本文来自微信公众号“CCIA数据安全工作委员会”,作者/王昕、张蒋苗、落红卫。
一 概述
自《中华人民共和国个人信息保护法》正式实施以来,“告知-同意”成为APP个人信息处理的核心规则,该规则明确要求处理个人信息之前应以显著方式向个人履行告知义务,应在事先充分告知的前提下取得个人同意。“告知-同意”规则的有效实施对于企业落地个人信息保护法、提升用户个人信息保护至关重要,是企业个人信息保护合规实务中应用最为基础也是最为广泛的内容之一。本文旨在对个人信息数据处理中“告知-同意”的相关法律法规、内涵及相关合规标准展开讨论,以供App运营者理解和落地“告知-同意”相关要求时参考。
二 相关法律法规与规范性文件
2012年,《全国人民代表大会常务委员会关于加强网络信息保护的决定》中首次明确了未经用户同意不得收集、使用个人信息的原则。2017年,《中华人民共和国网络安全法》规定网络运营者收集、使用个人信息时,应明示告知并获得被收集者的同意。2020年通过的《中华人民共和国民法典》进一步围绕“告知-同意”搭建了个人信息保护的法律框架。随后,2021年,《中华人民共和国个人信息保护法》将“告知-同意”进一步具体化,正式确立了以“告知-同意”为核心的个人信息保护规则。
图1法律法规与规范性文件
“告知-同意”规则在《网络安全法》、《民法典》、《个人信息保护法》等法律中均有规定,《网络安全法》首次从法律层面明确了我国个人信息处理的“告知-同意”规则,《民法典》则以基础法的形式确立了这一原则,将“告知-同意”规则作为处理个人信息的首要合法条件予以规定,《个人信息保护法》确立了以“告知-同意”为核心的个人信息处理规则。在处理个人信息时,应履行“告知-同意”义务。涉及个人信息数据跨境、公开个人信息、敏感个人信息处理等情形时需获得个人的单独同意,变更个人信息处理目的、方式和个人信息种类时,需取得个人的重新同意,法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
个保法中“告知”与“同意”的关系如图2所示:
图2个保法中的“告知”与“同意”
此外,《工业和信息化部关于开展信息通信服务感知提升行动的通知》(工信部信管函〔2021〕292号)、《关于进一步提升移动互联网应用服务能力的通知》(工信部信管函〔2023〕26号)也对“告知-同意”做出了规定:《工业和信息化部关于开展信息通信服务感知提升行动的通知》(工信部信管函〔2021〕292号)规定,互联网企业应以简洁、清晰、易懂的方式,向用户提供APP产品隐私政策摘要,涉及敏感权限应以适当方式告知用户调用目的,充分保障用户知情权;《关于进一步提升移动互联网应用服务能力的通知》(工信部信管函〔2023〕26号)规定,企业应明示个人信息处理规则,如发生变动,应及时告知用户最新情况。突出显示敏感个人信息的处理目的、方式和范围,建立已收集个人信息清单,不得采用默认勾选、缩小文字、冗长文本等方式诱导用户同意个人信息处理规则。
三 “告知-同意”规则的内涵
“告知-同意”是个人信息保护领域的重要规则,作为个人信息主体意愿表达、控制权行使的工具,体现了个人信息自决权。通过“告知-同意”规则,个人信息处理者向用户告知个人信息处理的目的、方式等法定事项,用户可选择是否与个人信息处理者共享个人信息,经用户同意后个人信息处理者方可获得处理个人信息的合法性基础。
关于“告知”,GB/T 42574-2023《信息安全技术个人信息处理中告知和同意的实施指南》(以下简称“指南”)中指出:告知是指使个人知晓其个人信息处理活动及其有关规则的行为。告知是个人信息处理者履行义务的表现。“指南”将告知分为一般告知、增强告知和即时提示三种:一般告知主要用于个人信息处理前,强度较低;增强告知和即时提示更多用于个人信息处理过程中。
关于“同意”,“指南”指出:同意是指个人对其个人信息进行处理自愿、明确作出授权的行为。同意是个人意思自治的体现,代表了个人自主地对个人信息进行处分的权利。“指南”按照个人信息主体行为的主观态度,将同意机制分为明示同意和其他同意。其中:个人信息主体通过积极的行为作出授权则为明示同意,因客观条件限制、个人自身习惯、保护各方合法利益等原因,个人无法表达明示同意时,通过个人的行为而推定其作出授权即为其他同意。
“指南”根据同意在实施中具体的表现形式,将同意分为单独同意、书面同意等。单独同意、书面同意是基于特定目的和效果而产生,是特殊的明示同意。其中:单独同意是细颗粒度实现明示同意的一种方式,指为了对个人信息进行特定处理而专门作出具体、明确授权的行为,不包括一次性针对多种目的或方式的个人信息处理活动作出的同意;书面同意一般为法律法规明文要求,以纸质或数据电文等有形地表现所载内容,并由个人通过主动签名、签章等形式取得个人同意。
