“知情同意”还能解决一切问题吗?

“知情同意”原则赋予信息主体对于其个人信息的控制权利, 在个人信息处理中扮演着重要的角色。在实践中, “知情同意”往往亦是信息处理者收集、使用、储存个人信息的必要条件, 也是《隐私政策》或者《个人信息保护声明》存在的核心作用。这就造成一个误解: 似乎只要用户点击同意一份《隐私政策》或者《个人信息保护声明》, 对用户个人信息的处理就具有合法性和正当性; 更有观点认为, 无论《个人信息保护声明》如何起草, 只要本人同意, 个人信息处理者就可以对个人信息“为所欲为”。但是中国法律真是这样要求的吗?

中国法下对于个人信息保护的规定渊远流长。早在2012年全国人大常委会发布的《关于加强网络信息保护的决定》中, 就要求网络服务提供者和其他企业事业单位在“收集、使用公民个人电子信息”时, 需要满足“明示收集、使用信息的目的、方式和范围, 并经被收集者同意”的要求。这应是中国法律首次对个人信息保护提出原则性要求, 且该等要求不断被后续的法律所延续。例如, 2013年修订的《消费者权益保护法》第29条规定“经营者收集、使用消费者个人信息, 应当遵循合法、正当、必要的原则, 明示收集、使用信息的目的、方式和范围, 并经消费者同意”; 2016年颁布的《网络安全法》第41条规定, 网络运营者“收集、使用”个人信息, 应当“公开收集、使用规则, 明示收集、使用信息的目的、方式和范围, 并经被收集者同意”; 而2021年1月1日生效的《民法典》第1035条则同样提出了“公开处理信息的规则”、“明示处理信息的目的、方式和范围”以及“征得该自然人或者其监护人同意”的要求。将上述法律下的个人信息保护规则进行归纳, 我们认为核心要求为两点: 1) 公示规则; 以及2) 获取用户对于规则的同意, 即目前业界常说的“知情同意”原则。

但是上述主要的法律规范均未对“知情同意”原则如何落地进行详细解释, 也未明确是否满足“知情同意”原则即可处理个人信息。即使存在《信息安全技术-公用系统和商用系统个人信息保护指南》《信息技术安全-个人信息安全规范》等推荐性标准或者指南辅助解释, 但是囿于法律效力的限制, 上述规范或者指南的规定并不具有强制执行力, 这使得实践中对于满足“知情同意”要求是否等于“可以处理个人信息”这类问题没有准确的答案。从这个意义上而言, 主要的法律规定仅仅提出了“知情同意”要求, 却对其能否单独作为处理个人信息的合法依据存在“留白”之处。

《个人信息保护法》目前正处于二次征求公众意见的阶段, 因此目前中国仍然缺少一部统一的个人信息保护法律。而如前所述, 主要法律的留白导致在实践中, 不少企业以为只要通过《个人信息保护声明》获得个人信息主体同意即可满足个人信息保护的要求。另一方面, 亦有法律从业者对个人信息保护的关注重点留存于简单的文件审核工作。上述观点均忽略了一个重要的事实: 在不断积累经验之后, 监管部门对个人信息处理的要求早已超出了形式意义上的“知情同意”原则。

已经于2021年5月1日生效的《常见类型移动互联网应用程序必要个人信息范围规定》(“《必要个人信息范围规定》”)总结了网信办为首的主管部门近年来的监管经验, 同时也反映了监管部门对进一步揭开“知情同意”模式面纱的勇气和决心。在《必要个人信息范围规定》正式颁布之前, 带有官方色彩的公众号“App个人信息举报”曾于2020年11月2日至2020年11月23日期间内发起系列投票, 对38类服务的“最小必要个人信息”范围公开征求意见。从这个角度而言, 《必要个人信息范围规定》在制定时也充分考虑了公众意见。

虽然《必要个人信息范围规定》全文仅短短七条, 但其第三条的规定, “App不得因为用户不同意提供非必要个人信息, 而拒绝用户使用其基本功能服务”, 则在“知情同意”要求之外施加了实质性的法律义务, 并且对现有App的运营模式产生巨大的影响。依据第三条的规定, 5月1日后, 以下几种常见的App运营模式的合法性都存在疑问: 

