个人信息安全——“用户同意”之浅析
数据隐私和网络安全
专栏
作者:冯坚坚 胡科 朱菁
本文首发于威科先行法律信息库
2017年,《中华人民共和国网络安全法》的实施,以及《信息技术安全 个人信息安全规范》(GB/T35273—2017)(以下简称《个人信息安全规范》)的发布,将“个人信息安全”这一长久存在但总被忽视的问题推至大众的目光下。
虽然,作为国家推荐标准,《个人信息安全规范》没有法律法规的强制约束力,但从国家网信办关于个人信息安全监管的执法口径分析,该文件内容的指导意义不容小觑;尤其是目前个人信息保护法律法规尚缺乏可操作性条文的情况下,该文件内容对行政执法甚至司法审判均可能产生实质性影响。
《个人信息安全规范》首次提出“明示同意”的概念,在学界和实务界掀起热议,有人欣慰于我国的个人信息安全保护标准终于能向国际看齐,而有人也质疑实践中要做到明示同意的困难性。无论怎样,今后用户同意及其方式将随之逐渐演变是大势所趋,而本文旨在通过分析《个人信息安全规范》的规定,结合实务,帮助企业正确理解用户同意及适用相关方式。
尊重用户的同意自由
征求用户同意,其核心是赋予用户的同意自由。同意自由则包含两层含义,即同意的自由和不同意的自由。结合《个人信息安全规范》,用户同意在其中表现为两大原则:选择同意原则与主体参与原则。
选择同意原则,指向个人信息主体明示个人信息处理目的、方式、范围、规则等,征求其授权同意。换而言之,选择同意原则即是要求企业尊重用户的事先同意权,征求同意的行为需发生在未对用户个人信息采取任何措施之前,例如在注册APP前需先勾选同意用户协议等。同时,用户同意也不是一劳永逸的,如果原先同意范围、目的、内容等发生变化的,企业仍需在用户适用变化后的规则前提示其同意相关变化。
主体参与原则,指向个人信息主体提供能够访问、更正、删除其个人信息,以及撤回同意、注销账户等方法。可见,主体参与原则赋予用户的是事后监督权,保护的是用户事后的反悔权,或者是用户不同意的自由。根据实践,相较于选择同意权,企业更容易忽视用户的主体参与权利。甚至,许多企业会在用户协议中约定“用户一旦同意授权则不可撤销”等类似安排,以期获取“一次同意、终身授权”的效果。对于此类安排,我们认为合规风险较大,理由有二:其一,该等内容与《个人信息安全规范》倡导的主体参与原则相悖;其二,该等条款作为格式条款,一旦被判定双方权利义务不对等或企业未对用户尽到足够的风险提示时,则可能被认定为无效条款。
因此,企业切忌为了维护用户粘度,而将用户“撤回同意”、“删除信息”以及“注销账户”的功能隐藏起来。实务中,许多热门APP也已推出用户同意的撤回功能。去年“个人信息保护主题日”,中央网信办、工信部、公安部、国家标准委联合开展隐私条款专项整改和评审工作,包括微信、淘宝网、支付宝、滴滴出行、京东商城等10款网络产品均为用户提供了“清空痕迹”、“一站式在线注销”等便利功能。
综上,用户同意的合法合规,从建立尊重用户同意自由的体系开始,企业在征求用户同意时需恪守选择同意原则和主体参与原则,以给予用户同意自由的最大保障和尊重。
牢记三种情形需采用明示同意
根据《个人信息安全规范》,企业在三种情形中必须获得明示同意。
1. 何为明示同意?
明示同意指个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。由此可见,明示同意需由用户主动作出肯定性动作,包括主动作出电子或纸质形式的声明、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”等。实践中,对于“主动勾选、主动点击”的行为,我们理解应不仅限于“手动勾选”、“点击”等行为,比如用户通过“语音识别”功能用声音发出指令的行为也应视为明示同意。
2. 明示同意的三种情形分别为哪三种?
