數據合規之個人信息“單獨同意”授權

一、爲什麼要個人信息“單獨同意”授權？

數據合規中的個人信息“單獨同意”授權，是指就特定範圍和情形的個人信息，權利人對個人信息處理者的授權，必須以單獨的明確同意的形式進行。“單獨的”是權利人針對個人信息處理者進行特定處理作出個別、具體授權的行爲，這能夠有力破解“一攬子授權”的困境。區別於“同意”，所謂“明確同意”，意味着自然人在被告知私密信息將被處理的前提下而作出的清晰、明確的允許處理的意思表示。[1]

從權利基礎來看，特定範圍的個人信息包括隱私，原則上是不能許可他人使用或商業化利用的，隱私權有消極防禦功能，即防止他人對包括私生活安寧、私密信息在內的隱私的侵害[2]，理應特別保護。涉及隱私的個人信息處理，需要得到權利人單獨的、明確的同意，否則會引發侵害隱私權的侵權責任。

從法律規範來看，《民法典》第1033條規定，“除法律另有規定或者權利人明確同意外，任何組織或者個人不得實施下列行爲……（五）處理他人的私密信息”。第1035條規定，處理個人信息的，應當遵循合法、正當、必要原則，徵得該自然人或者其監護人同意。可見，《民法典》明確了私密信息在內的特定範圍的數據處理，必須取得權利人單獨的明確同意。

2021年11月1日實施的《個人信息保護法》第29條規定“處理敏感個人信息應當取得個人的單獨同意；法律、行政法規規定處理敏感個人信息應當取得書面同意的，從其規定。”該法明確了“單獨同意”，具體了對“敏感個人信息”明確的、書面的單獨同意處理規則。《數據安全法》《汽車數據安全管理若幹規定（試行）》《網絡數據安全管理條例（徵求意見稿）》等法律規範以及行業標準，也進一步細化了個人信息處理所需單獨同意授權的特定範圍和情形。

可見，就特定範圍和情形的個人信息處理，必須取得權利人的單獨同意，存在堅實的法理和法律規範的依據。

二、個人信息“單獨同意”授權的情形有哪些？

（一）“單獨同意”的五種法定情形

根據《個人信息保護法》第23、25、26、29和39條的規定，“單獨同意”的法定情形有以下五種：

（1）向其他個人信息處理者提供其處理的個人信息；

（2）公開其處理的個人信息；

（3）將公共場所收集的個人圖像/身份特徵信息用於非公共安全之目的；

（4）處理敏感個人信息；

（5）向境外提供個人信息。

（二）“單獨同意”的特別規定

（1）汽車數據中的敏感個人信息處理，見《汽車數據安全管理若幹規定（試行）》第9條。

（2）未成年人個人信息用於直接營銷、用戶畫像以及個性化廣告推送，見《信息安全技術 網絡音視頻服務數據安全指南（徵求意見稿）》第12條。

（3）個人健康醫療數據用於市場營銷活動，見《信息安全技術 健康醫療數據安全指南》GB/T 39725-2020第7條（C）款。

（4）處理人臉信息，見《最高人民法院關於審理使用人臉識別技術處理個人信息相關民事案件適用法律若幹問題的規定》第2條，可歸於敏感個人信息處理。

（5）其他法律、行政法規的特別規定，如《網絡數據安全管理條例（徵求意見稿）》第49條規定將個人信息用於個性化推薦時，應當取得單獨同意。

三、如何“單獨同意”授權？

（一）“單獨同意”需遵循何種原則？

1.同意的基本原則

根據《信息安全技術 個人信息處理中告知和同意的實施指南》（標準號：GB/T 42574-2023）（以下簡稱《實施指南》）規定，個人信息處理者在取得個人同意時需遵循以下基本原則：

（1）告知一致：取得同意的範圍不超出所告知的內容。

（2）自主選擇：支持個人通過自行操作的方式作出同意，不使用默認勾選的方式取得同意。

（3）時機恰當：在個人信息收集行爲發生前，且同步傳達告知內容時，取得個人同意，以增進個人對業務功能與所收集的個人信息之間關聯性的理解。

（4）避免捆綁：區分產品或服務的業務功能，不採用捆綁方式強迫個人一次性同意多種業務功能可能收集的個人信息或多個處理活動；個人拒絕同意時，不影響與該個人信息無關的業務功能的正常使用。

2.“單獨同意”的增強要件

因“單獨同意”是權利人針對其個人信息進行特定處理活動作出具體、明確授權的行爲，需有力破解“一攬子授權”給權利人造成的困境。故，如需要構成有效的“單獨同意”，在符合上述同意的基本原則基礎上，至少具備如下增強要求：