• 仅在《个人信息保护声明》中列举需要收集的个人信息, 并未区分“基本业务功能”和“拓展业务功能”及其对应所需的个人信息范围

• 用户一旦不同意《个人信息保护声明》, 即不允许用户使用该等App

• 在App更新版本后, 若用户不同意更新后的《个人信息保护声明》, 则不允许用户使用更新后的App

• 在用户同意《个人信息保护声明》后, “打包”开启用户权限(尤其是个人敏感信息), 但并未区分用户权限的类型

• 在用户同意《个人信息保护声明》后, 未向用户提供控制其“非必要个人信息”收集、使用方式的途径

而除了上述对于App运营者需要考虑的App业务逻辑变更之外, 《必要个人信息范围规定》的出台也再次确认了简单的“知情同意”模式无法满足监管部门对于个人信息保护提出的法律要求。为何是“再次”?因为实际上, 在主要法律之外, 各个部门的立法实践早已对“知情同意”模式提出了更高的要求。

近些年来, 随着侵犯个人信息权益事件的不断曝光, 除网信办、公安部之外, 工信部、人民银行、证监会等行业主管部门都认识到单纯的“知情同意”要求并不能有效实现保护个人信息的目的。因此, 根据行业或者业务的特点, 在“知情同意”之外, 各行业主管部门陆续出台了适用于其行业的额外保护规则: 

1. 电信业务(例如通过App、小程序开展业务和提供服务)

• 电信业务服务提供者应说明提供查询、更正信息的渠道

• 不得收集其提供服务所必需以外的用户个人信息

• 不得将信息用于提供服务之外的目的

• 不得默认配置选择同意隐私政策

• 未经用户同意之前, 不得收集用户信息或者申请打开权限

• 在申请打开可收集个人信息的权限, 或者申请收集个人敏感信息时, 未能告知用户目的

2. 金融业务

• 不得收集与业务无关的消费者金融信息

• 不得采取不正当方式收集消费金融信息

• 不得变相强制收集消费者金融信息

• 不得因金融消费者不同意处理其金融信息为由绝提供金融产品或者服务, 但必要的金融消费者信息除外

• 为营销、调查和改进体验目的收集消费者金融信息的, 应当给与金融消费者自主决定的权利, 且不得因消费者不同意而拒绝向其提供金融产品或者服务

3. 电子商务

• 禁止使用概括授权、默认授权、捆绑授权、停止安装使用的方式, 收集、使用与经营活动无直接关系的信息

• 收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的, 应当逐项取得消费者同意

• 除非经法律要求或者被收集者授权同意, 不得向包括关联方在内的任何第三方提供消费者信息

4. 医药健康

• 采集人口健康信息, 应当遵循“一数一源、最少够用”的原则

• 采集人类遗传资源, 应当告知采集目的、采集用途、对健康可能产生的影响、个人隐私保护措施及其享有的自愿参与和随时无条件退出的权利

• 除医务人员和医疗行政管理部门以外, 任何机构或个人均不得查阅患者病历(以及电子病历)

而2021年4月27日公布的《移动互联网应用程序个人信息保护管理暂行规定(征)》, 更是对App运营者新增了一系列在“知情同意”之外的要求, 例如: 

• 动态申请App所需权限, 不得强制通过一揽子授权方式申请打开多个系统权限; 

• 处理个人信息的数量、频次和精度应当为服务所必须; 

• 个人信息的本地读取、写入、删除、修改等操作应当为服务所必需, 不得超出用户同意的操作范围。

我们理解上述规定其实曾在《App违法违规收集使用个人信息自评估指南》以及《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》等出现过类似的要求, 因此本次的征求意见稿实质上是将监管经验升级为部门规章, 从而使其具有法律效力。在另一方面, 这也表示App运营者有必要关注主管部门平时发布的指南或者指导, 因为其中的要求或许在未来会变成正式的法律要求。

除了上述行业规定之外, 在司法实践中, 亦有法院在司法裁决中不断对通过“知情同意”模式概括收集的用户个人信息的合理使用边界进行探索。例如, 在2020年8月的“微信读书案”[(2019)京0491民初16142号]中, 法院认可腾讯公司在《微信读书软件许可及服务协议》确实载明微信好友可以相互查看读书信息, 但是《微信读书软件许可及服务协议》存在“透明度”不足的问题, 因此其向用户的“告知”并不充分, 由此得出未能获得用户的对于公开其“读书数据”的有效同意的结论, 违反适时生效的法律规定。

作者:

长按下图识别二维码关注我们

© 通力律师事务所

本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。

点击“阅读原文”，直达通力官网了解更多资讯！