數安條例百問37、38、39、40:關于“同意”
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除。
對應條款
第二十一條 處理個人信息應當取得個人同意的,數據處理者應當遵守以下規定:
(一)按照服務類型分別向個人申請處理個人信息的同意,不得使用概括性條款取得同意;
(二)處理個人生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等敏感個人信息應當取得個人單獨同意;
(三)處理不滿十四周歲未成年人的個人信息,應當取得其監護人同意;
(四)不得以改善服務質量、提升用戶體驗、研發新產品等為由,強迫個人同意處理其個人信息;
(五)不得通過誤導、欺詐、脅迫等方式獲得個人的同意;
(六)不得通過捆綁不同類型服務、批量申請同意等方式誘導、強迫個人進行批量個人信息同意;
(七)不得超出個人授權同意的范圍處理個人信息;
(八)不得在個人明確表示不同意后,頻繁征求同意、干擾正常使用服務。
個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,數據處理者應當重新取得個人同意,并同步修改個人信息處理規則。
對個人同意行為有效性存在爭議的,數據處理者負有舉證責任。
解讀
“告知”和“同意”是個人信息保護中最核心的要求,其中尤以“同意”為要。即,除個別例外情況外(如因為司法調查、緊急事態、公共利益等),對個人信息的處理必須征得個人同意。可以說,所有對個人信息處理者所提出的個人信息處理規則,都是從這里出發的,這是邏輯起點。
但什么是“同意”?如何實現“同意”?在實踐中可以有不同甚至迥異的理解。而不同理解帶來的影響也差異極大,有的完全是為了規避法律義務、打“擦邊球”,已經嚴重侵犯了用戶權益。
例如,“一攬子”同意(即不區分具體服務所需收集的個人信息)算不算同意?依靠服務的壟斷地位強迫用戶同意算不算同意?利用晦澀并設置陷阱的語言誘導用戶同意算不算同意?“同意”一次永遠收集怎么辦?這些問題不解決,就相當于起步便錯了,何談后續進一步保護用戶的各類個人信息權。
但遺憾的是,恰恰在“同意”這個問題上,一些企業和機構采取了很多辦法規避法律義務,出現了各種違法違規行為。
2019年11月,國家互聯網信息辦牽頭印發《App違法違規收集使用個人信息行為認定方法》,將以下行為認定為“未經用戶同意收集使用個人信息”:
1.征得用戶同意前就開始收集個人信息或打開可收集個人信息的權限;
2.用戶明確表示不同意后,仍收集個人信息或打開可收集個人信息的權限,或頻繁征求用戶同意、干擾用戶正常使用;
3.實際收集的個人信息或打開的可收集個人信息權限超出用戶授權范圍;
4.以默認選擇同意隱私政策等非明示方式征求用戶同意;
5.未經用戶同意更改其設置的可收集個人信息權限狀態,如App更新時自動將用戶設置的權限恢復到默認狀態;
6.利用用戶個人信息和算法定向推送信息,未提供非定向推送信息的選項;
7.以欺詐、誘騙等不正當方式誤導用戶同意收集個人信息或打開可收集個人信息的權限,如故意欺瞞、掩飾收集使用個人信息的真實目的;
8.未向用戶提供撤回同意收集個人信息的途徑、方式;
9.違反其所聲明的收集使用規則,收集使用個人信息。
就技術原理而言,“同意”實際上是一種“良心活”,因為在實際提供服務或運行App時,企業是否按照同意事項收集使用個人信息,這完全是筆“糊涂賬”,目前的監管還沒有細致到這個程度。但即使這樣,一些企業也想方設法規避“同意”義務,連裝個樣子都不愿意,可見我國個人信息保護水平仍非常低。在很長一段時間內,是否征得個人“同意”仍是矛盾聚焦點,也始終會是監管部門的整治重點。
一個最簡單的例子是,《個人信息保護法》已經實施一個月,如今用戶使用各類App,都會彈出隱私政策,以征得用戶同意,這算是一種進步。但難道用戶同意的就是“隱私政策”嗎?那充其量屬于告知事項,不能認為是應當征得同意的內容。每一個用戶使用同一款App時,需要的服務可能各不一樣,同意意愿也可能因人而異,有多少隱私政策給用戶選擇權了?這一點都做不到,遑論其他?
