《中华人民共和国个人信息保护法》(以下简称“《个保法》”)明确提出个人信息处理者应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围等要求。以APP运营者为例,实践中其作为数据处理者通过隐私政策对收集个人信息进行告知已较为常见,后又逐渐出现《个人信息处理规则》《个人信息与隐私保护规则》等进阶操作。
《个保法》中还针对不同类型的个人信息(如敏感个人信息、儿童个人信息等)、不同处理环节(如公开、跨境传输等)分别对个人信息处理中的义务做了特殊规定,而该等针对特殊类型信息和环节的特殊规定,除了需要符合《个保法》在单独同意、显著提示等方面的要求,也需要衔接其他法律法规及行业标准中适配于不同个人信息类别、不同收集场景、不同处理环节的具体要求。看似简单,实则繁复。
为此,本文拟从收集环节出发,有针对性地梳理个人信息告知同意到底需要告知什么,而又需要怎样的同意方式,同时辅以个人信息处理者容易忽略的部分提示事项,希望能够对个人信息处理者的收集阶段补充实操建议。
一、“告知-同意”的一般要求
按照《个保法》第十七条规定,“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。”
《APP违法违规收集使用个人信息自评估指南》(下称“《自评估指南》”)规定,“…⑤应当将收集个人信息的业务功能逐项列举,不应使用‘等、例如’字样。⑥每个业务功能都应说明其所收集的个人信息类型,不应出现多个业务功能对应一类个人信息的情况。⑦每个业务功能在说明其所收集的个人信息类型时,应在隐私政策中逐项列举,不应使用‘等、例如’等方式概括说明。…”
【告知内容提示】
· 个人信息处理者名称或者姓名和联系方式
· 个人信息的处理目的、处理方式,处理的个人信息种类、保存期限
· 个人行使本法规定权利的方式和程序
· 法律、行政法规规定应当告知的其他事项
对于个人信息的收集,除应按照《个保法》要求的内容告知以外,还应注意告知的实现方式,对于通过APP获取的个人信息还应关注收集的实现方式,在相应场景适用时按照《自评估指南》的要求逐项进行告知。
二、“告知-同意”的例外
《个保法》第十三条、第十八条规定了免予告知、免予提前告知的情形(简称“豁免条件”),但豁免条件不是“免死金牌”,适用时应审慎,个人信息处理者对是否处理符合豁免条件进行充分论证;免予告知也不是禁止告知,对个人信息的收集仍应坚持以告知为一般原则,尊重个人信息主体的权利,对具备“告知-同意”条件的,即予以告知。
【免予告知】
· 为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需
· 为履行法定职责或者法定义务所必需
· 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需
· 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息
· 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息
· 法律、行政法规规定的其他情形
· 有法律、行政法规规定应当保密或者不需要告知的情形的
【免予提前告知】
· 紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的(情况消除后告知)
三、需要单独“告知-同意”的目标要素及告知内容
(一)收集涉及个人敏感信息时“告知”
根据《个保法》第二十八条之规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
实践操作中,对待收集的目标信息难以通过《个保法》进行准确归类的情形也比较常见,可进一步结合国家标准、行业标准,以标准中的列举示例为归类的参考,如GB/T 35273—2020《信息安全技术 个人信息安全规范》(以下简称“《国标GB/T 35273》”)第3.2条及其附录B的示例:
《个保法》第二十九条规定,“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”
