个保法系列解读 | “告知-同意”到底该怎么做?
2021年11月1日,《个人信息保护法》(以下简称“《个保法》”)正式实施,其特别对于“告知-同意”机制进行了细化,明确要求处理个人信息之前应以显著方式向个人履行告知义务。
为了进一步落实《个保法》的告知要求,工信部发布了关于开展信息通信服务感知提升行动的通知(以下简称“524行动”),其提出相关企业应建立个人信息保护双清单,即已收集个人信息清单和与第三方共享个人信息清单,并在APP中展示以便用户查询。首批设立双清单的企业包括腾讯、阿里巴巴、美团、快手、拼多多等39家。由此可见,“告知-同意”机制的有效落实对于企业合规非常重要。
为了帮助相关企业更好地了解《个保法》的合规要求,TalkingData法务合规部将通过系列文章对《个保法》进行深入解读,本文首先关注“告知-同意”的实践。
一、告知
1.应告知哪些内容?
(1)相关企业如果处理的是个人信息,则应告知个人信息处理者的名称或者姓名和联系方式;处理目的、处理方式,处理的个人信息种类、保存期限;个人行使本法规定权利的方式和程序;法律、行政法规规定的其他事项。
(2)相关企业如果处理的是敏感个人信息,则应在告知上述内容的基础上,进一步告知处理敏感个人信息的必要性以及对个人权益的影响。
2.应如何告知?
相关企业在处理个人信息前,应以显著方式、清晰易懂的语言,真实、准确、完整地向个人履行告知义务。建议个人信息处理者在隐私政策等告知文档中进行完全列举,不要使用“等”这样的非完全列举形式,依据524行动的要求形成独立清单。如果告知内容发生变更的,还应当将变更部分重新告知个人。
3.在共享场景下,应如何履行告知义务?
(1)相关企业向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类。结合524行动的要求可看出,相关企业的APP如果内嵌第三方软件工具开发包SDK,则还应披露SDK已收集到的用户个人信息基本情况,包括信息种类、使用目的、使用场景等。此要求与全国信息安全标准化技术委员会发布的《网络安全标准实践指南—移动互联网应用程序(APP)使用软件开发工具包(SDK)安全指引》的规定也是一致的。
(2)因合并、分立、解散、被宣告破产等原因需要转移个人信息,应当向个人告知接收方的名称或者姓名和联系方式。
4.在个人信息跨境传输场景下,应如何履行告知义务?
如果涉及向境外提供个人信息的情形,相关企业应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使权利的方式和程序等事项。依据《数据出境安全评估办法(征求意见稿)》的规定,满足一定条件的个人信息出境是需要进行数据跨境安全评估的,而个人信息权益保障属于重要评估事项,因此相关企业一定要严格履行披露义务,使得用户可以在充分知情地基础上给予同意。
5.在哪些场景下无需履行告知义务?
法律、行政法规规定应当保密或者不需要告知的场景才不用履行告知义务。此外,紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,可先进行相关的处理行为,并在紧急情况消除后及时告知。紧急情况也是属于补充告知的。
二、同意
1.什么是有效的同意?
同意应当由个人在充分知情的前提下自愿、明确作出的行为。建议相关企业不要默认勾选同意,应让用户通过积极的行为主动选择同意,例如主动勾选或点击“同意”或“注册”、主动填写或提供等。一旦个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
2.哪些场景需要获取单独同意?
(1)个人信息处理者向其他个人信息处理者提供其处理的个人信息;
(2)个人信息处理者公开其处理的个人信息;
(3)在公共场所收集的个人图像、身份识别信息若想用于维护公共安全以外的其他目的;
(4)处理敏感个人信息;
(5)个人信息处理者向境外提供个人信息。
3.企业应如何落实撤回同意机制?
