新法速递 |《信息安全技术 个人信息处理中告知和同意的实施指南》七大亮点解读
点击关注“数据与电商研究室”
编者按
2023年5月23日,国家市场监督管理总局、国家标准化管理委员会发布了GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》(以下简称“42574”)。42574旨在解决个人信息处理活动中告知和同意环节的实操问题,提供了明确的实施路径。该指南将于2023年12月1日起开始实施。
一、背景分析
“取得个人的同意”是《个人信息保护法》所规定处理个人信息的重要合法性基础之一。该同意应当由个人在充分知情的前提下自愿、明确作出。而关于充分知情的标准,《个人信息保护法》则要求应当在处理个人信息前,以显著方式、清晰易懂的语言真实、准确、完整地向个人告知。
然而在实践中,选择“取得个人的同意”抑或其他合法性基础,告知相关情况的颗粒度,以及如何保障个人同意为自愿、明确作出等具象问题,往往是个人信息处理者的合规难点,同时也是网信办、工信部等机构的监管重点。
二、亮点解读
此前,个人信息处理者主要依据GB/T 35273-2020《信息安全技术 个人信息安全规范》(“35273”)的指导来规范自身的告知同意方式和流程。而42574在35273的基础上,进一步将实施告知和同意的路径进行了细化,提出了明确的原则、实施方法和步骤,为个人信息处理者提供了重要的合规参考。以下是42574中的七大亮点的重点概述。
01 /
列举了应当履行告知义务的情形
根据《个人信息保护法》,个人信息处理者在处理个人信息前,应当告知个人信息主体:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序等。且如果这些事项发生变更,应当将变更部分告知个人。
42574则在吸收《个人信息保护法》部分条文的基础上,针对告知的适用场景进行了列举式的细化。例如:
42574对“收集”情形作出不完全列举说明,从与个人相关的他人账号收集或使用大数据、人工智能等技术分析、关联或生成个人信息均属于个人信息的收集;
42574对处理目的、处理方式、个人信息种类、存储期限以及个人信息主体行权方式和程序发生变更的情形作出不完全列举;
42574认定,个人信息处理者的名称或姓名和联系方式发生变更也属于处理活动的变更。
02 /
区分不同告知方式
42574将告知的方式进一步区分为了一般告知、增强告知和即时提示三种,并对不同告知方式的表达形式及合规要求作出说明。个人信息处理者可结合产品或服务的业务功能特点,选择一种或多种告知方式的组合。我们对三种告知方式内容进行整理如下:
(点击可查看大图)
此外,42574还按照个人信息处理者应当履行告知义务的具体场景,分别建议告知方式以及告知内容,有益于个人信息处理者按图索骥部署具体场景下的告知动作。
03 /
细化告知的实施路径
除告知义务的具体场景及告知方式和告知内容外,42574还从告知的界面和渠道、告知内容的展示以及告知的时机和频率三方面,细化了告知的实施路径。
在告知的界面或渠道方面,个人信息处理者需以便于个人立即阅读、获取的方式,设计适当的告知界面或渠道,并根据载体、环境等的不同进行调整,优化告知界面或渠道的形式。如在不可操作的公共场所大屏幕中可采取倒计时结束后自动关闭的单独窗口、屏幕特定区域展示扫描后可获取告知内容的二维码等方式;
在告知的内容展示方面,告知内容展示方式需以用户体验和权益保障为出发点,以清晰易懂、内容简洁、主次分明为目标。如可以通过图形、音视频或者插图、漫画方式展示;
在告知的时机和频率方面,42574强调了告知的适当性,个人信息处理者可将首次告知、同步告知、再次告知等时机相结合,平衡告知的充分性和用户体验。
04 /
规定推定同意的情形
42574强调了个人信息处理者取得同意时,原则上需用明示同意的方式,避免采取被动接受、默认选择的方式导致个人忽略对个人信息处理规则的关注。明示同意是指个人通过书面、口头等方式主动作出声明,或者自主作出肯定性动作,对其个人信息进行处理作出明确授权的行为,如主动勾选,主动点击同意、发送、拨打或主动填写或提供等方式。
但42574同时规定,如因客观条件限制、个人自身习惯、保护各方合法利益等原因,个人无法表达明示同意时,个人信息处理者可基于对个人行为的分析,推定出个人表示同意。为了防止推定同意的滥用,42574对其适用条件作出四点要求:
取得明示同意存在显著困难;
经个人信息保护影响评估确认个人信息的处理不会对个人权益造成不利影响;
已采取了适当的方式告知个人信息处理规则;
个人信息主体享有对推定同意撤回的权利。
