【小贝说安全】数安条例百问37、38、39、40:关于“同意”
小贝案语
11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》。为此,小贝说安全设立《网络数据安全管理条例(征求意见稿)》(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。
需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除。
对应条款
第二十一条 处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定:
(一)按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意;
(二)处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意;
(三)处理不满十四周岁未成年人的个人信息,应当取得其监护人同意;
(四)不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息;
(五)不得通过误导、欺诈、胁迫等方式获得个人的同意;
(六)不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意;
(七)不得超出个人授权同意的范围处理个人信息;
(八)不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,数据处理者应当重新取得个人同意,并同步修改个人信息处理规则。
对个人同意行为有效性存在争议的,数据处理者负有举证责任。
解读
“告知”和“同意”是个人信息保护中最核心的要求,其中尤以“同意”为要。即,除个别例外情况外(如因为司法调查、紧急事态、公共利益等),对个人信息的处理必须征得个人同意。可以说,所有对个人信息处理者所提出的个人信息处理规则,都是从这里出发的,这是逻辑起点。
但什么是“同意”?如何实现“同意”?在实践中可以有不同甚至迥异的理解。而不同理解带来的影响也差异极大,有的完全是为了规避法律义务、打“擦边球”,已经严重侵犯了用户权益。
例如,“一揽子”同意(即不区分具体服务所需收集的个人信息)算不算同意?依靠服务的垄断地位强迫用户同意算不算同意?利用晦涩并设置陷阱的语言诱导用户同意算不算同意?“同意”一次永远收集怎么办?这些问题不解决,就相当于起步便错了,何谈后续进一步保护用户的各类个人信息权。
但遗憾的是,恰恰在“同意”这个问题上,一些企业和机构采取了很多办法规避法律义务,出现了各种违法违规行为。
2019年11月,国家互联网信息办牵头印发《App违法违规收集使用个人信息行为认定方法》,将以下行为认定为“未经用户同意收集使用个人信息”:
1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;
2.用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;
3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;
4.以默认选择同意隐私政策等非明示方式征求用户同意;
5.未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态;
6.利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;
7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;
8.未向用户提供撤回同意收集个人信息的途径、方式;
9.违反其所声明的收集使用规则,收集使用个人信息。
就技术原理而言,“同意”实际上是一种“良心活”,因为在实际提供服务或运行App时,企业是否按照同意事项收集使用个人信息,这完全是笔“糊涂账”,目前的监管还没有细致到这个程度。但即使这样,一些企业也想方设法规避“同意”义务,连装个样子都不愿意,可见我国个人信息保护水平仍非常低。在很长一段时间内,是否征得个人“同意”仍是矛盾聚焦点,也始终会是监管部门的整治重点。
一个最简单的例子是,《个人信息保护法》已经实施一个月,如今用户使用各类App,都会弹出隐私政策,以征得用户同意,这算是一种进步。但难道用户同意的就是“隐私政策”吗?那充其量属于告知事项,不能认为是应当征得同意的内容。每一个用户使用同一款App时,需要的服务可能各不一样,同意意愿也可能因人而异,有多少隐私政策给用户选择权了?这一点都做不到,遑论其他?
显然,这个问题是立法时的重点关注事项。《个人信息保护法》围绕“同意”设立了三个条款:
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
但总体而言,以上规定仍显得有些原则,故《条例》根据近年来的工作实践,进一步细化了“同意”要求,尤其是针对“打擦边球”行为,明确规定了禁则。
对应条款
第二十一条 处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定:
……
(四)不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息;
……
解读
从人性角度而言,一个人之所以“同意”,必然是对其有利,法律禁止胁迫同意。但在实践中,出现了与用户利益无关,或者说不是直接相关,但企业认为也应当收集个人信息的情况。
如果说,企业收集个人信息用于直接牟利,或者进行商业活动,这容易判断,但企业提出了五种其不认为有商业目的,且还可能有利于用户的个人信息收集场景。
一是改善服务质量。如了解用户餐饮习惯,以实现对菜系、口味的精准推送。
二是提升用户体验。如为了减少用户登录过程的繁琐程序,强制收集、保存用户的账号、口令信息。
三是研发新产品。如收集用户银行账号信息,针对用户个人资金状况推出新的金融服务。
四是维护网络安全。如收集用户终端被病毒感染情况,以便进行网络安全态势感知分析。
五是风控或反诈。如收集用户输入身份证数字的间隔时间,以判断是否为本人操作(本人操作一般不会在输入数字时有迟疑,抄他人身份证数字则一般速度较慢)。
经认真研究,《条例》认可了最后两种场景,因为这出于网络安全或公共安全原因。但没有认可前三种场景,故规定,不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息。这个问题的焦点在于如何理解“有利”。不能企业单方面认为对用户有利就是有利,不能认为以后有利就是现在有利,如果用户以后不用你了呢?况且,你为什么要替用户做主和操心呢?
