首页
搜索 搜索
快讯

《个人信息处理中告知和同意的实施指南》国标要点解读

2023-06-28 15:55:55 互联网

2023年5月23日,国家市场监督管理总局、国家标准化管理委员会发布了GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》(以下简称“《实施指南》”),并将于2023年12月1日起开始实施。《实施指南》在《个人信息保护法》(以下简称“《个保法》”)和GB/T 35273《信息安全技术 个人信息安全规范》的基础上,细化了处理个人信息时,向个人告知处理规则、取得个人同意的实施方法和步骤,不仅适用于个人信息处理者在开展个人信息处理活动时保障个人权益,也可为监管、检查、评估等活动提供参考。这份《实施指南》旨在细化操作步骤,以推动个人信息保护工作的精细化和规范化。

01告知


(资料图)

1.告知的适用情形‍‍‍

依照《个保法》第十七条规定,“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知”,《实施指南》细化了“处理个人信息”的适用情形。这包括了收集个人信息、提供个人信息、公开个人信息,以及处理活动发生变更等多个场景。这种细化的规定和示例,有助于个人信息处理者更准确地将相关要求应用于实践,从而更高效、精准地推进个人信息保护合规工作。

2.告知的方式‍

《实施指南》将告知的方式细化为一般告知、增强告知、即时提示三种,对每种告知方式分别作了具体举例,有利于个人信息处理者实施告知时,更好地结合产品或服务的业务功能特点,选择适当的告知方式或将多种告知方式进行组合。

一般告知主要用于个人信息处理者在处理个人信息前采用制定、展示个人信息保护政策(或被称为“隐私协议”“隐私政策”等)的形式进行告知。

增强告知通常采用设置专门界面或单独步骤的方式向个人告知相关信息,其告知的内容更加容易被个人所理解,且通常采用个人不可绕过的方式,以协助个人作出是否同意的决定。

即时提示主要用于在个人使用产品或服务过程中,个人信息处理活动发生当时,强化个人对收集个人信息的目的。

3.告知的内容‍

《实施指南》在告知的内容上作出了详细的规定,对于不同情形下收集个人信息时需要告知的内容进行了明确。个人信息处理者需重点关注自动采集个人信息的方式、时机、频次;Cookies等同类技术收集个人信息的相关机制,包括收集个人信息的目的、种类,拒绝或清除记录的方法等;自动化决策的基本原理、对个人权益的重大影响以及拒绝自动化决策的方式;拒绝个性化推送的方式等。

4.告知的实施‍

《实施指南》从告知的界面或渠道、告知内容的展示、告知的时机和频率予以展开,进一步为标准应用人员制定具体的告知方案提供参考。

首先,个人信息处理者应以便于个人立即阅读、获取的方式,设计适当的告知界面或渠道,并根据载体、环境等的不同进行调整,优化告知界面或渠道的形式;

其次,告知内容的展示需以个人视角的用户体验和权益保障为出发点,以清晰易懂、内容简洁、主次分明为目标设计展示方案;

个人信息处理者还需要通过设置合理的告知时机和频率,将首次告知、同步告知、再次告知等时机相结合,以提高告知的充分性和有效性。

02同意

1.同意的适用情形

《实施指南》将“同意的适用情形”拆分成“需取得同意的情形”和“免于取得同意的情形”,其中免于取得个人同意的情形是在《个人信息保护法》第十三条(二)~(七)规定的基础上进行了拓展与细化。

2.同意机制的选择

《实施指南》根据同意实施的特点、步骤等区分了“明示同意、单独同意、书面同意、单次同意、拒绝同意、撤回同意、同意证据留存”等概念,为不同场景下制定同意的实施方案提供了丰富的思路。

3.明示同意和推定同意‍‍‍‍‍

《实施指南》提出,个人信息处理者取得同意时,原则上需使用明示同意的方式,确保个人在理解收集目的和相关处理规则的基础上,自主给出具体、清晰、明确的意愿表示,且避免采取被动接受、默认选择的方式,导致个人忽略对个人信息处理规则的关注。

但实践中,由于客观条件限制、个人自身习惯、保护各方合法利益等原因,个人无法表达明示同意时,可以推定个人表示同意。我们实践中最常碰到的推定同意的情形如个人未明确表示拒绝个人信息处理,或个人选择继续使用特定业务时,推定出个人表示同意。

除此之外,在同时满足以下四个条件时,可以推定个人表示同意:

(1)取得明示同意存在显著困难;

(2)经个人信息保护影响评估确认个人信息的处理不会对个人权益造成不利影响;

(3)已采取了适当的方式向个人告知了个人信息处理规则;

(4)不影响个人行使撤回同意的权利。

推定个人表示同意并非一劳永逸,在后续的个人信息处理活动中,个人信息处理者若满足执行明示同意的条件时,仍需向个人告知撤回同意的方式,或重新取得个人的明示同意。

4.单独同意

根据《个保法》第二十三条、第二十五条、第二十六条、第二十九条、第三十九条的要求,个人信息处理者在向其他个人信息处理者提供个人信息、公开个人信息、在公共场所安装图像采集、个人身份识别设备收集个人信息、处理敏感个人信息、向境外提供个人信息时,应当取得个人信息主体的单独同意。

单独同意是目前个人信息处理者面对的重大难题之一,不仅是在提供、公开个人信息时,或是跨境传输个人信息时,都需要获得个人信息主体的单独同意,因此,各行各业的个人信息处理者在小程序和App的注册页面中都在做相应调整,以适配《个保法》的强制要求。

