【条文主旨】
本条是关于处理敏感个人信息时取得单独同意和书面同意的规定。
【条文理解】
敏感个人信息因其与自然人的人格尊严以及人身、财产安全等密切相关,应当设立高于一般个人信息的特殊保护措施。故本法将敏感个人信息及其处理规则,作为第二章个人信息处理规则中的独立一节。本条对敏感个人信息的处理设定了单独同意和书面同意两种方式,目的是保障本法第44条规定的个人“享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理”的相关权利。本条在本法审议过程中主体框架基本没有发生变化,体现出立法对强化敏感个人信息同意方式之共识较为确定;相比于《个人信息保护法(草案)》《个人信息保护法(草案二次审议稿)》,本条将“基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意”,修正为“处理敏感个人信息应当取得个人的单独同意”,立法技术上更为精准。
一、关于“单独同意”如何理解
(一)单独同意的内涵界定
从文义解释的角度出发,单独同意是指独立且明确的、没有混同其他个人信息的专项同意。单独同意实际上属于一种特别同意,即要求将一切信息和可能风险告知信息主体,在特定、明确、自愿的基础上,取得信息主体具体同意。[1]单独同意强化个人信息处理者对信息主体进行告知并取得同意的方式,让个人可以有效地参与到其个人信息处理的决策中。与单独同意对应的是实践中普遍存在的概括同意,该种同意方式在形式上并不一定针对某一具体的事项,也可以就将来信息处理行为作出概括的、“一揽子”的同意。为了强化一般个人信息的利用,个人可以对一般个人信息的处理统一作出概括同意,从而降低取得个人同意环节的沟通成本。
鉴于敏感个人信息的处理活动对信息主体的个人权益影响重大,对敏感个人信息应予以更高层级的保护。本条要求个人信息处理者处理敏感个人信息应当取得个人的单独同意,在告知同意上设定了较高标准,旨在对敏感个人信息处理活动中的“一揽子”收集、无感知被收集、强迫收集以及“与其他授权捆绑”“不点击同意就不提供服务”等收集和使用方式乱象作出相应规制。之所以作此要求,一方面,要通过单独的同意发挥警示作用,使个人充分认识到自己的敏感个人信息正在被处理,从而仔细考量并自主决定是否愿意他人对自己的敏感个人信息进行处理;另一方面,提高对个人信息处理者的义务要求,使其充分认识到处理敏感的个人信息时负有更严格的法律义务要求,从而更好地保护敏感个人信息。[2]
(二)单独同意的立法沿革
在本法将单独同意作为重要的同意形式之前,对敏感个人信息处理的同意方式存在“明示同意”“逐项同意”“单独告知”等类似概念。分述如下:
1.明示同意。2020年10月1日实施的《信息安全技术个人信息安全规范》(GB/T?35273—2020)第5.4条C款规定:“收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。”
2.逐项同意。2021年5月1日实施的《网络交易监督管理办法》第13条第2款规定:“收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的,应当逐项取得消费者同意。”
3.单独告知。工业和信息化部2021年4月26日发布的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》第6条第6项规定:“处理种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等敏感个人信息的,应当对用户进行单独告知,取得用户同意后,方可处理敏感个人信息。”
本法在《个人信息保护法(草案)》中首次提出了“单独同意”的概念,此后的历次审议中延续了该项表述。2021年8月1日实施的《使用人脸识别技术处理个人信息民事案件规定》在制定过程中,更是直接吸纳了本法征求意见稿关于“单独同意”的提法,并在此基础上予以细化。该解释第2条规定:基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意,属于侵害自然人人格权益的行为;第4条列举了非单独同意的常见情形,即“(一)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;(二)信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;(三)强迫或者变相强迫自然人同意处理其人脸信息的其他情形”。上述规定与本法一脉相承,将人脸信息等敏感个人信息权益的保护落实到可操作层面,为规范个人信息处理活动、促进数字经济健康发展提供了良好的司法实践样本。[3]
二、关于“书面同意”如何理解
所谓书面同意,是指个人应当以书面的方式作出同意。即在处理特殊的个人敏感信息时,个人信息处理者必须就其处理的特定目的、充分必要性、处理方式、信息范围、信息存储时间,以及采取何种保护措施等向个人告知并取得个人书面形式的同意。根据《
