的是后台数据处理流程支撑,“告知-同意”规则也只是隐私保护设计和企业数据保护工作的冰山一角,冰山下是完善的前台、中台、后台的数据处理活动和产品设计,在此意义上,《告知-同意》国家标准支撑了《个人信息保护法》的落地实施,企业整体数据合规治理架构又在全方位支撑《告知-同意》国家标准的落地实施。

技术驱动法律,专业成就未来