干货收藏 | 个人信息保护最新国标《告知同意指南》详细解读
2023年5月23日,国家标准化管理委员会和国家市场监督管理总局联合发布了国标GB/T 42574—2023 《信息安全技术 个人信息处理中告知和同意的实施指南》(以下简称《告知同意指南》),将于2023年12月1日正式生效。《告知同意指南》是根据《网络安全法》、《个人信息保护法》、《App违法违规收集使用个人信息行为认定方法》等有关法律法规并结合国外立法和标准的研究而制定的国家标准,该标准明确了告知个人信息处理规则、取得个人同意的具体实施方法和步骤,包括单独同意和书面同意的实施,并对APP、云计算、车内、快递物流、互联网金融等13个常见个人信息处理场景给出了细化说明,可以为企业、监管部门、第三方测评机构等开展评估工作提供重要参考依据。
01
《个保法》中的告知与同意
2021年11月1日,我国《个人信息保护法》(以下简称《个保法》)正式发布,标志着我国个人信息保护进入到一个全新的法治阶段,《个保法》确立的“告知-同意”规则是个人信息处理规则的核心。在《个保法》全文中,“告知”一词出现了 16 次,“同意”一词出现了 27 次。
《个保法》明确提出处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围。而实践中对于告知与同意的具体操作标准尚存疑问。很多企业会收集到海量的用户数据,比如账号密码、姓名、性别、身份证号、地址、手机号甚至人脸、指纹等生物特征信息,如何规范使用个人信息并符合相关法律要求成为企业运营的一大难题。
为协调处理企业、个人和社会公共利益之间的关系,《个保法》通过多个条文系统地搭建了告知同意规则。但在数字网络技术条件下,个人信息处理主要通过网络大规模实现,且隐私协议往往晦涩难懂,导致企业在实践落地时遇到不少困境和挑战。
02
对接《个保法》,
《告知同意指南》成为最新国标
目前实践中普遍遵循GB/T 35273-2020《信息安全技术 个人信息安全规范》(以下简称“《个人信息安全规范》”)开展个人信息处理活动。除为个人信息处理者提供操作指引外,《个人信息安全规范》还为主管部门提供执法依据,为第三方机构提供认证准则。但由于《个人信息安全规范》的颁布时间早于《个保法》,因此其中不少概念(例如“个人信息”的定义)与《个保法》存在出入。
如何告知,如何才算取得用户同意。大多数情况下,手机App等互联网应用所谓的“告知”并不是真正的告知,用户的“同意”并非真正的同意,并且不乏大量手机App等互联网应用采取隐瞒方式获取用户同意的情形。
此次发布的《告知同意指南》主要内容分为9个章节,包括告知的适用情形、同意的适用情形、告知和同意的基本原则、告知、同意等,分别针对各个告知同意的适用情形、免于告知同意的情形、告知同意的基本原则和具体执行方法等进行了详细的说明。《告知同意指南》严格按照《个保法》的定义,重新厘清多个重要概念,比如明确“个人信息保护影响评估”等同于“个人信息安全影响评估”,使用“推定同意”取代“授权同意”等,解决了长久以来概念不统一带来的争议。在效力上,《告知同意指南》是推荐性的国标,在行文中多处采用“宜”、“可”、“包括但不限于”等建议性表述,《告知同意指南》对于《个保法》的口径解释并不具备司法解释相似的法律效力,但是仍然可以作为个人信息执法活动的参考依据,在实践中对从业机构具有重要的指导意义。
03
企业应该如何落地“告知与同意”
《告知同意指南》的颁布旨在通过技术语言和操作实例,对于告知和同意相关的合规义务进行拆解和阐释,从而在产品设计、交互界面等环节为企业合规实践提供指导。本文针对《告知同意指南》中告知和同意的适用情形及基本原则的相关内容要点,汇总梳理如下:
告知和同意的适用情形
1. 告知的适用情形
就告知的适用情形而言,《告知同意指南》与《个保法》中对于告知义务的相关规定一脉相承。《个保法》第十七条中规定个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言 真实、准确、完整地向个人告知相关事项。《告知同意指南》则将“处理个人信息”拆解为收集、提供、公开个人信息、处理活动发生变更等情形并分别进行阐述,并针对每种适用情形结合实践中的典型场景进行举例和补充说明,以便相关企业开展相应合规工作。
2. 同意的适用情形