顯然,這個問題是立法時的重點關注事項。《個人信息保護法》圍繞“同意”設立了三個條款:
第十四條 基于個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自愿、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定。
個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應當重新取得個人同意。
第十五條 基于個人同意處理個人信息的,個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。
個人撤回同意,不影響撤回前基于個人同意已進行的個人信息處理活動的效力。
第十六條 個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務;處理個人信息屬于提供產品或者服務所必需的除外。
但總體而言,以上規定仍顯得有些原則,故《條例》根據近年來的工作實踐,進一步細化了“同意”要求,尤其是針對“打擦邊球”行為,明確規定了禁則。
對應條款
第二十一條 處理個人信息應當取得個人同意的,數據處理者應當遵守以下規定:
(四)不得以改善服務質量、提升用戶體驗、研發新產品等為由,強迫個人同意處理其個人信息;
解讀
從人性角度而言,一個人之所以“同意”,必然是對其有利,法律禁止脅迫同意。但在實踐中,出現了與用戶利益無關,或者說不是直接相關,但企業認為也應當收集個人信息的情況。
如果說,企業收集個人信息用于直接牟利,或者進行商業活動,這容易判斷,但企業提出了五種其不認為有商業目的,且還可能有利于用戶的個人信息收集場景。
一是改善服務質量。如了解用戶餐飲習慣,以實現對菜系、口味的精準推送。
二是提升用戶體驗。如為了減少用戶登錄過程的繁瑣程序,強制收集、保存用戶的賬號、口令信息。
三是研發新產品。如收集用戶銀行賬號信息,針對用戶個人資金狀況推出新的金融服務。
四是維護網絡安全。如收集用戶終端被病毒感染情況,以便進行網絡安全態勢感知分析。
五是風控或反詐。如收集用戶輸入身份證數字的間隔時間,以判斷是否為本人操作(本人操作一般不會在輸入數字時有遲疑,抄他人身份證數字則一般速度較慢)。
經認真研究,《條例》認可了最后兩種場景,因為這出于網絡安全或公共安全原因。但沒有認可前三種場景,故規定,不得以改善服務質量、提升用戶體驗、研發新產品等為由,強迫個人同意處理其個人信息。這個問題的焦點在于如何理解“有利”。不能企業單方面認為對用戶有利就是有利,不能認為以后有利就是現在有利,如果用戶以后不用你了呢?況且,你為什么要替用戶做主和操心呢?