此外,42574还通过附录列举了可推定为同意的情形示例。但需注意的是,推定同意仅仅是个人无法表达明示同意时的替代方案。如在后续的个人信息处理活动中,个人信息处理者具备执行明示同意的条件时,需重新取得个人的明示同意。
05 /
单独同意的实施要点
《个人信息保护法》明确了个人信息处理者处理个人信息需要取得单独同意的5种情形,包括提供个人信息、公开个人信息、公共场所收集信息用于维护公共安全之外的目的、处理敏感个人信息以及向境内境外提供个人信息。42574进一步明确这5类情形下实施单独同意的要点。具体而言:
1)在提供个人信息方面:
个人信息处理者向多个其他个人信息处理者提供个人信息,如目的、方式、种类等一致,且提供过程同时或同一场景发生的,可在告知内容中逐一列举接收方身份和联系方式,由个人一并进行同意。
个人信息处理者基于个人单独同意向其他个人信息处理者提供了敏感个人信息的,宜在提供之后及时通过短信、邮件、应用内消息等方式再次向个人告知所提供的个人信息种类、目的和接收方。
2)在公开个人信息方面:
如个人信息处理者公开个人在其社交应用账号下记录的信息,需允许个人在发布信息之前能够自由选择信息的公开范围。
如个人撤回已公开信息,与公开渠道相关的个人信息处理者需通过断开链接、删除信息发布记录等措施删除已公开的个人信息。
其他个人信息处理者获取此前已公开的个人信息的,个人有权要求其进行删除。
3)在公共场所收集信息方面:
个人信息处理者可通过引导个人扫描二维码等方式了解相应个人信息处理规则后,由其主动点击“同意”方式进行授权。
涉及收集多人信息的,需逐一向每个人告知目的,并取得所有个人的单独同意,多人共同签署同一个授权书视为取得了单独同意。
4)在敏感个人信息处理方面:
向个人提供选项方式时,不得采取提前预选的方式,如默认勾选。
如为实现某一特定目的需要同时处理多项敏感个人信息的或涉及多个步骤个人信息处理活动或涉及多人的,可一并告知并一次性取得个人单独同意。
涉及处理未成年人个人信息的场景,42574区分目标人群、年龄段,以及是否征得监护人同意,提出了更加细化的规定。
5)在向境内外提供个人信息方面:
个人在自行了解个人信息处理规则后,主动向境外接收方发送涉及其个人信息内容的,可视为作出了单独同意。
涉及个人信息出境的业务功能与其他业务功能应进行区分,个人拒绝涉及个人信息出境的业务功能后,不能影响其他业务功能的正常使用。
已事前单独就个人信息出境取得个人同意,满足出境其他条件的前提下,后续无需再次取得单独同意。
此外需要注意的是,单独同意是一种增强的“同意”方式,它要求采用增强告知的方式作出充分告知,并且不适用于推定同意的相关规则。
06 /
细化说明其他合法性基础
《个人信息保护法》规定,除取得个人的同意外,以下情形也可作为处理个人信息的合法性基础:
为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
为履行法定职责或者法定义务所必需;
为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
法律、行政法规规定的其他情形。
但在实践中,个人信息处理者对于以上情形的适用标准没有统一定论,常常导致不同个人信息处理者面对相同情形作出不同的法律分析和合规选择,不利于《个人信息保护法》的落地。42574针对以上每一种情形作出细化说明,能够有效帮助个人信息处理者理解法规条文,为其实施合法性基础提供了标尺。
07 /
不同场景下告知和同意的具体实施路径
42574在附录中列举了13种个人信息处理的场景,规定了具体的告知、同意的实施路径,包括基本业务功能和扩展业务功能的告知和同意、第三方SDK嵌入的告知和同意、不满14周岁未成年人个人信息的告知和同意、个人身份认证场景以及其他9类具体的服务场景等,基本涵盖了当前个人信息处理的全部场景,为个人信息处理者进一步理解42574的合规要求以及具体实施告知和同意,提供了具体明确的场景指导。
结语
42574是实务反哺立法的典型实践。该指南曾于2020年公布征求意见稿。历时三年的修改,正式稿中大量反映了实务工作中的高频难点和合规要点。
作为一项推荐性国家标准,42574为实现个人信息处理中的告知和同意提供了具有实操价值的指导。随着信息安全和个人隐私被大家越来越重视和关注,42574的实施将对《个人信息保护法》的统一落地产生积极的影响。
本文首发自公众号:数据与电商研究室
如需转发,请注明信息来自数据与电商研究室,如有意见建议或合作,请邮件CPdatalaw@zhonglun.com.
往 期 精 彩
往期文章
本期作者:肖莆羚令 高维钊
本期编辑:王梦迪 陈雨婕 唐静思
长按二维码一键关注
期待您的“赞”和“分享”