压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

歷經(jīng)漫長的三年后，在吸收相關(guān)立法、標(biāo)準(zhǔn)和前期執(zhí)法經(jīng)驗(yàn)的基礎(chǔ)上，國務(wù)院正式于2024年9月30日發(fā)布《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》（以下簡稱“網(wǎng)數(shù)條例”），自2025年1月1日起施行。

作為《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》及《個(gè)人信息保護(hù)法》的重要落地支撐，《網(wǎng)數(shù)條例》承上啟下，在一定程度上重塑了個(gè)人信息保護(hù)的合規(guī)導(dǎo)向，進(jìn)一步細(xì)化了相關(guān)法律理解與適用。

基于履行合同必需或者履行法定義務(wù)等同意之外的合法性基礎(chǔ)而處理個(gè)人信息的，無需取得同意，進(jìn)一步也無需取得單獨(dú)同意。這一結(jié)論前所未有的清晰。在處理個(gè)人信息之前，厘清合法性基礎(chǔ)是展開后續(xù)合規(guī)動(dòng)作的前提。這直接關(guān)系到隱私政策是否需要用戶勾選表示同意，還是表示已閱讀理解個(gè)人信息處理規(guī)則。本文圍繞這一點(diǎn)討論不同合法性基礎(chǔ)條件下勾選隱私政策的不同含義。

一、無需同意的情形也無需單獨(dú)同意

首先，根據(jù)《個(gè)人信息保護(hù)法》第13條第二款，有第二項(xiàng)至第七項(xiàng)規(guī)定情形的，不需取得個(gè)人同意。也就是說基于履行合同必需或者履行法定義務(wù)等同意之外的合法性基礎(chǔ)而處理個(gè)人信息的，無需取得同意。

但是，《個(gè)人信息保護(hù)法》第23、25、26、29 和39條規(guī)定的各種單獨(dú)同意，以及前幾年習(xí)慣性一攬子取得同意的實(shí)踐。在法律頒布初期，讓業(yè)界數(shù)據(jù)合規(guī)人感到困惑：到底是否需要取得單獨(dú)同意？在不確定的情況，取得一攬子同意似乎是更安全的做法。

不過，隨著更多的立法解釋和監(jiān)管指引，迷霧逐漸散去。例如，《數(shù)據(jù)出境安全評(píng)估申報(bào)指南（第二版）》規(guī)定，涉及個(gè)人信息出境的，需提供履行《個(gè)人信息保護(hù)法》第三十九條規(guī)定的情況說明及佐證材料，包括告知義務(wù)和取得個(gè)人的單獨(dú)同意等，若屬于《個(gè)人信息保護(hù)法》第十三條第一款第二項(xiàng)至第七項(xiàng)規(guī)定情形的，不需取得個(gè)人同意。

《網(wǎng)數(shù)條例》第22條規(guī)定在基于個(gè)人同意處理個(gè)人信息的前提下需要遵守的規(guī)則。也就是說：

• 只有在基于同意的合法性基礎(chǔ)時(shí)，處理敏感個(gè)人信息才需要取得個(gè)人的單獨(dú)同意。
• 只有在基于同意的合法性基礎(chǔ)時(shí)，處理不滿十四周歲未成年人個(gè)人信息的，才需要取得未成年人的父母或者其他監(jiān)護(hù)人的同意

第22條同時(shí)也從行政法規(guī)層面規(guī)范了同意的標(biāo)準(zhǔn)。例如，不得頻繁彈窗這種“Dark Pattern”的形式征得個(gè)人同意。

二、不同合法性基礎(chǔ)勾選隱私政策的含義

無論基于何種合法性基礎(chǔ)處理個(gè)人信息，個(gè)人信息處理者都有義務(wù)充分告知個(gè)人信息處理規(guī)則，強(qiáng)調(diào)的是讓個(gè)人“知情”。而基于同意的合法性基礎(chǔ)處理個(gè)人信息，則需要取得個(gè)人的同意，此時(shí)強(qiáng)調(diào)的是“知情”且“同意”。如果通過隱私政策告知個(gè)人個(gè)人信息處理規(guī)則，那么勾選框在不同合法性基礎(chǔ)下代表的含義不同，以及所對(duì)應(yīng)的交互文案也應(yīng)該按需調(diào)整。

1. 基于非同意的合法性基礎(chǔ)的情形

一般而言，如果隱私政策中的所有個(gè)人信息處理活動(dòng)都是基于非同意的合法性基礎(chǔ)，那么隱私政策主要是向個(gè)人“告知”個(gè)人信息處理規(guī)則。根據(jù)《個(gè)人信息處理中告知和同意的實(shí)施指南》，個(gè)人信息處理者宜將個(gè)人信息保護(hù)政策的完整內(nèi)容置于產(chǎn)品或服務(wù)的基本業(yè)務(wù)功能開啟時(shí)與告知相關(guān)的交互式界面中，并通過彈窗提示、提醒勾選、突出鏈接等明顯方式，主動(dòng)提示個(gè)人閱讀個(gè)人信息處理規(guī)則。