“明示同意”强调从主体角度的提示方式和程度;“单独同意”强调提示对象的粒度,针对特定场景、行为的同意。
总体来看,“告知”与“同意”分别对应个人的知情权与决定权,“告知”是“同意”的前提,知情权先于决定权。“指南”在第8章、第9章对“告知”和“同意”提出了要求,两者的分类及对应关系如图3所示:
图3“指南”中的“告知”与“同意”的对应
《民法典》第140条规定,行为人可以明示或默示做出意思表示。个人信息保护的诸多标准文稿中,也多次出现了“默示同意”的描述,即通过消极的不作为而作出授权为默示同意。行业标准T/CLAST 001-2021T/CLAST 001-2021《个人信息处理法律合规性评估指引第1部分:概述和术语》中也提到了“默示同意”。但该标准同时强调,“应尽可能避免需要将消极行为推定为默示同意的场景设计”,“不宜将默示同意作为授权同意的一般原则或默认设定”。在后续的个人信息保护标准中,“默示同意”较少正式出现,旨在引导个人信息处理者通过明示同意方式处理个人信息,加强对用户个人信息的保护。
四 相关标准情况
除法律法规外,全国信息安全标准化技术委员会、中国通信标准化协会和电信终端产业协会分别制定了“告知-同意”相关国家标准、行业标准和团体标准。其中,GB/T 42574-2023《信息安全技术个人信息处理告知同意实施指南》对个人信息处理者在不同场景下处理个人信息过程中的“告知-同意”给出了顶层的实施参考框架;行业标准和团体标准则更多针对移动互联网的特定业务场景提出“告知-同意”相关要求。本文选取两项代表性国家标准予以解读,更细分领域和场景下的“告知-同意”要求常被其他行业或团体标准覆盖,如需详细了解需要参与或查阅相关标准编制进展。
GB/T 42574-2023《信息安全技术个人信息处理中告知和同意的实施指南》给出了个人信息处理者处理个人信息时,向主体告知处理规则、取得个人同意的实施方法和步骤,是第一个对“告知-同意”进行细化并给出了具体实施参考的国家标准。
图4“指南”中“告知-同意”相关标准要求
GB/T 41391-2022《信息安全技术移动互联网应用程序(App)收集个人信息基本要求》(以下简称“基本要求”)虽然发布时间早于“指南”,但其基本原则与细化要求均与“指南”一致。其6.4节对移动互联网应用程序(APP)收集个人信息的告知同意要求进行了规定,从APP的服务类型、功能类型延伸至必要个人信息和非必要个人信息。除了要求APP显著通知(弹窗、图文、动画)隐私政策核心内容外,“基本要求”还要求APP向用户明示APP基本业务功能、扩展业务功能和必要个人信息范围,显著区分必要和非必要个人信息。具体包括:必要个人信息和非必要个人信息的拆分同意;同意收集必要信息时,保障可拒绝同意或撤回同意非必要信息收集,并不就此影响App基本功能的使用;不能通过捆绑不同类型服务、捆绑扩展业务功能诱导、强迫用户一次性同意个人信息收集请求。
图5“基本要求”中“告知-同意”相关标准要求
五 结语
综上,在“指南”国标的顶层框架之下,更多个人信息保护合规标准已将“告知-同意”原则从一种基于隐私政策的基本要求,逐步落地为涉及用户个人信息处理多个环节的详尽规定。标准的细化有助于增强用户对个人信息流向和使用的理解和控制,从而更加有效地保护用户权益。对于个人信息处理者而言,需要建立更加精细、透明的用户个人信息管理机制,提高技术和管理水平,加强用户交互,在确保用户良好体验的同时做好个人信息保护,共同维护健康的数字生态。
参考文献
【1】GB/T 42574-2023信息安全技术个人信息处理中告知和同意的实施指南
【2】T/CLAST 001-2021T/CLAST 001-2021个人信息处理法律合规性评估指引第1部分:概述和术语
【3】工业和信息化部关于开展信息通信服务感知提升行动的通知(工信部信管函〔2021〕292号)https://www.gov.cn/zhengce/zhengceku/2021-11/06/content_5649420.htm
【4】关于进一步提升移动互联网应用服务能力的通知(工信部信管函〔2023〕26号)https://www.gov.cn/zhengce/zhengceku/2023-03/02/content_5744106.htm
【5】韩旭至.个人信息保护中告知同意的困境与出路——兼论《个人信息保护法(草案)》相关条款[J].经贸法律评论,2021,(01):47-59.
【6】万方.隐私政策中的告知同意原则及其异化[J].法律科学(西北政法大学学报),2019,37(02):61-68.
【7】万方.个人信息处理中的“同意”与“同意撤回”[J].中国法学,2021,(01):167-188.
(本文作者:北京快手科技有限公司谷晨、落红卫)