需要指出,《條例》并不是反對改善服務質量、提升用戶體驗、研發新產品的客觀需求,也不禁止以改善服務質量、提升用戶體驗、研發新產品等為由收集個人信息。但是,不能在以上三種場景中“強迫”收集個人信息。換言之,不能僅以以上三種目的為由收集個人信息。
對應條款
第二十一條 處理個人信息應當取得個人同意的,數據處理者應當遵守以下規定:
(八)不得在個人明確表示不同意后,頻繁征求同意、干擾正常使用服務。
解讀
每個人都經歷過這樣的場景:在App征得同意的環節,如果拒絕同意,則App退出服務。如果用戶一定想使用其服務,最終不得不點擊“同意”。
這成了“強迫”同意的最典型形式。
但有時候,如果用戶不提供信息,確實服務無法完成,如位置信息對于網約車服務而言便不可或缺,用戶不同意只能停止提供服務。
如何既支持合法合理訴求又能禁止強迫同意行為呢?《個人信息保護法》第十六條規定,個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務;處理個人信息屬于提供產品或者服務所必需的除外。
這一表述十分精煉、準確。但其采用的是倒裝描述,需要仔細品讀才可完整理解。為此,《條例》在第十九條將其分拆為兩項要求:處理的個人信息是提供服務所必需的,或者是履行法律、行政法規規定的義務所必需的;不得因個人拒絕提供服務必需的個人信息以外的信息,拒絕提供服務或者干擾個人正常使用服務。
通俗一點說,用戶在申請服務時,如果擬收集的信息是完成服務所必需的,那么如果用戶不愿意提供,則服務只能退出;但如果擬收集的信息不是完成服務所必需的,用戶如果愿意提供則提供,但如果不愿意提供,用戶申請的服務不能退出,并且不得降低服務質量。特別是最后一點,有時候企業雖然沒有退出服務,但是故意給用戶制造差的體驗,例如插播長時間廣告等,這也是違規的。
應該說,以上要求已經圓滿解決了通過退出來強制要求用戶提供個人信息的問題。但在實踐中,又出現了新問題:用戶不同意提供超范圍的個人信息時,服務倒是沒退出,但僅僅過了兩分鐘,App又彈出窗口、再次征求用戶對超范圍個人信息進行同意。此后每兩分鐘彈一次,用戶不勝其煩,甚至無法正常使用服務,事實上是向用戶發起了一種“拒絕服務攻擊”。但企業可以主張,其并沒有違反《個人信息保護法》的規定。
為此,《條例》不得不提出,禁止在個人明確表示不同意后,頻繁征求同意、干擾正常使用服務。這個“頻繁”是多長時間呢?在實際監管中,一般掌握在24小時。即,24小時最多問一次。
常常有人疑問,為什么關于個人信息保護的法律法規和標準規范越來越細,這會不會對企業帶來過于沉重的負擔?從以上例子可以看到,“上有政策、下有對策”的情況目前太普遍。至少在當前形勢下,我們還沒有走出個人信息保護的蠻荒時代,不得不努力實現法律法規的細粒度規定。
在個人信息保護領域,這種監管和規避監管的角力是長期性的。對企業而言,在逐利之外,可能還要更多的考慮社會責任。
對應條款
第二十一條 處理個人信息應當取得個人同意的,數據處理者應當遵守以下規定:
……
對個人同意行為有效性存在爭議的,數據處理者負有舉證責任。
解讀
《條例》首次提出了個人同意行為的有效性問題,這是一個重大制度,可能會對行業產生很大的影響。
如前所述,很長一段時間以來,監管部門把個人信息保護工作的注意力都放在了隱私政策和用戶“同意”之上,這也是形勢所迫,畢竟第一步還沒有做好,去規范第二步、第三步沒有意義。
但這里面有一個巨大的漏洞,而且這個漏洞在全世界都是存在的。即,企業完全按照法律法規要求征得用戶“同意”后,是否需要留下“同意”的證據呢?答案是一定的,不然前面不是白干了嗎?對“同意”提出那么多法律規定還有什么意義呢?如果沒有這個證據,企業就完全可以在事后任性了,反正查無實證,用戶自己也一般不會去記錄。
就算是用戶自己記錄了,也還有個有效性問題。一旦發生糾紛,什么才是法律承認的呈堂證供?國外一些大企業在法律尚缺乏規定的情況下,主動設置了存儲用戶“同意”日志的功能。這值得贊賞,但企業自己單方面留存的所謂證據能夠被法庭認可嗎?這又是另外一回事了。
為此,《條例》規定,對個人同意行為有效性存在爭議的,數據處理者負有舉證責任。這是一種原則性規定,隱含了對企業的存證要求。但一定是“存證”,而不是企業自己說了算。
這將孕育一個新的產業方向。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問27、28、29、30:關于“一般要求”中的幾個特定考慮
數安條例百問46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問55、56、57、58、59:關于年度評估與對外提供數據的風險評估
