用戶勾選隱私政策表示是同意還是已閱?
責(zé)編:gltian |2024-10-21 14:05:26歷經(jīng)漫長的三年后,在吸收相關(guān)立法、標(biāo)準(zhǔn)和前期執(zhí)法經(jīng)驗的基礎(chǔ)上,國務(wù)院正式于2024年9月30日發(fā)布《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》(以下簡稱“網(wǎng)數(shù)條例”),自2025年1月1日起施行。
作為《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》及《個人信息保護(hù)法》的重要落地支撐,《網(wǎng)數(shù)條例》承上啟下,在一定程度上重塑了個人信息保護(hù)的合規(guī)導(dǎo)向,進(jìn)一步細(xì)化了相關(guān)法律理解與適用。
基于履行合同必需或者履行法定義務(wù)等同意之外的合法性基礎(chǔ)而處理個人信息的,無需取得同意,進(jìn)一步也無需取得單獨(dú)同意。這一結(jié)論前所未有的清晰。在處理個人信息之前,厘清合法性基礎(chǔ)是展開后續(xù)合規(guī)動作的前提。這直接關(guān)系到隱私政策是否需要用戶勾選表示同意,還是表示已閱讀理解個人信息處理規(guī)則。本文圍繞這一點討論不同合法性基礎(chǔ)條件下勾選隱私政策的不同含義。
一、無需同意的情形也無需單獨(dú)同意
首先,根據(jù)《個人信息保護(hù)法》第13條第二款,有第二項至第七項規(guī)定情形的,不需取得個人同意。也就是說基于履行合同必需或者履行法定義務(wù)等同意之外的合法性基礎(chǔ)而處理個人信息的,無需取得同意。
| 第十三條 符合下列情形之一的,個人信息處理者方可處理個人信息:
(一)取得個人的同意; (二)為訂立、履行個人作為一方當(dāng)事人的合同所必需,或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需; (三)為履行法定職責(zé)或者法定義務(wù)所必需; (四)為應(yīng)對突發(fā)公共衛(wèi)生事件,或者緊急情況下為保護(hù)自然人的生命健康和財產(chǎn)安全所必需; (五)為公共利益實施新聞報道、輿論監(jiān)督等行為,在合理的范圍內(nèi)處理個人信息; (六)依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息; (七)法律、行政法規(guī)規(guī)定的其他情形。 依照本法其他有關(guān)規(guī)定,處理個人信息應(yīng)當(dāng)取得個人同意,但是有前款第二項至第七項規(guī)定情形的,不需取得個人同意。 |
但是,《個人信息保護(hù)法》第23、25、26、29 和39條規(guī)定的各種單獨(dú)同意,以及前幾年習(xí)慣性一攬子取得同意的實踐。在法律頒布初期,讓業(yè)界數(shù)據(jù)合規(guī)人感到困惑:到底是否需要取得單獨(dú)同意?在不確定的情況,取得一攬子同意似乎是更安全的做法。
| 第二十三條 個人信息處理者向其他個人信息處理者提供其處理的個人信息的,應(yīng)當(dāng)向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨(dú)同意。接收方應(yīng)當(dāng)在上述處理目的、處理方式和個人信息的種類等范圍內(nèi)處理個人信息。接收方變更原先的處理目的、處理方式的,應(yīng)當(dāng)依照本法規(guī)定重新取得個人同意。