《个保法》第三十条规定,“个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。”
【告知内容提示】
· 个人信息处理者名称或者姓名、联系方式
· 个人信息的处理目的、处理方式
· 处理的个人信息种类、保存期限
· 个人行使本法规定权利的方式和程序
· 法律、行政法规规定应当告知的其他事项
· 处理敏感个人信息的必要性、对个人权益的影响
(二)收集涉及跨境提供时“告知”
《个保法》第三十九条规定,“个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。”在处理场景涉及跨境传输的场景下,应就该场景需要特别告知的内容单独告知并获取个人同意,如果跨境提供的信息包括敏感个人信息,则告知内容还应包括前一部分对敏感个人信息告知内容的要求,如向个人告知处理敏感个人信息的必要性及对个人权益的影响等等。
【告知内容提示】
· 境外接收方的名称或者姓名、联系方式
· 境外接收方对个人信息的处理目的、处理方式
· 个人信息的种类
· 个人向境外接收方行使本法规定权利的方式和程序等事项
(三)收集涉及向第三方提供时“告知”
《个保法》第二十三条规定,“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。……”
《国标GB/T 35273》9.2条对此有更详细的规定:“b)向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别或者关联个人信息主体的除外;c)共享、转让个人敏感信息前,除b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;……”
对外提供个人信息的,需要获取单独同意,且涉及对外提供敏感信息的,还应在同意书中告知数据接收方的数据安全能力,还应向个人告知对外提供个人信息的必要性及对个人权益的影响。个别典型场景如APP中嵌入了收集个人用户信息的第三方SDK,从效果来看,相当于设置了更为隐蔽的允许第三方信息获取的渠道,此等情形下应向终端用户(个人信息主体)明示存在第三方SDK,并同步处理个人信息的目的、方式和范围。
对于告知内容,在处理场景涉及向第三方提供的情况下,应就前述告知内容单独告知并获取个人同意,如果以共享的方式向第三方提供信息且包括敏感个人信息,则告知内容还应包括对敏感个人信息告知内容的要求。
【告知内容提示】
· 接收方的名称或者姓名、联系方式
· 接收方(对个人信息)的处理目的、处理方式
· 个人信息的种类
【提供+敏感个人信息增加告知】
· 接收方名称或者姓名、联系方式(重复)
· 个人信息的处理目的、处理方式(重复)
· 处理的个人信息种类(重复)、保存期限
· 个人行使本法规定权利的方式和程序
• 法律、行政法规规定应当告知的其他事项
• 处理敏感个人信息的必要性、对个人权益的影响
【提供+敏感个人信息+共享增加告知】
• 个人敏感信息类型(重复)
• 数据接收方的身份(重复)
• 数据接收方数据安全能力
四、“同意”的获取方式
根据《个保法》第二十三条等规定,“告知-同意”是处理个人信息的基本原则。基于上述基本原则,前文已经分析了需要告知目标要素以及告知内容,那么在告知之后该如何才能算是取得“单独同意”,下文试以APP为例,分环节介绍实践中的操作示例。
(1)用户注册环节:如在用户注册环节就已经开始收集个人敏感信息或者
在用户注册环节就能预见到会发生(如根据业务模式必定会将个人信息提供给具有明确身份的第三方或境外接收方)。这种场景下,目前通常是通过隐私政策包含“单独同意”授权内容的模式予以设置。比如设计成用户可以单独勾选的可选项,由用户自主勾选,最后再统一自主勾选确认整个隐私政策。该模式的优点在于简单易操作,用户体验较好;缺点在于若用户不仔细阅读隐私政策,则可能会没有进行或少进行勾选操作。因此又产生了隐私政策+“单独同意”并列设置的方式,即:在设置隐私政策的同时,将需要“单独同意”授权的内容配置对应的单独协议或选项内容,与隐私政策并列,由个人信息主体自主勾选确认。该模式避免了用户遗漏点击勾选确认,但用户体验方面会稍逊于上一种模式。
