基于此,本文拟通过对国庆节前夕火热出炉的《网络数据安全管理条例》(简称“《网数条例》”)以及广州互联网法院关于个人信息跨境传输侵权纠纷的一份民事判决书(案号为(2022)粤0192民初6486号,简称“广互法院案”)的观察,尝试以个保领域中的黄金规则“知情同意规则”作为切入点,提炼有关“告知-同意”的最新要求并提示合规准备。
一、设计“告知-同意”机制的重点
“告知-同意”机制是《个人信息保护法》(简称“个保法”)提出的有关个人信息处理的核心制度:“告知”是个保法项下保障个人知情权的前提,“同意”则是目前企业在业务活动中选择最多的处理个人信息的合法性基础。一般来说,“告知”是“同意”的必要条件,有效的“同意”的前提必定是一个形式与内容都合格的“告知”。
(一)“告知”的要求
1.“告知”的适用与豁免
我国个保法基于信息处理公开透明的原则,对于企业的个人信息处理活动采取了以“事前告知为原则,无需告知或事后告知为例外”的基本准则。以下为“告知”的三种情形:
2.“告知”的内容与方式
3.“告知”的颗粒度要求
法律层面并没有对“告知”颗粒度明确规定,但是,在个保法要求“告知应真实、准确、全面”的语境下,监管部门和司法部门对于企业告知的颗粒度是否足以支撑“公开透明原则”以及能否有效保障“用户的知情权”会有特别的执法考量和司法评价,实践中不同行政执法和司法裁判中对“适格”“告知”的认定标准存在些许差异。
在广互法院案中,法院分别给出了“告知”“同意”在本案具体场景中的司法解读,认为在办理会员与预订境外酒店的过程中,酒店方在APP中呈现的《客户个人数据保护章程》属于一揽子的笼统告知,即一般告知。该章程在近两万字的篇幅中也未能使个人信息主体清楚理解个人信息跨境转移的核心事项(例如接收方主体身份、地域和人员范围),因此未达到个保法项下公开透明的告知原则。用户在一个不符合法律要求的“告知”下对章程采取点击勾选的动作,不发生“同意”的法律效力。进一步,法院归纳,对于需要增强告知同意的场景,基于仅通过隐私政策实施的不适格“告知”,不具备构成“单独同意”所需的告知的法律效力。
合规提示:“告知”与“同意”虽联系紧密,但在法律与实践中对两者有着不同的实施要求。司法视角下如未根据具体场景配备合适的告知,即使用户在后续主动做出了勾选、点击确认等动作,亦可能不具备“同意”的法律效果,进而影响甚至否定企业处理个人信息行为的合法性基础,产生违法后果。
本案提示我们,作为个人信息处理者的企业应抛弃“一部隐私政策可安天下”或者“来自海外总部符合GDPR标准的隐私政策大概率也可以符合国内的法律要求”的过时思维,应树立场景化的思维,分析采取“一般告知+增强告知”两步走的策略,在特定业务场景触发时(例如个保法要求获取单独同意的几类场景、开展自动化决策或发送个性化营销信息、调用软件程序或硬件设备自动采集个人信息)通过弹窗、专门界面、单独步骤等增强告知的方式向用户精准、有效传达告知内容。当然,这一机制的实现有赖于企业内部法务、产品、业务、技术等职能部门的协同与合力。
另外,对于隐私政策的撰写,法院在司法审查中也提出了较高的要求。企业在修订隐私政策时应特别注意内容的真实、完整、准确,尽量避免诸如“可能发生”这类模棱两可的描述、非穷尽式列举信息项或信息处理者/接收方等,造成“写者不知所云,读者云雾缭绕”的情况。
(二)“同意”与其他合法性基础
1.“同意”与其他合法性基础的选择
个保法第13条确立了个人信息处理的几类法律根据,在实践中得到广泛运用。其中,“取得个人的同意”作为个人信息处理者可处理个人信息的基本情形,在整个个人信息处理规则中处于核心地位。不过,个保法仍将“订立或履行合同所必需”、“人力资源管理所必需”、“履行法定职责和法定义务所必需”等几类法定理由作为合法性基础且并列加以规定。可见这几类合法性基础与“同意”共同构成处理个人信息的法律根据,彼此地位平等,且无适用方面的先后顺序之分。因此,企业可以依据自身业务特点自由选择最为贴切的合法性基础,而不必凡事都先去/必须征求用户的同意。当然,立法对于“同意”之外的每一类合法性基础的适用条件均设定了明确的适用条件限制(例如处理公开的个人信息必须在“合理范围”之内、“履行合同所必需”限定个人信息主体作为合同的当事一方),如超越了适用条件限制,则仍可能动摇合法处理个人信息的基石。
