汇业评论 | 《个人信息告知同意指南(征)》主要内容解读与适用
近日,作为《个人信息安全规范》的配套标准,全国信安标委发布《信息安全技术 个人信息告知同意指南》公开征求意见。该指南正式生效后,作为推荐性标准将指导企业个人信息保护合规建设,并有望作为监管执法的参考性资料。
该指南分为9个章节,分别针对告知同意的适用情形、免于告知同意的情形、告知同意的基本原则和具体执行方法等进行了详细的说明,同时还回应了实践中企业在不同商业场景,特别是儿童个人信息保护、SDK收集使用、物联网场景、公开场景、个性化推荐场景、车载场景等的告知同意合规落地指引。
汇业律师事务所黄春林律师团队结合近期监管执法热点,就该指南整理如下五个需要重点关注的问题,仅供企业个人信息保护合规实践参考。
一、清晰的“告知+同意”合规指引
“告知+同意”是我国《网络安全法》确立的个人信息保护的基础性制度逻辑。与《个人信息安全规范》相比,该指南在逻辑上显著区分了告知与同意两个合规动作,强化了企业的告知披露义务,细化了告知程序、告知内容及同意方式的合规要点,增加了豁免个人信息主体明示同意的几种情形。具体内容整理如下表:
此外,该指南结合近期监管执法要点,其8.1条中还相对全面的规定了告知的具体内容、方式,同时还首次从时机、频率、位置等视角提出了告知的“适当性”控制项,这对企业产品的隐私保护设计方面是一个很好的指引。
最后,该指南还首次提出了告知同意的证据留存合规,这对未来民事争议解决中的举证责任分配提供了一种很好的探索。
二、明确员工、求职者个人信息收集的合规指引
该指南6.1.m中明确规定,企业直接收集与员工、求职者的求职、就业直接相关的个人信息,例如用人单位收集个人信息主体投递的包含姓名、联系电话、学历背景、工作经验等个人信息的简历,无需征得求职者的明示同意。但是,根据汇业律师事务所黄春林律师团队理解:
1. 该等情形豁免同意的范围必须是“与求职、就业直接相关的”,超过合理范围的个人信息,尤其是生物信息、健康信息、征信信息等个人敏感信息的,仍不能豁免同意;
2. 本条仅豁免了收集环节的同意,但并未豁免对外提供、跨境转移等环节的同意;
3. 本条虽然豁免了同意,但没有豁免告知,因此企业仍应当通过员工手册、员工同意函、招聘页面隐私政策或文案等形式,告知个人信息主体关于收集、使用其个人信息的目的等内容;
4. 此外,企业通过第三方(如人力资源供应商)间接收集简历信息,仍应当征得提供方及求职者的双重同意。
三、明确SDK场景下的告知及同意合规指引
SDK的个人信息收集、使用合规,是近期监管执法的重中之重。但实践中,企业如何执行SDK告知同意合规,仍然存在较大的困惑,该指引较好的填补了这一空白,是很好的“最佳实践”参考。
本指南规定,企业应当告知APP等涉及的SDK等外部代码的引用情况,包括是否存在SDK等外部代码的引用,以及SDK等外部代码收集处理个人信息等情况。
在附录B中,该指南根据SDK的功能不同,具体告知同意的推荐性指引如下表:
总结上表,在SDK情形中,宿主APP服务提供者与SDK提供者:
1. 何者拥有个人信息控制权,则应当向用户履行告知同意义务;
2. 除宿主APP服务提供者无控制权的情形外,SDK提供者还应当向宿主APP服务提供者告知所采集的个人信息类型及采集使用的目的、范围等并经其同意。
四、委托处理与对外提供的合规差异
首先,该指南将共享、转让、公开披露等行为统称为“对外提供”,这与《网络安全法》、《人类遗传资源管理条例》等法律用语更加协调。其次,尽管可能都发生了个人信息的物理转移,但是“委托处理”和“对外提供”对个人信息控制权的影响不一样,相应的法律后果和合规要求也有较大差异。其中,最直接的合规差异就是个人信息主体的告知、同意规则也不一样。这体现在该指南,5.3条明确规定委托处理不适用对外提供告知同意相应的合规要求,相较于《个人信息安全规范》更加明确。
但是,在指南附录G的互联网金融场景实例中,G.1.2条又混同规定对外提供及委托处理的告知合规,这就很难理解二者的合规差异。此外,委托处理个人信息场景下,企业如何履行告知义务,尤其是告知的颗粒度(深度和广度)并未在指南中进一步明确。
值得注意的是,根据委托关系的法律性质,在委托处理场景中,第三方在委托范围内处理个人信息的行为,应当由个人信息控制者向个人信息主体承担全部法律责任。因此,为了尽可能降低相应的法律风险,无论是在《数据安全管理办法(征求意见稿)》、《个人信息安全规范》还是该指南附录中,均明确要求个人信息控制者确保受委托者具备足够的数据安全能力,提供了足够的安全保护水平,对应的合规动作就是应当“充分审查、评估外包服务供应商或者外部合作机构保护个人信息的能力”。
五、明确公共卫生事件收集、提供个人信息的同意豁免
在《个人信息安全规范》5.4.b、8.5.b的基础上,该指南进一步明确规定了公共卫生事件中豁免同意,并示例性规定了为加强口岸防控人感染特定流感疫情,对疑似病例人员采样进行病原体监测,详细登记其个人信息、联系方式等的豁免同意。
但是,汇业黄春林律师理解,这种豁免是有条件性的:
1. 必须是与公共卫生事件防控有关的、直接的、最小化的;
2. 必须由法定机构执行;
3. 严格限定适用目的;
4. 遵守其他法律、法规中明确限定(例如患者隐私保护、人类遗传资源保护等);等等。
更多内容,参见汇业黄春林律师团队近期文章《疫情防控有关的十大个人信息保护问题》。
作者往期文章推荐: