個保法系列解讀 | “告知-同意”到底該怎么做？

2021年11月1日，《個人信息保護法》（以下簡稱“《個保法》”）正式實施，其特別對于“告知-同意”機制進行了細化，明確要求處理個人信息之前應以顯著方式向個人履行告知義務。

為了進一步落實《個保法》的告知要求，工信部發(fā)布了關于開展信息通信服務感知提升行動的通知（以下簡稱“524行動”），其提出相關企業(yè)應建立個人信息保護雙清單，即已收集個人信息清單和與第三方共享個人信息清單，并在APP中展示以便用戶查詢。首批設立雙清單的企業(yè)包括騰訊、阿里巴巴、美團、快手、拼多多等39家。由此可見，“告知-同意”機制的有效落實對于企業(yè)合規(guī)非常重要。

為了幫助相關企業(yè)更好地了解《個保法》的合規(guī)要求，TalkingData法務合規(guī)部將通過系列文章對《個保法》進行深入解讀，本文首先關注“告知-同意”的實踐。

（1）相關企業(yè)如果處理的是個人信息，則應告知個人信息處理者的名稱或者姓名和聯(lián)系方式；處理目的、處理方式，處理的個人信息種類、保存期限；個人行使本法規(guī)定權利的方式和程序；法律、行政法規(guī)規(guī)定的其他事項。

（2）相關企業(yè)如果處理的是敏感個人信息，則應在告知上述內容的基礎上，進一步告知處理敏感個人信息的必要性以及對個人權益的影響。

相關企業(yè)在處理個人信息前，應以顯著方式、清晰易懂的語言，真實、準確、完整地向個人履行告知義務。建議個人信息處理者在隱私政策等告知文檔中進行完全列舉，不要使用“等”這樣的非完全列舉形式，依據(jù)524行動的要求形成獨立清單。如果告知內容發(fā)生變更的，還應當將變更部分重新告知個人。

（1）相關企業(yè)向其他個人信息處理者提供其處理的個人信息的，應當向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類。結合524行動的要求可看出，相關企業(yè)的APP如果內嵌第三方軟件工具開發(fā)包SDK，則還應披露SDK已收集到的用戶個人信息基本情況，包括信息種類、使用目的、使用場景等。此要求與全國信息安全標準化技術委員會發(fā)布的《網(wǎng)絡安全標準實踐指南—移動互聯(lián)網(wǎng)應用程序（APP）使用軟件開發(fā)工具包（SDK）安全指引》的規(guī)定也是一致的。

（2）因合并、分立、解散、被宣告破產(chǎn)等原因需要轉移個人信息，應當向個人告知接收方的名稱或者姓名和聯(lián)系方式。

如果涉及向境外提供個人信息的情形，相關企業(yè)應當向個人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使權利的方式和程序等事項。依據(jù)《數(shù)據(jù)出境安全評估辦法（征求意見稿）》的規(guī)定，滿足一定條件的個人信息出境是需要進行數(shù)據(jù)跨境安全評估的，而個人信息權益保障屬于重要評估事項，因此相關企業(yè)一定要嚴格履行披露義務，使得用戶可以在充分知情地基礎上給予同意。

法律、行政法規(guī)規(guī)定應當保密或者不需要告知的場景才不用履行告知義務。此外，緊急情況下為保護自然人的生命健康和財產(chǎn)安全無法及時向個人告知的，可先進行相關的處理行為，并在緊急情況消除后及時告知。緊急情況也是屬于補充告知的。

同意應當由個人在充分知情的前提下自愿、明確作出的行為。建議相關企業(yè)不要默認勾選同意，應讓用戶通過積極的行為主動選擇同意，例如主動勾選或點擊“同意”或“注冊”、主動填寫或提供等。一旦個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的，應當重新取得個人同意。

（1）個人信息處理者向其他個人信息處理者提供其處理的個人信息；

（2）個人信息處理者公開其處理的個人信息；

（3）在公共場所收集的個人圖像、身份識別信息若想用于維護公共安全以外的其他目的；

（4）處理敏感個人信息；

（5）個人信息處理者向境外提供個人信息。

相關企業(yè)應提供便捷的撤回同意的方式，而且不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產(chǎn)品或服務，除非處理個人信息屬于提供產(chǎn)品或者服務所必需。建議相關企業(yè)基于《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》來明確必需個人信息的范圍。“必需”是一種客觀上的必要，可以理解為《信息安全技術 個人信息安全規(guī)范》中的“必要”，即與業(yè)務功能直接關聯(lián)。

雙清單要求39家企業(yè)履行明確的告知義務。針對已收集個人信息清單，通知指出相關企業(yè)應簡潔、清晰列出APP（包括內嵌第三方軟件工具開發(fā)包SDK）已經(jīng)收集到的用戶個人信息基本情況，包括信息種類、使用目的、使用場景等。