第二十五條 個人信息處理者不得公開其處理的個人信息,取得個人單獨(dú)同意的除外。 第二十六條 在公共場所安裝圖像采集、個人身份識別設(shè)備,應(yīng)當(dāng)為維護(hù)公共安全所必需,遵守國家有關(guān)規(guī)定,并設(shè)置顯著的提示標(biāo)識。所收集的個人圖像、身份識別信息只能用于維護(hù)公共安全的目的,不得用于其他目的;取得個人單獨(dú)同意的除外。 第二十九條 處理敏感個人信息應(yīng)當(dāng)取得個人的單獨(dú)同意;法律、行政法規(guī)規(guī)定處理敏感個人信息應(yīng)當(dāng)取得書面同意的,從其規(guī)定。 第三十九條 個人信息處理者向中華人民共和國境外提供個人信息的,應(yīng)當(dāng)向個人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項,并取得個人的單獨(dú)同意。 |
不過,隨著更多的立法解釋和監(jiān)管指引,迷霧逐漸散去。例如,《數(shù)據(jù)出境安全評估申報指南(第二版)》規(guī)定,涉及個人信息出境的,需提供履行《個人信息保護(hù)法》第三十九條規(guī)定的情況說明及佐證材料,包括告知義務(wù)和取得個人的單獨(dú)同意等,若屬于《個人信息保護(hù)法》第十三條第一款第二項至第七項規(guī)定情形的,不需取得個人同意。
《網(wǎng)數(shù)條例》第22條規(guī)定在基于個人同意處理個人信息的前提下需要遵守的規(guī)則。也就是說:
- 只有在基于同意的合法性基礎(chǔ)時,處理敏感個人信息才需要取得個人的單獨(dú)同意。
- 只有在基于同意的合法性基礎(chǔ)時,處理不滿十四周歲未成年人個人信息的,才需要取得未成年人的父母或者其他監(jiān)護(hù)人的同意
第22條同時也從行政法規(guī)層面規(guī)范了同意的標(biāo)準(zhǔn)。例如,不得頻繁彈窗這種“Dark Pattern”的形式征得個人同意。
| 《網(wǎng)數(shù)條例》第二十二條 網(wǎng)絡(luò)數(shù)據(jù)處理者基于個人同意處理個人信息的,應(yīng)當(dāng)遵守下列規(guī)定:
(一)收集個人信息為提供產(chǎn)品或者服務(wù)所必需,不得超范圍收集個人信息,不得通過誤導(dǎo)、欺詐、脅迫等方式取得個人同意; (二)處理生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個人信息的,應(yīng)當(dāng)取得個人的單獨(dú)同意; (三)處理不滿十四周歲未成年人個人信息的,應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意; (四)不得超出個人同意的個人信息處理目的、方式、種類、保存期限處理個人信息; (五)不得在個人明確表示不同意處理其個人信息后,頻繁征求同意; (六)個人信息的處理目的、方式、種類發(fā)生變更的,應(yīng)當(dāng)重新取得個人同意。 法律、行政法規(guī)規(guī)定處理敏感個人信息應(yīng)當(dāng)取得書面同意的,從其規(guī)定。 |
二、不同合法性基礎(chǔ)勾選隱私政策的含義
無論基于何種合法性基礎(chǔ)處理個人信息,個人信息處理者都有義務(wù)充分告知個人信息處理規(guī)則,強(qiáng)調(diào)的是讓個人“知情”。而基于同意的合法性基礎(chǔ)處理個人信息,則需要取得個人的同意,此時強(qiáng)調(diào)的是“知情”且“同意”。如果通過隱私政策告知個人個人信息處理規(guī)則,那么勾選框在不同合法性基礎(chǔ)下代表的含義不同,以及所對應(yīng)的交互文案也應(yīng)該按需調(diào)整。
1. 基于非同意的合法性基礎(chǔ)的情形
一般而言,如果隱私政策中的所有個人信息處理活動都是基于非同意的合法性基礎(chǔ),那么隱私政策主要是向個人“告知”個人信息處理規(guī)則。根據(jù)《個人信息處理中告知和同意的實施指南》,個人信息處理者宜將個人信息保護(hù)政策的完整內(nèi)容置于產(chǎn)品或服務(wù)的基本業(yè)務(wù)功能開啟時與告知相關(guān)的交互式界面中,并通過彈窗提示、提醒勾選、突出鏈接等明顯方式,主動提示個人閱讀個人信息處理規(guī)則。
