【小贝说安全】数安条例百问37、38、39、40：关于“同意”

11月14日，国家互联网信息办公布了《网络数据安全管理条例（征求意见稿）》。为此，小贝说安全设立《网络数据安全管理条例（征求意见稿）》（后文简称《条例》）解读专栏，以百问百答的形式对《条例》进行系列解读。

需要指出，这些解读只是专家个人观点，不代表官方意见；且这些解读针对的是征求意见稿，未来条文本身可能会发生变化，不排除会有新增和删除。

对应条款

“告知”和“同意”是个人信息保护中最核心的要求，其中尤以“同意”为要。即，除个别例外情况外（如因为司法调查、紧急事态、公共利益等），对个人信息的处理必须征得个人同意。可以说，所有对个人信息处理者所提出的个人信息处理规则，都是从这里出发的，这是逻辑起点。

但什么是“同意”？如何实现“同意”？在实践中可以有不同甚至迥异的理解。而不同理解带来的影响也差异极大，有的完全是为了规避法律义务、打“擦边球”，已经严重侵犯了用户权益。

例如，“一揽子”同意（即不区分具体服务所需收集的个人信息）算不算同意？依靠服务的垄断地位强迫用户同意算不算同意？利用晦涩并设置陷阱的语言诱导用户同意算不算同意？“同意”一次永远收集怎么办？这些问题不解决，就相当于起步便错了，何谈后续进一步保护用户的各类个人信息权。

但遗憾的是，恰恰在“同意”这个问题上，一些企业和机构采取了很多办法规避法律义务，出现了各种违法违规行为。

2019年11月，国家互联网信息办牵头印发《App违法违规收集使用个人信息行为认定方法》，将以下行为认定为“未经用户同意收集使用个人信息”：

1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；

2.用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用；

3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；

4.以默认选择同意隐私政策等非明示方式征求用户同意；

5.未经用户同意更改其设置的可收集个人信息权限状态，如App更新时自动将用户设置的权限恢复到默认状态；

6.利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项；

7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的；

8.未向用户提供撤回同意收集个人信息的途径、方式；

9.违反其所声明的收集使用规则，收集使用个人信息。

就技术原理而言，“同意”实际上是一种“良心活”，因为在实际提供服务或运行App时，企业是否按照同意事项收集使用个人信息，这完全是笔“糊涂账”，目前的监管还没有细致到这个程度。但即使这样，一些企业也想方设法规避“同意”义务，连装个样子都不愿意，可见我国个人信息保护水平仍非常低。在很长一段时间内，是否征得个人“同意”仍是矛盾聚焦点，也始终会是监管部门的整治重点。

一个最简单的例子是，《个人信息保护法》已经实施一个月，如今用户使用各类App，都会弹出隐私政策，以征得用户同意，这算是一种进步。但难道用户同意的就是“隐私政策”吗？那充其量属于告知事项，不能认为是应当征得同意的内容。每一个用户使用同一款App时，需要的服务可能各不一样，同意意愿也可能因人而异，有多少隐私政策给用户选择权了？这一点都做不到，遑论其他？

显然，这个问题是立法时的重点关注事项。《个人信息保护法》围绕“同意”设立了三个条款：

第十四条 基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

第十五条 基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。

但总体而言，以上规定仍显得有些原则，故《条例》根据近年来的工作实践，进一步细化了“同意”要求，尤其是针对“打擦边球”行为，明确规定了禁则。

41

42