《个保法》第十三条对于处理个人信息的合法性基础进行了规定,除了第(一)款的“同意” 之外,还在第(二)至(七)款中明确了“为订立、履行个人作为一方当事人的合同所必需”、“为履行法定职责或者法定义务所必需”等“非同意”合法性基础。
《告知同意指南》将“同意的适用情形”这一部分分为一体两面,“需取得同意的情形”和“免于取得同意的情形”。其中,“免于取得同意的情形”在内容上基本沿袭了《个人信息保护法》第十三条中所列的“非同意”合法性基础。《告知同意指南》在内容和形式上从正反两个维度对于《个人信息保护法》第十三条第(一)款和第十三条第(二)至(七)款进行了呼应。
告知和同意的基本原则
《告知同意指南》在《个保法》对于个人信息处理活动所规定的合法、公开、透明原则的基础上,进而对告知和同意分别提出了更为细化的原则性要求。针对告知,应遵循公开透明、有效传达、适时充分、真实明确、清晰易懂这五项原则;针对同意,应遵循告知一致、自主选择、时机恰当、避免捆绑这四项原则。
除此之外,《告知同意指南》还提出了5项告知和同意宜考虑的要素:友好展示、适配媒体、考虑影响、区分阶段、兼顾差异。以期在合法合规的基础上,为相关企业提供更为优化的落地方案和“行业最佳实践”的参考做法。
告知的方式
《告知同意指南》将告知分为一般告知、增强告知与即时提示三种类型,具体如下图所示。个人信息处理者可根据产品、服务、业务特点,选择性适用或组合适用。
告知的内容
《告知同意指南》承接《个保法》第十七条对个人信息处理规则透明性的要求,对个人信息处理全生命周期,特别是收集、提供、公开个人信息、处理活动发生变更(含个人信息处理者的名称或姓名和联系方式变更)等情形下的推荐性告知内容进行补充说明。
《告知同意指南》特别关注到如下场景:
1. 涉及自动采集个人信息的,说明自动采集个人信息的方式、时机、频次,如涉后台长期自动采集(如语音识别助手长期监听),还需说明必要性、安全措施、关闭方式等处理规则;
2. 涉及Cookies等同类技术收集个人信息的,需简要说明相关机制,包括收集个人信息的目的、种类,拒绝或清除记录的方法等;
3. 涉及自动化决策的,如经个人信息保护影响评估认为可能对个人权益产生重大影响,宜主动说明自动化决策的基本原理、对个人权益的重大影响和拒绝自动化决策的方式;
4. 以个人操作视角,分步骤描述个人权益实现机制。
告知的实施
在明确告知方式与内容后,个人信息处理者即可选择适当的告知界面或渠道、清晰易懂的告知展示方式、合理的告知时机和频率来实施告知,如下:
1. 使用便于个人立即阅读、获取告知内容的界面或渠道,如在个人不可操作的大屏幕或IoT等小型显示屏上设置二维码,扫描展示告知内容,对于已通过合法渠道获取联系方式的,可主动联系提供告知内容;
2. 以个人视角的用户体验和权益保障为出发点,以清晰易懂、内容简洁、主次分明为目标展示内容,如明确标识或突出显示对个人权益有显著影响的条款,主动推送、优先展示存在易引起异议或争端的部分;
3. 结合使用“首次告知”(常适用于一般告知)、“同步告知”与“再次告知”(二者常适用于增强告知或即时提示),提高告知的充分性和有效性。
同时,《告知同意指南》特别针对基本业务功能、扩展业务功能、第三方SDK嵌入、不满14周岁未成年人个人信息等13个常见场景给出了具体的告知建议。
04
结语
此次出台的《告知同意指南》是以实际的场景化作为基石进行全面描述,旨在为个人信息处理者在面对各种情形时提供具体的建议。该指南详细阐述了告知的适用情形、免于取得同意的情形、书面同意、拒绝同意以及同意撤回等具体实施要点。十三个资料性附录针对多种行业和场景下的告知和同意实施要点和建议精而求细,以帮助个人信息处理者接收、理解并处理个人信息。随着《告知同意指南》的发布,有理由相信《个人信息安全规范》的新一轮更新已“在路上”。路不止,行不停,保护个人信息安全,任重而道远,还需各方共同努力共同创造一个和谐、安全的社会环境。
8797威尼斯老品牌(Secsmart)是一家专注数据安全的高新技术企业,创新性提出“云·管·端”立体化动态数据安全理念,将人工智能、前沿密码技术成功应用于数据安全领域,实现对结构化和非结构化数据资产的全面防护。8797威尼斯老品牌信息已构建覆盖大数据安全、云数据安全、应用数据安全、数据防泄漏、工业互联网安全和数据安全治理等领域的全栈数据安全产品体系与服务能力,广泛应用于政府、电力、金融、通信、医疗、教育等行业。