民法典》第469条之规定,书面形式一般与口头形式对应,包括合同书、信件、电报、电传、传真等可以有形地表现所载内容的形式,以电子数据交换、电子邮件等方式能够有形地表现所载内容,并可以随时调取查用的数据电文,也可以视为书面形式。换言之,书面形式可以理解为以纸质或电子形式作出的同意。需注意的是,告知同意的过程包含了三个要素,即告知、知情、同意,书面同意具有强烈的形式化要求,不能通过书面告知即推断实现了书面同意,而应当着重审查同意环节是否按照法律确认的书面形式进行,以此判断书面同意是否有效完成。
本条规定“法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定”,表明书面同意并非个人敏感信息处理的强制性要求,只有在法律、行政法规有明确要求的情况下,才需要适用书面同意的方式。既然本条前半段规定单独同意是处理敏感个人信息的必要条件,那么后半段规定的书面同意可以理解为“书面的单独同意”。具言之,此类情形下,书面同意应当同时取得单独同意,单独同意必须以书面形式作出,个人信息处理者可就特定的敏感个人信息通过书面形式取得个人的单独同意。GDPR规定的“以书面方式征得同意的,应准备单独的文本”可兹借鉴。
至于处理何种类型的敏感个人信息应当适用书面同意,考虑到社会经济发展和个人信息处理活动的复杂性,本条并未予以具体规定,而是采取了由其他法律、行政法规另行规定的立法技术,留下了弹性空间,以应对未来出现的情形。
【条文适用】
一、关于本条与本法其他条文的衔接适用
第一,本条是对本法第14条“法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定”的具体细化,规定了需要单独同意的其中一种场景即“处理敏感个人信息”,而对书面同意则仍然留待法律、行政法规作出特别规定。除本条之外,本法还在以下条款中规定了需单独同意的情形,即向其他个人信息处理者提供个人信息(第23条),公开个人信息的规制(第25条),处理敏感个人信息(第29条),以及向境外提供个人信息(第39条)。
第二,本条规定的单独同意、书面同意均是同意中的特殊类型,仍然应当满足本法对于同意的一般要求,包括本法第14条关于同意行为构成要件、重新取得同意的规定、第15条关于撤回同意的规定、第16条关于不得拒绝交易的规定、第17条关于个人信息处理告知规则的规定、第18条关于告知例外情形的规定。除此之外,本条适用时需同时遵循敏感个人信息项下关于告知同意规则的特别规定,即本法第30条关于敏感个人信息处理中告知事项的规定、第31条关于处理未成年人个人信息同意规则的规定。
第三,本法第13条规定的个人信息处理的合法性基础并不限于个人同意一种情形,而本条规定“处理敏感个人信息应当取得个人的单独同意”,二者的差异值得探究。立法过程中,《个人信息保护法(草案)》《个人信息保护法(草案二次审议稿)》关于本条的表述均为“基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意”,至最终稿时却删除了“基于个人同意处理敏感个人信息的”这一前提条件。此处修订是对敏感个人信息处理的合法性基础作了限缩,还仅是立法用语上的精炼,在理解上存在争议,有待进一步的探讨。我们的初步考虑是,结合立法者在关于草案修改情况的汇报中并未对本条的修订予以特别说明,目前司法实践中可参考部分学者提出的观点,即:处理敏感的个人信息应当取得个人的单独同意,是指那些基于个人同意处理敏感的个人信息的情形,至于依据法律、行政法规的规定无须个人同意即可处理个人信息的情形,则不适用。[4]
二、关于单独同意的具体要求
单独同意对个人信息处理者处理敏感个人信息提出了更高要求。正确适用本条规定的单独同意,应注意把握以下几个方面:
首先,单独同意应当针对某一具体的处理行为作出,这就意味着不能通过“一揽子”告知的方式征得个人同意,个人信息处理者在获得同意前应当充分履行告知义务,确保个人在充分知情的前提下,可以独立于其他个人信息,合理考虑对自己权益影响的后果而作出同意。
其次,单独同意应当以明示同意的方式作出,即以自主作出肯定性动作的形式对特定处理作出明确授权的行为,肯定性动作具体包括主动勾选、主动填写、主动点击“同意”“注册”“发送”等。
最后,单独同意应当基于自愿作出,即个人在自由、具体、清晰无误的情形下作出同意,以“与其他授权捆绑”“不点击同意就不提供服务”的方式强迫或变相强迫作出的同意无效。
实践中,关于“单独同意”的实现路径,可参照《信息安全技术个人信息安全规范》《信息安全技术个人信息告知同意指南(征求意见稿)》等相关规范性文件以及当前实操领域的通用做法。其中,《信息安全技术个人信息告知同意指南(征求意见稿)》针对告知同意规则作出了具体翔实的细化规定,并列举了公共场合、个性化推荐、互联网金融、网上购物等不同场景下告知同意的适用细则,对“单独同意”如何行使具有较强的借鉴意义。
具体到处理人脸信息的“单独同意”场景中,以通过人脸识别技术解锁手机终端为例,手机终端厂商可在用户首次开启人脸识别功能时,通过弹窗或跳转专门页面的形式同步告知该功能的信息处理规则;该规则应仅包含对人脸识别功能及其信息处理规则的描述而不包括对其他不相关事项的描述;用户通过点击“同意”或“已知悉,并继续使用”等主动性动作清楚地表达自己的意愿;即便用户在阅读信息处理规则后选择不开启该功能,但仍然可以通过设置数字密码、手势密码等方式,或直接继续使用手机终端的其他功能。