经梳理《个人信息安全规范》,企业应在下述三类情形中征求用户的明示同意:
首先,涉及个人敏感信息或未成年人个人信息的需要用户(监护人)的明示同意,比如需要获取个人身份信息、健康生理信息、财产信息等。
其次,当企业需要变更用户原有授权范围,或需要更多授权范围时,须征得用户的明示同意,此等情形多见于企业修改《隐私政策》、《用户协议》或用户触发附加功能时。
最后,企业公开披露个人信息时需要用户的明示同意。实践中,对于公开披露个人信息的同意取得需注意以下两点:
其一,仅仅取得用户明示同意并不足够,还需具备确需公开的合理事由,两者兼备才可公开。现实中,合理事由可能多种多样,比如租房等商业需求、再比如寻人等紧急需求。
其二,公开披露的个人信息无论是否涉及个人敏感信息均需取得用户的明示同意,且若涉及敏感信息需通过逐条列举的方式事前告知用户。
谨慎使用授权同意
除了明示同意之外,《个人信息安全规范》还规定了授权同意,但对其概念却未释明。有学者认为,明示同意指用户需作出明确授权,作出肯定性动作;那授权同意即是指用户无需作出明确授权,无需作出肯定性动作;换而言之,授权同意就是默示同意的另一种表达。
对此观点,企业大多鼓掌欢迎。明示同意对互联网企业提出了很高的要求,从根本上颠覆了各家企业往常获取用户同意的方式,许多暗度陈仓的行为被暴露在了阳光下,导致一些互联网平台用户粘度的降低。而有了“默示同意”的双胞胎“授权同意” 的存在,企业是否又可以在用户同意的设置上见雀张罗,等待用户自投罗网了呢?
《个人信息安全规范》主要起草人洪延青如是回复:《个人信息安全规范》未提及默示同意,而采用“授权同意”,是鼓励互联网企业采用明示同意,防止互联网企业滥用默示同意,同时在现实情况中无法做到明示同意时采用授权同意。
由此可见,授权同意的形式要求可能较明示同意较低,但其绝非等同于默示同意。此外,从洪延青的回复推知,授权同意是对“现实情况中无法做到明示同意时”的弥补。因此,企业在采用授权同意时,首先需考虑是否无法做到明示同意。比如,我们认为实践中较为常见的以“默认勾选”方式征求用户同意则不属于授权同意的范畴。首先,一款软件能代替用户作出“默认肯定选择”显然可以做到将“肯定选择”留给客户自行勾选,因此该等安排不属于“现实情况中无法做到明示同意”的情形;其次,设置不显眼的“默认勾选”很可能侵犯用户的选择同意自由,显然与《个人信息安全规范》的选择同意原则背道而驰。
此外,授权同意在实际采用时还有一大难点,即个人敏感信息的区分。根据《个人信息安全规范》,授权同意仅适用于个人一般信息,而涉及敏感信息的必须获取用户的明示同意。但在实践中,个人一般信息和个人敏感信息可能互相转化,相伴相依。
首先,许多APP等网络产品和服务在最初的《用户协议》中列示的对用户信息的收集、使用和处理,通常同时包含用户的个人一般信息和敏感信息。
其次,实践中,个人一般信息和敏感信息并未存在明确界限。根据《个人信息安全规范》后附的资料性附录,个人信息中的绝大部分均可能构成个人敏感信息,而这与取得个人信息的数量以及之间的关联度有着紧密的联系。以网页浏览记录为例,单条网页浏览记录可能仅构成个人一般信息,但数以亿计的网页浏览记录中通常包含着大量个人敏感信息。
在《个人信息安全规范》出台前,南京市中级人民法院曾认定“百度以默认勾选的方式征求用户同意以收集用户的浏览记录不构成侵犯用户的隐私权”,因为“用户的浏览记录非个人敏感信息”。值得注意的是,虽然当时南京中院认定“用户的浏览记录非个人敏感信息”,但其认定的依据系《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z28828-2012),而该等标准并未像《个人信息安全规范》对个人敏感信息作出概括+举例的详细描述。因此,若该案发生于《个人信息安全规范》出台后,法院是否会依据新的判断标准,作出不同的裁判而未可知。
因此,基于“现实情况中无法做到明示同意时”这一采取授权同意的前提条件门槛较高,“鉴别个人敏感信息”的现实操作难度较大,真正能够适用授权同意的空间则很小,若企业任意套用授权同意,则个人信息安全的合规风险将显著增加。
采用更合理有效的征求同意方式
基于前文分析,我们认为企业应更多地采用明示同意的方式,以供用户充分行使其选择同意权。但是,如何设置才能达到更理想的征求同意方式呢?结合实践,以下提供了几种可行的思路:
1. 增强式告知