新发布的《网数条例》在合法性基础方面未做细化规定和提供补充情形,但在广互法院案中,司法机关在案件中探讨了“同意”与“履行合同所必需”两类合法性依据的适用条件和关系,确立了“合同所必需”规则的司法审查标准/示范,值得业界参考。
在该案中,法院认为原告消费者与被告酒店方就酒店预订建立了合同关系,酒店将原告的个人信息传输至目的地缅甸的酒店以及传输至位于法国总部的酒店中央预订系统,行为具有正当性和必要性,符合合同目的。但是将原告的个人信息另传输至位于美国和爱尔兰的某公司且用于营销传播目的,该单独行为不能认定是履行合同的必要,应另行取得用户同意。
合规提示:在TOC业务场景中,企业通常会与消费者建立某一服务关系并订立服务合同。基于合同的订立和履行,企业得以直接处理消费者的个人信息而无需征得其同意。但需注意,“履行合同的必需”是客观上的必需,这个必要性应基于合同目的来判断,也要符合合同相对人、社会公众的合理期待和行业惯例,这个观点已经得到了多起司法判例的印证。例如,法院通常会从处理目的、处理方式、处理的信息类型范围、接收方的国家和主体身份、是否符合行政规定及行业标准、是否是行业惯例等维度进行审查。另外,基于个人信息的商业营销、定向推送等行为通常不被行政机关和司法机关采纳为“履行就具体业务而签订的合同所必需”,实践中往往要求企业就单一行为独立获得用户的同意(例如单独的同意营销勾选框),企业在开展这一类用户触达活动时应考虑设计便利且行之有效的事前同意机制和退出机制。
2.“同意”、“单独同意”及实施
(2)脱离告知同意的规则框架讨论单独同意没有意义,单独同意是同意的一种,是同意的增强形式,与同意是包含与被包含关系而非并列关系。如果企业处理个人信息依赖的合法性基础不是“同意”,则无需进一步考虑是否适用“单独同意”。
整体而言,有关单独同意的定义、实施要求已越发明朗,后续可能会成为监管执法重点。我们建议有关企业在TOC业务场景中如涉及需要获得单独同意的情形,应及早合理规划,形成一套既能满足合规要求又能照顾业务和用户体验的最优方案。
二、对“告知-同意”机制的检验
上述是我们总结的关于企业在设计“告知-同意”机制的考量因素和建议,那么如何检验“告知-同意”机制的有效性?站在个人信息处理者的角度,我们认为PIA和合规审计是个保法提供的两条可选路径:
(一)方式一:是否开展了特定场景下的PIA?
个人信息保护影响评估(PIA)属于在数据处理前的预防性保护手段,主要针对那些对于个人权益可能造成较高风险的个人信息处理活动展开。企业采集敏感个人信息、向第三方共享个人信息、向境外传输个人信息等场景中可以借助PIA机制来评估处理目的、处理方式是否合法、正当和必要,是否已经充分履行了告知义务并获得了符合要求的用户同意(或其他合法性基础)。通过对具体评估项的拆解分析,可以在业务前端就识别风险、填补漏洞,最大程度避免因为缺乏合法性要件而构成违法处理个人信息的侵权风险。
(二)方式二:是否已筹备开展个保合规审计?
定期自行或委托第三方专业机构开展合规审计也是检验和校正“告知-同意”机制的一类有效方法,亦是个保法对所有个人信息处理者提出的法定义务。相较于PIA机制,合规审计强调的是在数据处理后通过对告知同意机制的回溯和分析,来验证个人信息处理活动的合法性、确认是否产生侵权行为及是否会导致法律责任等。现阶段,企业可以参考国家网信办发布的《个人信息保护合规审计管理办法(征求意见稿)》所列举的合规审计参考要点和推荐性国标《数据安全技术个人信息保护合规审计要求(征求意见稿)》的指导,开展个保合规审计工作,以初步识别合规差距并设计改进方案。
以上是我们就“告知-同意”机制做的一些思考,希望对企业开展个人信息处理业务有所裨益。基于这一思考,我们也形成了一些具体实施方案,欢迎有兴趣的各位与我们进行深入探讨。