前言
2021年8月20日,十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》(以下简称“《个保法》”),并将于2021年11月1日起正式施行。《个保法》的颁布标志着我国对于个人信息的保护进入了新一时期,对于处理大量用户个人信息的APP运营者来说,做好企业个人信息保护合规,已经刻不容缓。
Q1 如何理解单独同意?单独同意和授权同意的区别?
A:《个人信息安全规范》(GB 35273-2020)中把“同意”分为明示同意和授权同意。明示同意一般是指主动作出点击“同意”等肯定性动作,而授权同意既包括通过积极行为作出的明示同意,也包括通过消极不作为作出的授权。而“个保法”中的单独同意,我们理解应该比明示同意和授权同意的要求都更高。
也就是说,一方面,对于《个保法》中规定需要获得单独同意的事项,应当与其他同意事项相区分,对个人起到单独提示的作用,不得与其他事项进行捆绑,避免一揽子告知同意;另一方面,需要个人信息主体主动点击或勾选“同意”,以获得对上述事项的单独同意。
Q2 集团化企业内部数据共享需要单独告知同意吗?
A:《个保法》第23条规定,个人信息处理者向其他个人信息处理者提供个人信息的,应当取得个人的单独同意。可见,《个保法》并没有给予关联方特权,也就是说,无论企业是向外部的合作伙伴或供应商共享个人信息,还是在集团企业的内部公司之间进行共享,即便关联公司之间存在非常紧密的互相依赖关系,都需要获取个人信息主体的单独同意。
Q3 在委托处理的情况下,是否需要向个人信息主体告知受托方的所有信息并取得单独同意?
A:在委托处理的场景中,委托人与受托人之间是委托代理关系。对于其他个人信息处理者而言,委托人与受托人之间的关系属于内部关系,因此,我们可以看到,《个保法》没有对委托处理的情形要求告知个人信息主体,并获得其单独同意。
但需要注意的是,《个保法》第21条严格规定了委托人与受托人在法律下的义务,一方面,委托人应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督;另一方面,受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。
Q4 目前《个保法》对自动化决策定义比较宽泛,是否会导致很多通过算法实现的服务功能都落入自动化决策的范围里,且都需要提供关闭选项?有没有一些界限可以划定哪些功能是必须要提供关闭选项的自动化决策?像“猜你喜欢”这种,必须要提供关闭选项吗?
A:《个保法》第24条第2款规定:“通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。”而自动化决策是指:“通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。”
这种概括式列举的方式,首先就从法律层面表明了从严监管的态度,使得几乎所有通过算法推荐技术实现信息推送和商业营销的服务,都落入了上述条款的规制范围。因此,如果“猜你喜欢”结果的作出,是通过分析个人行为习惯和兴趣爱好等作出的算法推荐,那么就应当提供不针对个人特征的选项,或者向个人提供便捷的拒绝方式。
这其实是个老生常谈的问题,只不过这次《个保法》是从个人信息保护的角度再次从法律层面进行了规定。比如,《电子商务法》就已经在第18条第1款中规定:“电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。”
另外,在今年8月27日,国家网信办也针对互联网信息服务算法推荐发布了专门管理规范——《互联网信息服务算法推荐管理规定(征求意见稿)》,该规定就进一步把算法推荐技术细化分为生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等。并与《个保法》步调一致的要求算法推荐服务提供者应当向用户提供不针对其个人特征的选项,或者向用户提供便捷的关闭算法推荐服务的选项。
Q5 根据《个保法》,在公共场所为了公共安全设置监控,需要显著提示,有具体的标准和要求吗?
A:目前还没有具体的操作规范。但我们建议,可以在进入监控区的入口处,以及监控设备下方便于肉眼可见的位置张贴提示,比如“您已进入监控区域”等等,从而尽到法律下的提示义务。
作者:虞杨、洪璐