因此，在用戶注冊(cè)頁面，如果在隱私政策鏈接旁邊設(shè)置勾選框，那么個(gè)人勾選則意味著已閱讀個(gè)人信息保護(hù)規(guī)則。另外對(duì)應(yīng)的文案不應(yīng)該有同意的字眼，大概意思可以是：勾選代表您已閱讀隱私政策。或者用戶協(xié)議與隱私政策的放在一起，共用一個(gè)勾選框，文案則建議是：勾選代表您同意用戶協(xié)議且已確認(rèn)閱讀隱私政策。

那么把個(gè)人信息處理規(guī)則——即隱私政策囊括在用戶協(xié)議或者其他合同文本是否有不妥之處呢？例如，下圖中注冊(cè)本App帳號(hào)的實(shí)踐，其未單獨(dú)列出“隱私政策”，而是包括在《軟件許可及服務(wù)協(xié)議》里面。本文認(rèn)為，為了讓用戶有更多機(jī)會(huì)了解個(gè)人信息保護(hù)規(guī)則，宜放在帳號(hào)注冊(cè)頁面。

2. 基于同意的法律基礎(chǔ)的情形

如果隱私政策中的所有個(gè)人信息處理活動(dòng)都是基于同意的合法性基礎(chǔ)，那么勾選隱私政策，則意味著個(gè)人表示同意。這種情形在實(shí)踐中可能不多，但是也是可能存在的。此時(shí)需要重點(diǎn)關(guān)注同意證據(jù)保存和撤銷同意的個(gè)人信息主體權(quán)利響應(yīng)。根據(jù)《個(gè)人信息保護(hù)法》第15條，基于個(gè)人同意處理個(gè)人信息的，個(gè)人有權(quán)撤回其同意。個(gè)人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。在實(shí)踐中，個(gè)人信息處理者需結(jié)合產(chǎn)品或服務(wù)的業(yè)務(wù)功能特點(diǎn)、收集個(gè)人信息的種類和方式、取得個(gè)人同意的過程等因素，設(shè)計(jì)個(gè)人撤回其同意的機(jī)制。另外，個(gè)人信息處理者需要采取技術(shù)或管理措施，留存取得個(gè)人同意過程的證據(jù)，以實(shí)現(xiàn)保證處理個(gè)人信息的合法性、向有關(guān)司法、監(jiān)管部門提供必要證明材料。詳情可查看《個(gè)人信息處理中告知和同意的實(shí)施指南》。

3. 同時(shí)基于同意和非同意的法律基礎(chǔ)的情形

當(dāng)隱私政策描述的數(shù)據(jù)處理活動(dòng)既包括基于同意的，也包括履行合同所必需或者法定義務(wù)的合法性基礎(chǔ)時(shí)。

本文建議，可以在隱私政策或者個(gè)人信息保護(hù)政策中描述所有個(gè)人信息收集的合法性基礎(chǔ)和業(yè)務(wù)目的。在注冊(cè)頁面引導(dǎo)個(gè)人閱讀隱私政策的同時(shí)，根據(jù)情況另外設(shè)置同意事項(xiàng)的勾選框。例如，基于同意的合法性基礎(chǔ)處理個(gè)人敏感信息，可以在引導(dǎo)用戶閱讀隱私政策的同時(shí)，設(shè)置單獨(dú)同意勾選框以獲得個(gè)人同意，也可以在收集用戶個(gè)人敏感信息時(shí)再彈窗告知相關(guān)情況。例如地理定位信息處理以設(shè)備權(quán)限彈窗的形式取得單獨(dú)同意。反之，如果處理個(gè)人敏感個(gè)人信息不是基于同意而是履行合同所必需的合法性基礎(chǔ)，則不應(yīng)該取得單獨(dú)同意，而設(shè)備地理權(quán)限彈窗披露收集目的也僅是告知?jiǎng)幼鳎皇窃谌〉猛狻?/p>

總之，個(gè)人信息處理的合法性基礎(chǔ)判斷是數(shù)據(jù)合規(guī)工作的開始。而如何界定合法性基礎(chǔ)在某些業(yè)務(wù)場景確非易事，需要結(jié)合業(yè)務(wù)常識(shí)和具體場景來認(rèn)定。另外告知和同意的時(shí)機(jī)和文案設(shè)計(jì)都需要與業(yè)務(wù)目的進(jìn)行調(diào)合，盡最大努力達(dá)成共贏的方案。（張曉麗）

聲明：本文來自數(shù)據(jù)合規(guī)與治理，稿件和圖片版權(quán)均歸原作者所有。所涉觀點(diǎn)不代表東方安全立場，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請(qǐng)聯(lián)系rhliu@skdlabs.com，我們將及時(shí)按原作者或權(quán)利人的意愿予以更正。