《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 非基于同意處理個人信息,“單獨同意”能豁免嗎?

非基于同意處理個人信息,“單獨同意”能豁免嗎?

2021-10-19
來源:數(shù)字科技說
關(guān)鍵詞: 單獨同意 個人信息

  在即將于11月1日生效的《個人信息保護法》第13條中,除了“同意”以外,還首次明確了多種個人信息處理的合法性基礎(chǔ):

  為訂立、履行個人作為一方當(dāng)事人的合同所必需

  按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需

  為履行法定職責(zé)或者法定義務(wù)所必需

  為應(yīng)對突發(fā)公共衛(wèi)生事件

  緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需

  為公共利益實施新聞報道、輿論監(jiān)督等行為,在合理的范圍內(nèi)處理個人信息

  依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息

  法律、行政法規(guī)規(guī)定的其他情形

  另外值得留意的是,在《個人信息保護法》中還提出了“單獨同意”(seprate consent)的概念,而在GDPR等外國的法律法規(guī)中并沒有這一概念。根據(jù)《個人信息保護法》,“單獨同意”適用于五個場景:

  個人信息處理者向其他個人信息處理者提供其處理的個人信息

  公開個人信息

  公共場所安裝圖像采集、個人身份識別設(shè)備,用于維護公共安全以外目的收集個人圖像、身份識別信息

  處理敏感個人信息

  向境外提供個人信息

  因為是一個嶄新的概念,所以“單獨同意”在實踐中如何落地、能否豁免存在相當(dāng)?shù)牟淮_定性。

  單獨同意比普通的同意更難獲得,需要單獨的意思表示,因此很多場景下獲取單獨同意非常困難。進而問題來了:如果不基于“同意”處理個人信息,那么在特定的五個場景下,是否還需要獲取單獨同意?

  假設(shè)個人信息處理是為了應(yīng)對突發(fā)公共衛(wèi)生事件,如因為防控疫情的需要收集姓名、身份證號、行程等信息,但行蹤軌跡是敏感個人信息,《個人信息保護法》第29條要求處理敏感個人信息需要單獨同意。

  有很多觀點認為如果不基于同意處理個人信息,那么也無需獲取單獨同意。比如程嘯教授認為:

  處理敏感的個人信息應(yīng)當(dāng)取得個人的單獨同意,當(dāng)然是指那些基于個人同意處理敏感的個人信息的情形,至于依據(jù)法律、行政法規(guī)的規(guī)定無需個人同意即可處理個人信息的情形,則不適用?!?/p>

  程嘯:《個人信息保護法理解與適用》,中國法制出版社2021年版,頁273

  也有律師持同樣的觀點:

  當(dāng)且僅當(dāng)處理數(shù)據(jù)的合法性事由是基于同意的時候,有五個場景是需要獲得“單獨同意”的。

  孟潔律師團隊,公眾號:M姐 數(shù)據(jù)合規(guī)評論

  Step 6 | 一天一步帶你落地《個人信息保護法》

  但我認為這種觀點在實踐中是有風(fēng)險的。對比《個人信息保護法(草案二次審議稿)》與《個人信息保護法》:

  《個人信息保護法(草案二次審議稿)》

  《個人信息保護法》

  基于個人同意處理敏感個人信息的,個人信息處理者應(yīng)當(dāng)取得個人的單獨同意?!ǖ?0條)

  處理敏感個人信息應(yīng)當(dāng)取得個人的單獨同意;……(第29條)

  在正式通過的《個人信息保護法》中專門刪除了“基于個人同意處理敏感個人信息”作為獲取單獨同意的前提條件。

  此外,也需要重點討論“同意”與“單獨同意”的關(guān)系。如果我們僅認為“單獨同意”是“同意”的子集,那么根據(jù)《個人信息保護法》第13條第2款很容易得出非基于“同意”處理個人信息,就不再需要“同意”了,當(dāng)然也不需要單獨同意。

  但問題在于,“單獨同意”并不單純是“同意”的子集,而是一種更高標(biāo)準(zhǔn)的“同意”。需要在更加立體的視角來觀察:

  當(dāng)《個人信息保護法》因為具備其他合法性基礎(chǔ)而豁免“同意”之時,并不意味著“單獨同意”也被一并豁免掉。也就是說,“單獨同意”的并不能夠因為基于“同意”以外的法律基礎(chǔ)就豁免掉。無論何種個人信息處理的法律基礎(chǔ),“單獨同意”在相關(guān)場景下可能都是必需的。

  另外,在合規(guī)實踐的角度,保守一些給意見總是不會犯錯(雖然可能有礙業(yè)務(wù)的開展)。尤其是在法律條文沒有對豁免“單獨同意”點頭的時候,不宜對法律進行太過寬泛的解釋。

  作為一名數(shù)據(jù)法律業(yè)務(wù)的律師,我當(dāng)然希望機構(gòu)能有更為便捷的合規(guī)路徑,但這樣的捷徑未必能夠達到法律監(jiān)管的要求,更會讓冒險實踐者承擔(dān)更高的風(fēng)險。大量實踐已經(jīng)表明,《個人信息保護法》不是一部可以輕易達到合規(guī)及格線的法律,需要對業(yè)務(wù)進行全面的梳理和反思,甚至需要對業(yè)務(wù)模式進行重大調(diào)整。

  而本文僅是拋磚引玉,以上個人觀點也不一定經(jīng)得起推敲,權(quán)當(dāng)是記錄一些思考。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。