因此,在用戶注冊頁面,如果在隱私政策鏈接旁邊設(shè)置勾選框,那么個人勾選則意味著已閱讀個人信息保護(hù)規(guī)則。另外對應(yīng)的文案不應(yīng)該有同意的字眼,大概意思可以是:勾選代表您已閱讀隱私政策。或者用戶協(xié)議與隱私政策的放在一起,共用一個勾選框,文案則建議是:勾選代表您同意用戶協(xié)議且已確認(rèn)閱讀隱私政策。
那么把個人信息處理規(guī)則——即隱私政策囊括在用戶協(xié)議或者其他合同文本是否有不妥之處呢?例如,下圖中注冊本App帳號的實踐,其未單獨(dú)列出“隱私政策”,而是包括在《軟件許可及服務(wù)協(xié)議》里面。本文認(rèn)為,為了讓用戶有更多機(jī)會了解個人信息保護(hù)規(guī)則,宜放在帳號注冊頁面。
2. 基于同意的法律基礎(chǔ)的情形
如果隱私政策中的所有個人信息處理活動都是基于同意的合法性基礎(chǔ),那么勾選隱私政策,則意味著個人表示同意。這種情形在實踐中可能不多,但是也是可能存在的。此時需要重點關(guān)注同意證據(jù)保存和撤銷同意的個人信息主體權(quán)利響應(yīng)。根據(jù)《個人信息保護(hù)法》第15條,基于個人同意處理個人信息的,個人有權(quán)撤回其同意。個人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。在實踐中,個人信息處理者需結(jié)合產(chǎn)品或服務(wù)的業(yè)務(wù)功能特點、收集個人信息的種類和方式、取得個人同意的過程等因素,設(shè)計個人撤回其同意的機(jī)制。另外,個人信息處理者需要采取技術(shù)或管理措施,留存取得個人同意過程的證據(jù),以實現(xiàn)保證處理個人信息的合法性、向有關(guān)司法、監(jiān)管部門提供必要證明材料。詳情可查看《個人信息處理中告知和同意的實施指南》。
3. 同時基于同意和非同意的法律基礎(chǔ)的情形
當(dāng)隱私政策描述的數(shù)據(jù)處理活動既包括基于同意的,也包括履行合同所必需或者法定義務(wù)的合法性基礎(chǔ)時。
本文建議,可以在隱私政策或者個人信息保護(hù)政策中描述所有個人信息收集的合法性基礎(chǔ)和業(yè)務(wù)目的。在注冊頁面引導(dǎo)個人閱讀隱私政策的同時,根據(jù)情況另外設(shè)置同意事項的勾選框。例如,基于同意的合法性基礎(chǔ)處理個人敏感信息,可以在引導(dǎo)用戶閱讀隱私政策的同時,設(shè)置單獨(dú)同意勾選框以獲得個人同意,也可以在收集用戶個人敏感信息時再彈窗告知相關(guān)情況。例如地理定位信息處理以設(shè)備權(quán)限彈窗的形式取得單獨(dú)同意。反之,如果處理個人敏感個人信息不是基于同意而是履行合同所必需的合法性基礎(chǔ),則不應(yīng)該取得單獨(dú)同意,而設(shè)備地理權(quán)限彈窗披露收集目的也僅是告知動作,不是在取得同意。
總之,個人信息處理的合法性基礎(chǔ)判斷是數(shù)據(jù)合規(guī)工作的開始。而如何界定合法性基礎(chǔ)在某些業(yè)務(wù)場景確非易事,需要結(jié)合業(yè)務(wù)常識和具體場景來認(rèn)定。另外告知和同意的時機(jī)和文案設(shè)計都需要與業(yè)務(wù)目的進(jìn)行調(diào)合,盡最大努力達(dá)成共贏的方案。(張曉麗)
聲明:本文來自數(shù)據(jù)合規(guī)與治理,稿件和圖片版權(quán)均歸原作者所有。所涉觀點不代表東方安全立場,轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán),請聯(lián)系rhliu@skdlabs.com,我們將及時按原作者或權(quán)利人的意愿予以更正。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