“单独同意”:数据转移绕不开的情形有哪些?
发布时间:2024-04-14 | 发布者: 东东工作室 | 浏览次数: 次(原标题:“单独同意”:数据转移绕不开的情形有哪些?)
飒姐团队在文章《肖飒团队 | “N+1+3+N”,国内数据法结构解析》一文中简要分析了目前我国数据立法的结构,总体而言即以《国家安全法》作为我国数据立法的基石,在此基石之下,《网络安全法》《数据安全法》《个人信息保护法》成为规制数据安全的“三驾马车”,在这三部法律之下,又有《信息安全技术 个人信息安全规范》《数据安全技术 数据出境安全评估指南》《数据出境安全评估办法》《个人信息出境标准合同规定》《个人信息保护认证实施规则》等多部规范性文件对“三驾马车”进行细化规定。
我国数据保护立法虽相对而言起步较晚,但发展迅速,相关合规问题亦呈现“井喷式”爆发趋势,这其中涉及个人信息数据“单独同意”的问题尤为突出。飒姐法律团队在此简要梳理《个人信息保护法》中要求的个人信息“单独同意”的情形,并提供相应的注意事项。
一、什么是单独同意?
《个人信息保护法》第十三条规定了个人信息处理者处理个人信息的七项条件,即:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
根据该法条的规定,个人信息处理者处理个人信息的过程符合第(二)至第(七)这六项条件中的任何一项的时候,就可以不经个人的同意而处理个人信息,反之,必须得到个人的同意。这就是《个人信息保护法》规定的个人信息处理的“个人同意”制度。
《个人信息保护法》第十三条第(一)项规定的同意存在多种形式,如“口头同意”“书面同意”“一揽子同意”“单独同意”等。如果个人信息的处理者符合该条第(二)至第(七)项中的任意一项规定,其处理个人信息就不需要经过个人同意,自然也不存在究竟要采取哪种同意方式的问题,反之就必须要注意同意的方式。
目前,《个人信息保护法》并未对“单独同意”的含义做出具体解释,在实务中,一般认为单独同意就是“一揽子”同意的对称,所谓“一揽子同意,”举例而言就是当用户只需要采取一个动作(如在手机APP中点击一个“√”)即一次性针对多项个人信息、多种处理活动进行同意,该种理解目前已经被《网络数据安全管理条例(征求意见稿)》所采纳。该“意见稿”第73条第(八)项规定,单独同意是指数据处理者在开展具体数据处理活动时,对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意。
除了《网络数据安全管理条例(征求意见稿)》外,《信息安全技术 个人信息处理中告知和同意的实施指南》(20210985-T469,目前该标准正在批准中,尚未发布)亦有关于“单独同意”的规定,该标准认为单独同意即“个人针对其个人信息进行特定处理活动而专门做出具体、明确的授权行为”。
综上,虽然《个人信息保护法》并没有对“单独同意”的概念进行明确表述,但上述文件依然帮助我们在实务中处理需要“单独同意”的事项,至少可以帮助我们划定红线,即一次性针对多项(哪怕是两项)个人信息、处理活动的同意,均不能被认为是“单独同意”,单独同意一定是个人做出的专门、具体、明确的授权行为。
二、哪些场景需要“单独同意”?
根据《个人信息保护法》之规定,个人信息处理这在以下集中情形下,其处理个人信息时必须得到个人的单独同意:
1. 向第三方提供个人信息的场景
根据《个人信息保护法》第二十三条之规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
简言之,个人信息处理者如果要向其他个人信息处理者(实务中常见的场景是A平台向B平台)转让其处理的个人信息,那么就必须在充分告知接收方信息、处理目的、处理方式的前提下,得到个人的单独同意才可以,否则就是违反《个人信息保护法》的违法行为,情节严重的还可能构成刑事犯罪。
2. 公开个人信息
根据《个人信息保护法》第二十五条之规定,个人信息处理者不得公开其处理的个人信息,但是取得个人单独同意的除外。
简言之,个人信息处理者不公开其处理的个人信息是常态,如果需要公开,就必须要取得相应个人信息所指向的个人的单独同意。
3. 安装摄像头、人脸识别设备的情形
根据《个人信息保护法》第二十六条之规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必须,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全目的,不得用于其他目的;取得个人单独同意的除外。
简言之,在公共场所安装摄像头、人脸识别等设备,必须遵守国家规定且是为了维护公共安全所必须,而且还要设置显著的提示标识。倘若无法满足上述条件,那么就必须取得个人的单独同意,否则就是侵犯公民个人信息的违法行为。
4.处理敏感个人信息
根据《个人信息保护法》第二十九条之规定,处理敏感个人信息应当取得个人的单独同意;行政法规规定处理敏感个人应当取得书面同意的,从其规定。
简言之,处理敏感个人信息一定要取得个人的单独同意,不仅如此某些敏感信息的取得还需要个人的书面同意。
所谓敏感个人信息,《信息安全技术 个人信息安全规范》(GB/T 35273-2020)在其附录B中做了详细说明,该国标明确载明“个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康收到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息,这些敏感信息包括但不限于以下类型:
转载请标注:东东工作室——“单独同意”:数据转移绕不开的情形有哪些?