需要指出,《条例》并不是反对改善服务质量、提升用户体验、研发新产品的客观需求,也不禁止以改善服务质量、提升用户体验、研发新产品等为由收集个人信息。但是,不能在以上三种场景中“强迫”收集个人信息。换言之,不能仅以以上三种目的为由收集个人信息。
对应条款
第二十一条 处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定:
……
(八)不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。
……
解读
每个人都经历过这样的场景:在App征得同意的环节,如果拒绝同意,则App退出服务。如果用户一定想使用其服务,最终不得不点击“同意”。
这成了“强迫”同意的最典型形式。
但有时候,如果用户不提供信息,确实服务无法完成,如位置信息对于网约车服务而言便不可或缺,用户不同意只能停止提供服务。
如何既支持合法合理诉求又能禁止强迫同意行为呢?《个人信息保护法》第十六条规定,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
这一表述十分精炼、准确。但其采用的是倒装描述,需要仔细品读才可完整理解。为此,《条例》在第十九条将其分拆为两项要求:处理的个人信息是提供服务所必需的,或者是履行法律、行政法规规定的义务所必需的;不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务。
通俗一点说,用户在申请服务时,如果拟收集的信息是完成服务所必需的,那么如果用户不愿意提供,则服务只能退出;但如果拟收集的信息不是完成服务所必需的,用户如果愿意提供则提供,但如果不愿意提供,用户申请的服务不能退出,并且不得降低服务质量。特别是最后一点,有时候企业虽然没有退出服务,但是故意给用户制造差的体验,例如插播长时间广告等,这也是违规的。
应该说,以上要求已经圆满解决了通过退出来强制要求用户提供个人信息的问题。但在实践中,又出现了新问题:用户不同意提供超范围的个人信息时,服务倒是没退出,但仅仅过了两分钟,App又弹出窗口、再次征求用户对超范围个人信息进行同意。此后每两分钟弹一次,用户不胜其烦,甚至无法正常使用服务,事实上是向用户发起了一种“拒绝服务攻击”。但企业可以主张,其并没有违反《个人信息保护法》的规定。
为此,《条例》不得不提出,禁止在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。这个“频繁”是多长时间呢?在实际监管中,一般掌握在24小时。即,24小时最多问一次。
常常有人疑问,为什么关于个人信息保护的法律法规和标准规范越来越细,这会不会对企业带来过于沉重的负担?从以上例子可以看到,“上有政策、下有对策”的情况目前太普遍。至少在当前形势下,我们还没有走出个人信息保护的蛮荒时代,不得不努力实现法律法规的细粒度规定。
在个人信息保护领域,这种监管和规避监管的角力是长期性的。对企业而言,在逐利之外,可能还要更多的考虑社会责任。
对应条款
第二十一条 处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定:
……
对个人同意行为有效性存在争议的,数据处理者负有举证责任。
解读
《条例》首次提出了个人同意行为的有效性问题,这是一个重大制度,可能会对行业产生很大的影响。
如前所述,很长一段时间以来,监管部门把个人信息保护工作的注意力都放在了隐私政策和用户“同意”之上,这也是形势所迫,毕竟第一步还没有做好,去规范第二步、第三步没有意义。
但这里面有一个巨大的漏洞,而且这个漏洞在全世界都是存在的。即,企业完全按照法律法规要求征得用户“同意”后,是否需要留下“同意”的证据呢?答案是一定的,不然前面不是白干了吗?对“同意”提出那么多法律规定还有什么意义呢?如果没有这个证据,企业就完全可以在事后任性了,反正查无实证,用户自己也一般不会去记录。
就算是用户自己记录了,也还有个有效性问题。一旦发生纠纷,什么才是法律承认的呈堂证供?国外一些大企业在法律尚缺乏规定的情况下,主动设置了存储用户“同意”日志的功能。这值得赞赏,但企业自己单方面留存的所谓证据能够被法庭认可吗?这又是另外一回事了。
为此,《条例》规定,对个人同意行为有效性存在争议的,数据处理者负有举证责任。这是一种原则性规定,隐含了对企业的存证要求。但一定是“存证”,而不是企业自己说了算。
这将孕育一个新的产业方向。
下期预告
41
如何理解“十五个”工作日的删除个人信息要求?
42
如何理解“无法避免采集”场景?
往期链接
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么?
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系?
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求?
19、如何理解重要数据或者十万人以上个人信息事件的处置义务?
20、如何理解向第三方提供个人信息或发送重要数据的安全要求?
24、《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系?
25、为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求?
26、为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求?
27、为什么对合并、重组、分立或解散、破产提出数据安全要求?
35、为什么要在个人信息处理规则中对第三方代码、插件提出要求?
(文章来源:小贝说安全)