（1）即時增強告知：通過增強式告知或即時提示的方式，針對需要單獨同意的事項專門、充分告知。

（2）同意事項獨立：針對具體且獨立的目的或業務功能，不與其他事項捆綁。

（3）同意動作明示：以明示方式作出同意，不得默認同意，確保毫無歧義。

（二）“單獨同意”應告知哪些內容？

在不同的“單獨同意”授權場景下，授權告知的內容不盡相同。結合《個人信息保護法》及《實施指南》規定，對於“單獨同意”的五種法定情形下授權需告知的內容整理如下：

（三）在何環節設置“單獨同意”？

“事先告知+明示同意”是《個人信息保護法》所規定的處理個人信息的基本原則。基於此基本原則，同時考慮上述須獲得個人信息主體“單獨同意”授權的情形發生的具體業務環節：

（1）將“單獨同意”設置於用戶註冊環節

若在用戶註冊環節就已經開始收集個人敏感信息或者在用戶註冊環節就能預見到會發生需單獨同意授權的場景時（如根據業務模式必定會將個人信息提供給合作的具有明確身份的第三方或者提供給境外的具有明確身份的接收方），可在用戶註冊環節設置“單獨同意”。

（2）將“單獨同意”設置於後續環節

如發生在後續業務環節且法規政策對授權內容要求非常明確導致只能在該環節設置（如向他人提供個人信息且前期無法預見具體的信息接收主體、個人信息出境無法提前預見具體接收方等）。

（四）何種方式設置“單獨同意”？

實踐中應避免一攬子方式獲得同意，避免與其他同意隱匿揉合，更宜進行單獨的“告知同意界面”交互設計，如：

（1）獨立的彈窗；

（2）下滑查看詳情的嵌套網頁；

（3）跳轉到另一頁面給出增強告知；

（4）單獨的隱私政策，如未成年人個人信息處理規則、第三方傳輸數據授權文件等。

就具體的單獨同意動作的給出而言，可以要求個人就需要單獨同意的事項做出填寫、勾選、點擊確認、配合拍照、自主提交等主動動作。

（五）何種形式設置“單獨同意”？

1.隱私政策包含“單獨同意”授權內容模式

將隱私政策涉及需要單獨授權的事項，設計成用戶可以單獨勾選的可選項，由用戶自主勾選，最後再統一自主勾選確認整個隱私政策。該模式適用前提是註冊環節會發生需要“單獨同意”授權的情形或可以預見未來必定會發生需要“單獨同意”授權的情形，且能詳細披露。這在某種程度上能實現“一攬子授權”，但缺點是費盡周折才能使用，考驗用戶耐心，體驗差。

2.隱私政策與“單獨同意”授權內容同時設置模式

在設置隱私政策的同時，將需要個人信息主體“單獨同意”授權內容配置對應的單獨協議或選項內容，與隱私政策並列，由個人信息主體自主勾選確認。該模式前提是要區分，哪些適合“一攬子授權”，哪些適合“單獨同意”授權。

3.單獨另行授權模式

如在用戶註冊環節不涉及或者無法準確預見個人信息主體“單獨同意”授權情形，那麼後續發生需要個人信息主體“單獨同意”授權的情形時，可以彈窗+授權內容/彈窗+授權協議、郵件、短信通知等一種或多種方式通知個人信息主體（前兩者目前實踐中比較常見），但是要確保能獲得個人信息主體的明示同意，即個人信息主體自主點擊確認彈窗+授權內容/彈窗+授權協議、回覆郵件或短信通知等。該模式比較靈活，但容易遺漏。

（六）“單獨同意”授權的常見風險

1.多重授權問題

App通常會使用第三方SDK、API、算法，或通過其他方式讓第三方收集、傳輸或共享用戶數據，該情形屬於向其他個人信息處理者提供其處理的個人信息，需要獲得用戶的“單獨同意”。若APP運營企業嵌入的爲境外SDK，將用戶個人信息轉移至國外，還需要就向境外提供個人信息這一事項取得個人的“單獨同意”。

2.未取得授權

若採用隱私政策包含“單獨同意”授權內容模式，而用戶漏選或少勾選授權內容時，或採用單獨另行授權模式，通過郵件、短信通知等一種或多種方式通知個人信息主體但無法及時觸達而導致無法獲取此類用戶“單獨同意”授權時，則很有可能未取得用戶對相關信息的授權。

3.授權不清晰

在取得單獨授權時，需將取得“單獨同意”授權的信息範圍、內容、使用目的等對於用戶進行明確的告知，避免因授權協議表述不清晰而導致超範圍使用個人敏感信息等情形的出現。

小結

綜上所述，就前述特定範圍和情形的個人信息，法律要求必須取得權利人的“單獨同意”授權。我們在數據合規業務中設置此種授權，應當在“單獨同意”的基礎上，做到“即時增強告知、同意事項獨立、同意動作明示”。同時，應當充分考慮相關情形的發生、可能的業務環節、需要授權的具體內容、用戶體驗、是否會錯漏等因素，從而確定設置的情形環節及授權形式、授權方式，並注意避開常見風險，讓權利人在真正知情的情況下單獨的、自主的決定個人信息處理者如何處理其個人信息。