(2)后续业务环节:如向他人提供个人信息且前期无法预见具体的信息接
收主体、个人信息出境无法提前预见具体接收方等,只能在该环节设置单独同意。
该场景下,可以通过“弹窗+授权内容”、“弹窗+授权协议”、邮件、短信通知等一种或多种方式通知个人信息主体(前两者目前实践中比较常见),但是要确保能获得个人信息主体的明示同意,即个人信息主体自主点击确认“弹窗+授权内容/弹窗+协议”、回复邮件或短信通知等。该模式的优点在于可以根据业务需要灵活设置,但由于并非所有用户都能及时上线确认并同意,可能存在因无法及时触达而导致无法获取此类用户“单独同意”授权的情形。此外,上述两种场景中,涉及跨境传输接收方或第三方接收方时,个人信息处理者在同意书中或其他适配的交互场景中应提示客户注意第三方的隐私政策等个人信息处理规则,条件允许的情况下可提供链接等便捷获取渠道。
五、个人信息收集的易忽略事项
(一)完善对个人信息主体自主控制的保障
经过前述对告知内容进行整理,我们不难发现,多个目标要素中都要求告知接收者的身份时也要告知其联系方式,而法律同样要求这些接收者在个人信息处理规则中列明自己的联系方式及保障个人信息自主控制权的方式。通过这样的配合,合力实现对个人信息主体自主控制的有效保障。而根据《个保法》第十七条第(三)款之规定,处理个人信息前应告知个人行使《个保法》规定权利的方式和程序,《个保法》规定的权利包括查阅复制、更正删除、投诉举报、个人拒绝或撤回同意的途径等,因此不论是提供方还是接收方,同作为信息处理者,则应确保满足不同场景和渠道下客户实现撤回授权等自主控制的操作途径。
保障查阅复制权方面,在(2022)粤01民终3937号广州唯品会电子商务有限公司与周某个人信息保护纠纷一案中,法院便判令唯品会公司以Excel表格、Word文档等便于查阅的方式向周某提供个人信息电子化副本。保障撤回同意权方面,根据《个保法》第十五条的规定,个人信息处理者应当提供“便捷”的撤回同意方式,我们理解,可将撤回的按钮置于醒目的位置,且困难程度不能高于“同意”的方式,实践中也可以参考《信息安全技术个人信息告知同意指南(征求意见稿)》第9.3条关于同意的撤回的规定。
(二)多项业务功能分别收集,可选择同意
同样以APP为例,其提供的产品/服务包含的功能往往不是单一的,那么作为个人信息收集者在收集个人信息时,也不能简单地以APP为一整体进行收集,而是要区分不同产品/服务、不同功能,分别收集,且区分信息对于特定产品/服务或功能来说是“必要”还是“非必要”。根据《国标GB/T 35273》附录C,个人信息控制者应划分产品或服务的基本业务功能和拓展业务功能,对于扩展业务功能需要逐一告知所提供扩展业务功能及所必要收集的个人信息,并允许个人信息主体对扩展业务功能逐项选择同意。
对于同一项产品或服务包括基本业务功能和拓展业务功能的场景,信息处理者应在“告知-同意”时区分基本业务功能和拓展业务功能,避免一揽子授权,而是通过技术方式对于拓展业务功能实现单独、逐项的可选择授权,保障客户的选择权。
(三)被收集者与个人信息主体可能不具备同一性
因个人信息处理场景的多样性,很多情况下无法排除个人信息的被收集者与个人信息主体不具备同一性的情况,即当前同意收集并提供信息的客户并非个人信息主体本人,如收集儿童个人信息的场景,或金融机构间接收集个人信息的场景等。在此类场景下,应当予以格外关注,特别是被收集者与个人信息主体之间是否具备特定的法律(身份)关系或授权关系。
收集,是处理个人信息的核心环节之一,是个人信息处理者对个人信息获取或取得控制的开端,是个人信息生命周期的起点。因篇幅所限,个人信息保护领域相关法规政策、标准等也仍在不断完善中,我们凭借现有案例中透露的监管逻辑,结合实务经验,希望能够对现行法律法规、标准整理后,提炼出简要、实用的合规要点,帮助企业迈出个人信息合规的第一步。面临监管层执法力度不断加大(如近日网信办对滴滴作出80亿罚单),未来我们也会持续关注和更新,适时提供合规新观点。