数安条例 | 单独同意和个性化推荐
编者按:
1、数安条例 | 对个人信息保护政策和数据处理规则的新要求
2、数安条例 | 个人权利方面的新规定
3、数安条例 | 数据安全审查和企业境外上市
4、数安条例 | 数据跨境安全管理
5、数安条例 | 数据处理的主体变更:高风险处理之一
第六篇文章关注数安条例中的单独同意和个性化推荐的规定。
对同意的理解
目前,《个人信息保护法》《数安条例》同时使用了同意和单独同意的术语。先看同意这个术语。《个人信息保护法》中第一次出现该术语是在第十三条。
第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息: (一)取得个人的同意; (二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需; (三)为履行法定职责或者法定义务所必需; (四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需; (五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息; (六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息; (七)法律、行政法规规定的其他情形。 依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。 |
对十三条的理解和解释,可见【中国个人信息保护立法 | 合同所必需:魔鬼在细节之中】,以及【过度收集个人信息如何破解】等。
在实践中,个人信息处理者如何设计产品界面,以遵循第十三条的要求?公号君提出如下建议:
1、个人同意,同意的对象是对具体类型的个人信息的处理活动。实现形式是:
相当于说,同意的对象,是个人信息类型,以及对个人信息类型的处理规则。
2、“订立、履行个人作为一方当事人的合同所必需”(以下简称“依合同所必要”),这时候个人选择的具体的业务或者服务。一旦个人选择了具体的业务或服务,也就是认为与个人信息处理者订立了合同。相应地,业务或服务实现所必需的个人信息(即必要个人信息),也就无需个人同意。对这些个人信息的处理也就成为题中之意。具体如下:
由于现实中,很多APP同时提供了多种业务或功能,其与个人交互界面的逻辑应当是:
在上图中,对(基本和拓展)业务功能的选择,合法性基础应当是依合同所必要。对于非必要个人信息,合法性基础是个人的同意。
对单独同意的理解
单独同意,是对应当使用同意作为合法性基础的场景的一个增强性要求。现对这两部法律法规中的包含“单独同意”的条款,做比较分析。
《个人信息保护法》 | 《数安条例》 |
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。 第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。 第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。 第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。 第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。 第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。 | 第十二条 数据处理者向第三方提供个人信息,或者共享、交易、委托处理重要数据的,应当遵守以下规定: (一)向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点,并取得个人单独同意,符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外; 第二十一条 处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定: 第三十六条 数据处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外数据接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式等事项,并取得个人的单独同意。 收集个人信息时已单独就个人信息出境取得个人同意,且按照取得同意的事项出境的,无需再次取得个人单独同意。 第四十九条 互联网平台运营者利用个人信息和个性化推送算法向用户提供信息的,应当对推送信息的真实性、准确性以及来源合法性负责,并符合以下要求: |
单独同意是指数据处理者在开展具体数据处理活动时,对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意。 |
数安条例明确了单独同意的含义,用下图表示:
即在《个人信息保护法》和《数安条例》列明的情形中,每一项个人信息,个人均应当能单独对同意与否做出选择。
针对个性化推荐的单独同意
当将单独同意的对象理解为信息时,可以存在一个类型信息,用于多个处理目的,此时,征求的是个人对“这个信息类型用于多个目的”的同意。从《个人信息保护法》的行文中,似乎读不出对这样征求单独同意方式的禁止。
但在数安条例中,对单独同意做了严格的界定,即“对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意”。对这句话可以有两种理解方式:一是不得一次性针对多项个人信息征得同意;二是不得一次性针对单项个人信息的多项处理活动征得同意。如果采取第一种理解,则前述的“一个类型信息,用于多个处理目的”可以存在。
但如果采取第二种理解,则一个信息必须对应于一个目的,同一个信息对于不同目的,也必须分开征求个人同意。如下图所示:
在数安条例中,还出现了一处具体实例——即对信息类型和具体目的同时做出限定。其第四十九条中,明确提出“收集个人信息用于个性化推荐时,应当取得个人单独同意”。
如此理解的话,将是对单独同意最为严格的理解,如果加上处理方式中涉及其他方,则现实中需要用户主动勾选、点击同意的情况将会很多。如何平衡用户体验和个人控制权,将是个难题。(完)
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
DPO线下沙龙的实录见:
个人数据与域外国家安全审查系列文章
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
第29条工作组/EDPB关于GDPR的指导意见的翻译:
关于美国出口管制制度,本公号发表过系列文章:
供应链安全文章:
数据跨境流动政策、法律、实践的系列文章:
传染病疫情防控与个人信息保护系列文章
关于数据与竞争政策的翻译和分析:
健康医疗大数据系列文章:
网联汽车数据和自动驾驶的系列文章:
关于中美与国家安全相关的审查机制的系列文章:
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
网络空间的国际法适用问题系列文章:
赴美上市网络、数据安全风险系列文章如下:
人脸识别系列文章:
关于欧盟技术主权相关举措的翻译和分析:
关于保护网络和信息系统安全的相关文章包括:
数据执法跨境调取的相关文章:
关于人工智能安全和监管,本公号发布过以下文章:
数据的安全、个人信息保护、不正当竞争等方面的重大案例:
数字贸易协定的相关文章有:
中国个人信息保护立法的相关文章包括:
《数据安全法》相关的文章包括:
数据要素治理相关的文章包括:
个性化广告系列文章包括: