“单独同意”:数据转移绕不开的情形有哪些?
时间:2024-04-28 19:28 来源:[db:来源] 作者:[db:作者] 点击:次
(原标题:“单独同意”:数据转移绕不开的情形有哪些?) 飒姐团队在文章《肖飒团队 | “N+1+3+N”,国内数据法结构解析》一文中简要分析了目前我国数据立法的结构,总体而言即以《国家安全法》作为我国数据立法的基石,在此基石之下,《网络安全法》《数据安全法》《个人信息保护法》成为规制数据安全的“三驾马车”,在这三部法律之下,又有《信息安全技术 个人信息安全规范》《数据安全技术 数据出境安全评估指南》《数据出境安全评估办法》《个人信息出境标准合同规定》《个人信息保护认证实施规则》等多部规范性文件对“三驾马车”进行细化规定。 我国数据保护立法虽相对而言起步较晚,但发展迅速,相关合规问题亦呈现“井喷式”爆发趋势,这其中涉及个人信息数据“单独同意”的问题尤为突出。飒姐法律团队在此简要梳理《个人信息保护法》中要求的个人信息“单独同意”的情形,并提供相应的注意事项。 一、什么是单独同意?《个人信息保护法》第十三条规定了个人信息处理者处理个人信息的七项条件,即:
根据该法条的规定,个人信息处理者处理个人信息的过程符合第(二)至第(七)这六项条件中的任何一项的时候,就可以不经个人的同意而处理个人信息,反之,必须得到个人的同意。这就是《个人信息保护法》规定的个人信息处理的“个人同意”制度。 《个人信息保护法》第十三条第(一)项规定的同意存在多种形式,如“口头同意”“书面同意”“一揽子同意”“单独同意”等。如果个人信息的处理者符合该条第(二)至第(七)项中的任意一项规定,其处理个人信息就不需要经过个人同意,自然也不存在究竟要采取哪种同意方式的问题,反之就必须要注意同意的方式。 目前,《个人信息保护法》并未对“单独同意”的含义做出具体解释,在实务中,一般认为单独同意就是“一揽子”同意的对称,所谓“一揽子同意,”举例而言就是当用户只需要采取一个动作(如在手机APP中点击一个“√”)即一次性针对多项个人信息、多种处理活动进行同意,该种理解目前已经被《网络数据安全管理条例(征求意见稿)》所采纳。该“意见稿”第73条第(八)项规定,单独同意是指数据处理者在开展具体数据处理活动时,对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意。 除了《网络数据安全管理条例(征求意见稿)》外,《信息安全技术 个人信息处理中告知和同意的实施指南》(20210985-T469,目前该标准正在批准中,尚未发布)亦有关于“单独同意”的规定,该标准认为单独同意即“个人针对其个人信息进行特定处理活动而专门做出具体、明确的授权行为”。 综上,虽然《个人信息保护法》并没有对“单独同意”的概念进行明确表述,但上述文件依然帮助我们在实务中处理需要“单独同意”的事项,至少可以帮助我们划定红线,即一次性针对多项(哪怕是两项)个人信息、处理活动的同意,均不能被认为是“单独同意”,单独同意一定是个人做出的专门、具体、明确的授权行为。 二、哪些场景需要“单独同意”?根据《个人信息保护法》之规定,个人信息处理这在以下集中情形下,其处理个人信息时必须得到个人的单独同意: 1. 向第三方提供个人信息的场景
简言之,个人信息处理者如果要向其他个人信息处理者(实务中常见的场景是A平台向B平台)转让其处理的个人信息,那么就必须在充分告知接收方信息、处理目的、处理方式的前提下,得到个人的单独同意才可以,否则就是违反《个人信息保护法》的违法行为,情节严重的还可能构成刑事犯罪。 2. 公开个人信息
简言之,个人信息处理者不公开其处理的个人信息是常态,如果需要公开,就必须要取得相应个人信息所指向的个人的单独同意。 3. 安装摄像头、人脸识别设备的情形
简言之,在公共场所安装摄像头、人脸识别等设备,必须遵守国家规定且是为了维护公共安全所必须,而且还要设置显著的提示标识。倘若无法满足上述条件,那么就必须取得个人的单独同意,否则就是侵犯公民个人信息的违法行为。 4.处理敏感个人信息
简言之,处理敏感个人信息一定要取得个人的单独同意,不仅如此某些敏感信息的取得还需要个人的书面同意。 所谓敏感个人信息,《信息安全技术 个人信息安全规范》(GB/T 35273-2020)在其附录B中做了详细说明,该国标明确载明“个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康收到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息,这些敏感信息包括但不限于以下类型: (责任编辑:admin) |