《实施指南》首先提出,在个人作出单独同意之前,需通过增强告知的方式,针对需要单独同意的情形专门向个人进行充分告知,避免一揽子取得个人同意。其次,针对《个保法》中提出的六类需获得个人单独同意的场景(提供个人信息、公开个人信息、公共场所收集信息用于维护公共安全之外的目的、处理敏感个人信息、向境外提供个人信息)以及可能对个人权益带来重大影响的个人信息处理活动(如实施对个人信用、绩效评定、所接受服务的质量、交易价格等会对自然人人格尊严、人身或财产安全等产生重大直接影响的自动化决策),提供了具体的实施建议和要点。

提供个人信息的单独同意

《实施指南》在《个保法》第二十三条的基础上,提出了“若向多个其他个人信息处理者提供个人信息,如提供个人信息的目的、方式、种类等一致,提供过程同时或同一场景发生的,可在告知内容中逐一列举接收方的身份和联系方式,由个人一并进行同意”,避免了实践中因接收方不同而导致个人进行多次单独同意的情形,解决了App中因同一处理目的接入多个其他个人信息处理者的代码、插件的情况。

公开个人信息的单独同意

《实施指南》明确规定个人信息处理者公开其处理的个人信息前,需向个人告知所公开个人信息的种类,公开的目的、方式、范围,可能对个人产生的不利影响以及个人的权利,并取得个人的单独同意。

公共场所收集信息用于维护公共安全之外的目的

《实施指南》在《个保法》第二十六条的基础上,提出了个人信息处理者在公共场所通过图像采集、个人身份识别设备所收集的个人图像、身份识别信息的,需向个人告知处理与该目的相关的个人信息处理规则,并取得个人的单独同意。例如会员身份确认的场景下,可通过引导个人通过扫描二维码等方式了解相应个人信息处理规则后,由其主动点击“同意”方式进行授权。

个人信息跨境传输的单独同意

关于个人信息跨境传输的单独同意,《实施指南》最新明确,收集个人信息时已事前单独就个人信息出境取得个人同意,满足出境其他条件的前提下,后续在出境时可不再次取得个人单独同意;这意味着跨国企业的个人信息处理者在设计App和小程序中注册会员页面时,设置个人信息跨境单独同意的选项具有了明确的可行性依据。

除此,《实施指南》还提出个人在自行了解境外接收方所公布的个人信息处理规则后,主动以邮件、短信息、点击启动服务、在线提交信息或直接确认等方式向境外接收方发送涉及其个人信息内容的,可视为作出了单独同意,为目前跨国企业跨境传输个人信息解决了实践上的困难。

敏感个人信息的单独同意

《实施指南》提出,如为实现某一特定目的需要同时处理多项敏感个人信息的,可一并告知并一次性取得个人单独同意。该条款简化了单独同意的实践操作,若收集多项敏感个人信息时均需要分别获得个人信息主体的单独同意,大大增加了个人信息处理者的操作难度,也为个人信息主体带来了操作重复的不便。例如,个人信息处理者为了开通网上投资理财服务而需要收集投资人姓名、手机号码、身份证号和银行卡号等的,可在一个表单页面中就需要收集的多项字段一并告知并一次性取得个人单独同意,对于其中的“身份证号”和“银行卡号”标识为“敏感个人信息”。

新增的单独同意情形

除《个保法》规定的需要获得个人单独同意的情形外,《实施指南》将可能对个人权益带来重大影响的个人信息处理活动也纳入需要获取个人单独同意的情形,要求个人信息处理者充分履行告知义务。何为“可能对个人权益带来重大影响的个人信息处理活动”?《实施指南》明确,实施对个人信用、绩效评定、所接受服务的质量、交易价格等会对自然人人格尊严、人身或财产安全等产生重大直接影响的自动化决策,通常属于可能对个人权益带来重大影响的个人信息处理活动。

建议个人信息处理者要尤其关注本条的规定,梳理法律法规明确要求采取单独同意的情形,以及经评估认为可能对个人权益带来重大影响的个人信息处理活动,形成需执行单独同意的清单。

5.拒绝同意与撤回同意

《实施指南》中细化了拒绝同意与撤回同意的实施要点。

关于拒绝同意,个人拒绝同意后,如相关个人信息并非为提供服务所必需,不以频繁询问、请求(如48h内超过1次询问)同意方式对个人造成打扰;

关于撤回同意,《实施指南》明确个人撤回同意后,个人信息处理者需在承诺时限内(不超过15日)完成对撤回同意请求的确认,以及完成删除或匿名化相关个人信息的操作,并向个人反馈撤回同意的结果;

同时,《实施指南》提出新的要求,要求个人信息处理者留存取得个人同意过程的证据,留存时间宜不少于3年,留存同意的证据需遵循最小必要原则,以应对有关司法活动及监管部门的审查。

03附录

附录主要涵盖了可推定为同意的情形示例以及十三类个人信息处理场景下的告知和同意实施要点,具体包括App基本和扩展业务功能、App嵌入第三方SDK场景、处理不满14周岁的未成年人个人信息、智慧生活场景、公共场所场景、个性化推送场景、云计算服务场景、车内场景、互联网金融场景、网上购物场景、快递物流场景、互联网房产经纪服务场景、个人身份认证场景的告知和同意。

作者:武秋圆 上海赛博网络安全产业创新研究院高级研究员