对于《用户协议》、《隐私政策》等网络产品与服务的基础法律文件,企业一般均会采用与注册、登陆相挂钩的方式,在注册、登陆等按钮下划线标明“未经勾选”的相关文本以供用户选择同意。但是,根据《个人信息安全规范》资料性附录,其更鼓励以弹窗式方式告知对用户个人信息将采取的相应措施。
我们认为,在个人信息安全意识普遍增强的今天,大多用户在首次使用某个APP时,均会对自己个人信息的安全和流向产生疑虑,以弹窗示明关于个人信息收集、处理的摘要内容,不仅可以为用户释疑,还可以营造合规的形象从而获得用户的信赖。
2. 及时提示
根据《个人信息安全规范》,企业需要变更或超越原有授权范围时应征得用户明示同意。一般软件对用户提示时,会通过消息栏等功能。但用户通常对消息栏的信息不敏感,有的甚至积累了几百条都不会去点开,故涉及个人信息及隐私时,我们建议企业以更明显的方式告知客户,比如声音提示。设置此类提示,对于产品而言还有一大好处,就是可以以此挽留客户对“声音提示权”的授权。在产品设计中,更多的权限即意味着产品能够有更多的空间向用户展示其功能。
3. 单独告知
以往企业征求用户同意时,常以万字篇幅大摆迷魂阵,迷得用户在晕头转向中一股脑儿地给予了所有授权。《个人信息安全规范》出台后,此等做法难以为继。征求用户同意首先需区分目的,是为了核心功能还是附加功能,比如微信的核心功能是聊天,若需开启语音、拍照,则需单独授权;其次需区分信息内容,是否涉及个人敏感信息,比如使用微信钱包,需另行提供个人财产信息;再者需区分信息使用,是否涉及对外分享和转让,比如在关注新的微信公众号时需单独对该等公众号进行授权。
现今社会,企业在为用户量身打造精准快捷的网络产品和服务的同时,更需关注对每位用户的权益和隐私的保护。而用户同意作为个人信息安全的首道屏障,其重要性不言而喻。互联网企业赖以生存的用户粘度实质上源于用户对于产品及服务的信任,而充分尊重用户同意的自主权则是获得用户信任的良好开端。根据互联网经济的达维多定律以及用户锁定效应,在个人信息安全已成为全球关注的现今,我们有理由相信,率先在个人信息安全合规上取得建树和口碑的企业,将在竞争中获得更大优势。
合伙人
021-2613 6221
feng.jianjian@jingtian.com
竞天公诚律师事务所合伙人。
冯坚坚律师的执业领域主要专注于网络安全合规、反垄断调查及反垄断合规咨询。冯律师是上海市律师协会互联网业务研究委员会委员,曾任阿里巴巴特色中国训练营讲师,长期为众多大型跨国企业、大型互联网科技企业提供法律服务,对于互联网新技术与商业模式有独到而深刻的理解。
自2016年开始,冯律师及其团队为大量客户提供了有关网络安全法相关的合规咨询服务,并从2017年网络安全法生效实施后,协助客户应对与网络安全合规有关的政府检查和调查,在公司的网络安全合规和调查应对上积累了丰富的经验。
合伙人
010-5809 1182
hu.ke@jingtian.com
胡科律师毕业于北京大学和加州大学伯克利分校,分别获得法学学士和法学硕士学位,具有中华人民共和国和美国纽约州律师资格。
胡科律师是竞天公诚律师事务所争议解决部合伙人。其执业领域为商事争议解决,尤其擅长跨境商事和知识产权争议的诉讼和仲裁。胡律师经常代理客户处理在中国法院的重大涉外诉讼以及在CIETAC、BAC、HKIAC、ICC、SCC、SIAC等中外仲裁机构进行的商事仲裁案件,涉及公司、股权、中外合资、PE/VC投资、金融、贸易、工程、能源、文化娱乐、技术许可以及外国仲裁裁决或法院判决的司法审查和执行。2018年,他被《法律名人录》认可为国际仲裁领域的"未来领袖"之一。
胡律师是国际商事仲裁理事会(ICCA)-清华大学中国仲裁法律与实践联合工作组成员,国际律师协会(IBA)仲裁委员会成员和IBA ARB 40协调委员会的中国国家代表,中国青年仲裁小组组织委员会成员和YSIAC领导委员会成员。
胡律师的工作语言是中文和英文。
律师
021- 2613 6221
zhu.jing@jingtian.com
竞天公诚律师事务所律师。华东政法大学国际法硕士。自2014年开始执业,执业领域主要专注于网络安全合规、反垄断调查及反垄断合规咨询。朱律师曾参与中国汽车行业的纵向限制问题的调研,对于汽车行业的反垄断合规体系建设及落地有着一定的实操经验。
同时,朱律师还曾先后参与多个新三板挂牌项目、私募基金融资项目、上海股交中心挂牌项目以及企业债项目,在证券与资本市场、并购重组与外商投资方面积累了较为丰富的经验。