相关企业应提供便捷的撤回同意的方式,而且不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或服务,除非处理个人信息属于提供产品或者服务所必需。建议相关企业基于《常见类型移动互联网应用程序必要个人信息范围规定》来明确必需个人信息的范围。“必需”是一种客观上的必要,可以理解为《信息安全技术 个人信息安全规范》中的“必要”,即与业务功能直接关联。
三、企业实践情况调研
1.告知
双清单要求39家企业履行明确的告知义务。针对已收集个人信息清单,通知指出相关企业应简洁、清晰列出APP(包括内嵌第三方软件工具开发包SDK)已经收集到的用户个人信息基本情况,包括信息种类、使用目的、使用场景等。
基于对39家企业的调研发现,截至2021年11月9日,39家企业基本上都在隐私政策中披露了APP的个人信息收集情况,并特别披露了第三方SDK的名称、收集的个人信息类型、收集目的。约61%企业还披露了SDK所属公司的名称,约96%的公司还披露了隐私政策链接。在39家企业的隐私政策中,其中知乎、探探、当当均在第三方SDK清单中详细地披露了TalkingData SDK的相关情况。
针对与第三方共享个人信息清单,通知指出相关企业其应简洁、清晰列出APP与第三方共享的用户个人信息基本情况,包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。
经过调研,截至2021年11月9日,39家企业均在隐私政策中披露了共享目的、第三方和个人信息类型,但是约63%的企业都是以不完全披露的方式来告知共享的个人信息类型的。只有8家公司在APP隐私政策中设置了独立的二级菜单来展示第三方个人信息共享清单,阐述了第三方的类型、共享的个人信息种类、共享目的等相关信息。例如苏宁易购、微博、微信、QQ、腾讯视频、QQ音乐、QQ浏览器、腾讯新闻、大众点评、美团、知乎、酷狗、哔哩哔哩、淘宝、天猫。其余的31家企业并未单独设置二级菜单,均只是在隐私政策的共享部分披露了共享的第三方类型、个人信息种类和目的。此外,超过50%的企业仅披露了第三方的类型(例如广告监测合作伙伴),剩下的企业往往会以不完全列举第三方具体名称的方式来进行披露。
2.单独同意
在APP商业实践中,共享个人信息和收集敏感个人信息是最常见的获取单独同意的情形。
针对个人信息处理者向其他个人信息处理者提供其处理的个人信息这个场景,经过查阅Apple Store前50名免费APP的开发者隐私政策,并未发现设置单独同意机制。这可能是因为这些APP认为其并不直接共享个人信息,而是共享无法识别个人的信息。因为绝大多数APP均在隐私政策中都提到了如果开发者对个人信息采取必要措施进行处理,使得数据接收方无法重新识别特定个人且不能复原,则这类信息不再属于个人信息,此类信息的处理无需另行向用户通知并征得用户的同意(部分示例如下)。《个保法》也明确指出匿名化的信息就是无法识别特定自然人且不能复原的信息,其不属于个人信息。
快手隐私政策:
闲鱼隐私政策:
针对处理敏感个人信息这个场景,APP的商业实践中最常见的就是在收集个人身份证号、社保号、人脸识别信息时设置单独同意。通过查阅Apple Store前50名免费APP的开发者隐私政策,超过70%的APP均在收集敏感个人信息的页面设置了单独同意机制。50款APP均在使用特定功能时才会收集敏感个人信息,因此在用户初次授权登陆时均无单独同意机制。但是如果APP内部的某些具体功能需要通过处理敏感个人信息才能实现,则会在收集的页面上出现单独同意的选项。例如银行的大额转账、征信查询等功能使用可能需要提供用户的人脸信息,实名注册功能可能需要提供个人身份证号。页面单独同意的告知模式分为两种,绝大部分APP是提供授权协议、服务协议、隐私政策等相关协议,并再次要求用户勾选同意(部分示例如下)。
云闪付
支付宝
国家医保服务平台
交管12123
还有一小部分APP并不展示相关协议,只提示所收集的个人信息类型和目的,并要求用户再次勾选同意(部分示例如下)。
关于如何取得单独同意,《信息安全技术 个人信息告知同意指南》(征求意见稿)(下称“告知同意指南”)给出了比较有可执行性的解决方案,告知同意指南第9.3条给出了先评估—再形成执行单独同意的清单—并以明示同意的增强告知方式充分告知的单独同意基本步骤。同时,针对特别业务需单独同意的场景,可采用单独的交互式界面或纸质界面告知,并提供可分项选择同意的机制,如勾选、点亮等方式;在向多个其他个人信息处理者提供个人信息时,如果提供个人信息的目的、方式、种类等一致,可以在告知内容中逐一列举接收方的身份和联系方式,由个人信息主体一并进行同意,这是目前为止,关于单独同意最明确的指导意见了。
《个保法》构建了较为完善的个人信息保护框架,也为相关企业提供了更为具体的合规指引。TalkingData目前已成为信通院“个人信息保护合规审计推进小组”的首批成员,会在严格遵守《个保法》的相关规定的基础上积极推进个人信息保护工作,完善公司内部的合规体系。
推荐阅读:
TalkingData——用数据说话
每天一篇好文章,欢迎分享关注