基于對39家企業(yè)的調研發(fā)現(xiàn)，截至2021年11月9日，39家企業(yè)基本上都在隱私政策中披露了APP的個人信息收集情況，并特別披露了第三方SDK的名稱、收集的個人信息類型、收集目的。約61%企業(yè)還披露了SDK所屬公司的名稱，約96%的公司還披露了隱私政策鏈接。在39家企業(yè)的隱私政策中，其中知乎、探探、當當均在第三方SDK清單中詳細地披露了TalkingData SDK的相關情況。

針對與第三方共享個人信息清單，通知指出相關企業(yè)其應簡潔、清晰列出APP與第三方共享的用戶個人信息基本情況，包括與第三方共享的個人信息種類、使用目的、使用場景和共享方式等。

經(jīng)過調研，截至2021年11月9日，39家企業(yè)均在隱私政策中披露了共享目的、第三方和個人信息類型，但是約63%的企業(yè)都是以不完全披露的方式來告知共享的個人信息類型的。只有8家公司在APP隱私政策中設置了獨立的二級菜單來展示第三方個人信息共享清單，闡述了第三方的類型、共享的個人信息種類、共享目的等相關信息。例如蘇寧易購、微博、微信、QQ、騰訊視頻、QQ音樂、QQ瀏覽器、騰訊新聞、大眾點評、美團、知乎、酷狗、嗶哩嗶哩、淘寶、天貓。其余的31家企業(yè)并未單獨設置二級菜單，均只是在隱私政策的共享部分披露了共享的第三方類型、個人信息種類和目的。此外，超過50%的企業(yè)僅披露了第三方的類型（例如廣告監(jiān)測合作伙伴），剩下的企業(yè)往往會以不完全列舉第三方具體名稱的方式來進行披露。

在APP商業(yè)實踐中，共享個人信息和收集敏感個人信息是最常見的獲取單獨同意的情形。

針對個人信息處理者向其他個人信息處理者提供其處理的個人信息這個場景，經(jīng)過查閱Apple Store前50名免費APP的開發(fā)者隱私政策，并未發(fā)現(xiàn)設置單獨同意機制。這可能是因為這些APP認為其并不直接共享個人信息，而是共享無法識別個人的信息。因為絕大多數(shù)APP均在隱私政策中都提到了如果開發(fā)者對個人信息采取必要措施進行處理，使得數(shù)據(jù)接收方無法重新識別特定個人且不能復原，則這類信息不再屬于個人信息，此類信息的處理無需另行向用戶通知并征得用戶的同意（部分示例如下）。《個保法》也明確指出匿名化的信息就是無法識別特定自然人且不能復原的信息，其不屬于個人信息。

快手隱私政策：

閑魚隱私政策：

針對處理敏感個人信息這個場景，APP的商業(yè)實踐中最常見的就是在收集個人身份證號、社保號、人臉識別信息時設置單獨同意。通過查閱Apple Store前50名免費APP的開發(fā)者隱私政策，超過70%的APP均在收集敏感個人信息的頁面設置了單獨同意機制。50款APP均在使用特定功能時才會收集敏感個人信息，因此在用戶初次授權登陸時均無單獨同意機制。但是如果APP內部的某些具體功能需要通過處理敏感個人信息才能實現(xiàn)，則會在收集的頁面上出現(xiàn)單獨同意的選項。例如銀行的大額轉賬、征信查詢等功能使用可能需要提供用戶的人臉信息，實名注冊功能可能需要提供個人身份證號。頁面單獨同意的告知模式分為兩種，絕大部分APP是提供授權協(xié)議、服務協(xié)議、隱私政策等相關協(xié)議，并再次要求用戶勾選同意（部分示例如下）。

還有一小部分APP并不展示相關協(xié)議，只提示所收集的個人信息類型和目的，并要求用戶再次勾選同意（部分示例如下）。

關于如何取得單獨同意，《信息安全技術 個人信息告知同意指南》（征求意見稿）（下稱“告知同意指南”）給出了比較有可執(zhí)行性的解決方案，告知同意指南第9.3條給出了先評估—再形成執(zhí)行單獨同意的清單—并以明示同意的增強告知方式充分告知的單獨同意基本步驟。同時，針對特別業(yè)務需單獨同意的場景，可采用單獨的交互式界面或紙質界面告知，并提供可分項選擇同意的機制，如勾選、點亮等方式；在向多個其他個人信息處理者提供個人信息時，如果提供個人信息的目的、方式、種類等一致，可以在告知內容中逐一列舉接收方的身份和聯(lián)系方式，由個人信息主體一并進行同意，這是目前為止，關于單獨同意最明確的指導意見了。

《個保法》構建了較為完善的個人信息保護框架，也為相關企業(yè)提供了更為具體的合規(guī)指引。TalkingData目前已成為信通院“個人信息保護合規(guī)審計推進小組”的首批成員，會在嚴格遵守《個保法》的相關規(guī)定的基礎上積極推進個人信息保護工作，完善公司內部的合規(guī)體系。

TalkingData——用數(shù)據(jù)說話

每天一篇好文章，歡迎分享關注