查看原文
其他

浅谈国内个保法与欧盟GDPR关于有效同意的差异点

Jason vivo千镜 2024-01-02

引言:随着数字经济的快速发展,全球进入数据时代。数据就像人体中的血液一样,在社会发展和民众生活中扮演起了至关重要的角色。作为一个身处数据时代的自然人,在每一天的生活当中,都无时无刻不在生产和处理个人数据。数据的生命周期为:收集、传输、存储、使用、共享和销毁。数据收集作为数据生命周期的起点,合法合规的收集个人数据,是隐私保护的首要环节。在各国已出台的隐私保护的法律法规中,对合法合规收集个人数据进行了明确的规定,其中同意作为数据收集的合法性基础之一,应用的场景非常广泛。本文对中国的《个人信息保护法》和欧盟的《General Data Protection Regulation》(简称GDPR)中,关于有效同意的异同点进行了比较,并重点分析了差异点,希望能带给大家一些启发。

//


2021年11月1日起施行的《中华人民共和国个人信息保护法》中有关有效同意的主要要求有如下内容:

第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。

第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。

第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。

第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。

第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。


2018年5月25日生效的欧盟GDPR和欧盟数据保护委员会发布的关于GDPR中同意的指导意见,有关有效同意的主要要求有如下内容:

第4条(11)款 对数据主体的“同意”是指任何自由、具体、知情和明确表示数据主体意愿的行为,通过声明或明确的肯定行动表示同意处理与其有关的数据。


中国《个人信息保护法》和欧盟GDPR关于有效同意的比较结果如下:

可以看出,有效同意在描述上的区别主要是关于具体的要求,下面针对有效同意的具体要求进行分析说明。


中国的《个人信息保护法》中对有效同意的具体要求主要是对取得数据主体单独同意的场景进行了说明,包括个人信息处理者向其他个人信息处理者提供其处理的个人信息的;公开其处理个人信息;公共场所安装图像采集、个人身份识别设备,除用于维护公共安全的目的外还用于其它目的;处理敏感个人信息和向中华人民共和国境外提供个人信息。


GDPR要求同意必须是具体的,第6(1)(a)条要求,数据主体必须就“一个或多个特定”目的获得同意,并且数据主体可以就每一个目的作出选择同意必须是“具体的”的要求,旨在确保一定程度的控制和数据主体的透明度。GDPR的这一要求,与“知情”同意的要求密切相关。与此同时,它必须按照获得“自由”同意的“粒度”要求来解释。总而言之,为了遵守“特定”元素,数据控制者必须适用:

  • 目的规范作为防止功能蠕变的保障;

  • 同意请求的粒度;

  • 明确分离与获取数据处理活动的同意相关的信息与其他事项的信息。


根据GDPR第5(1)(b)条[4],在获得有效同意之前,必须确定预期处理活动的具体、明确和合法目的。在数据主体同意初始收集数据后,对特定同意的需要与GDPR第5(1)(b)条[4]中目的限制的概念相结合,可作为一种保障措施,防止数据处理的目的逐渐扩大或模糊。这种现象,也称为功能蠕变,对数据主体来说是一种风险,因为它可能导致数据控制者或第三方意外使用个人数据,并导致数据主体失去控制。

如果数据控制者依赖第GDPR第6(1)(a)条[5],数据主体必须对特定处理目的始终给予同意,根据目的限制的概念和GDPR第5(1)(b)条[4],同意可以包括不同的行动,只要这些行动服务于同一目的。不言而喻,只有当数据主体被明确告知与他们有关的数据使用的预期目的时,才能获得具体的同意


尽管有关于目的兼容性的规定,同意必须具体到目的。数据主体将同意其在控制之下,且其数据只会为该等指定目的而被处理。如果控制者在同意的基础上处理数据,并希望为其他目的处理数据,则控制者需要为其他目的寻求额外的同意,除非有其他更好地反映情况的法律依据。

同意机制不仅要细粒度地满足“自由”的要求,还要满足“具体”的元素。这意味着,为各种不同目的寻求同意的控制者应该为每种目的提供单独的选择,以允许数据主体为特定目的给予特定的同意。


最后,数据控制者应在每个单独的同意请求中,提供为每种具体目的实现的具体数据处理信息,以便让数据主体意识到他们所拥有的不同选择的影响。这样,数据主体就可以给出具体的同意。


可以看出,GDPR中有效同意中要求同意的目的是具体的,如果涉及多个数据处理目的,应该对每个目的寻求数据主体的单独同意,并提供关于为每种目的处理数据的具体信息。与之对比,中国的《个人信息保护法》中则直接对需获取数据主体单独同意的场景进行了限定,上述5种场景明确需要获取数据主体的单独同意,希望能够给读者带来一些思考与启发。


参考文章:

[1] 《中华人民共和国个人信息保护法》

[2] 《Guidelines 05/2020on consent under Regulation 2016/679》

[3] 《General Data Protection Regulation》

[4]  GDPR第5(1)(b)条 与个人数据处理相关的原则,个人数据应为特定的、明确的、合法的目的收集,且不得以不符合以上目的的方式进行进一步处理;为公共利益、科学、历史研究或统计目的而 进一步处理的,按照第89条第1款,不应被视为不符合初始目的(“目的限制”)。

[5]  GDPR第6(1)(a)条 处理的合法性,只有在适用以下至少一条的情况下,处理才被视为合法:数据主体同意其个人数据为一个或多个特定目的而处理。


往期推荐:




没有免费午餐–再探移动互联网软件供应链安全


Android中的SELinux机制介绍


密码困境与无密码认证


浅谈个人数据处理法律角色的判定


关注我们,了解更多安全内容
继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存