穿透告知同意的迷雾:《个人信息告知同意指南(征求意见稿)》发布

中国个人信息制度主要是以“告知同意”为基础构建,对个人信息的收集、处理均要求个人信息控制者向个人信息主体告知规则并获得同意。但如何告知,如何才算获得了同意却是一个非常棘手的难题。

张新宝教授在《个人信息收集:告知同意原则适用的限制》一文中认为:很多情况下,手机App等互联网应用所谓的“告知”并不是真正的告知,用户的“同意”并非真正的“同意”,并且不乏大量手机App等互联网应用采取隐瞒方式获取用户同意的情形。

中国农历春节前,信安标委就《个人信息告知同意指南(征求意见稿)》开始征求意见。在正式版本生效后,这份文件可能会是与《个人信息安全规范》(GB/T 35273-2017)同等重要甚至是更为重要的一份标准。《个人信息告知同意指南(征求意见稿)》开始征求意见无疑是一个好的开始,有助于收集、处理个人信息的企业穿透迷雾,履行法律义务。

一、告知

在告知同意里,“告知”与“同意”的定义无疑最为重要。所谓告知,是指:“将与个人信息处理活动相关信息提供给个人信息主体,使其了解个人信息处理活动的有关规则。”

对告知同意的内容,我这里不想多谈,参考《个人信息安全规范》中隐私政策的模板或者翻译国外总部提供的隐私政策就能写的八九不离十,有些领域可能需要再加上儿童个人信息保护的规则。但隐私政策只是企业开展个人信息保护的第一步,更重要的是如何将隐私政策呈现到用户面前,并获取用户的同意,告知内容的方式、展示、适当性与告知的内容(隐私政策)的文本同样重要,甚至更为重要。展现形式主要包括:

对于展示的内容(通常是隐私政策),《个人信息告知同意指南(征求意见稿)》建议以个人信息主体视角的用户体验和权益保障。比如,需明确标识或突出显示:涉及个人敏感信息的内容、内容发生重大变化的部分、将对个人信息主体产生重要的或易于引起异议或争端的内容靠前推送,以及针对特殊群体,提供除文本外的图片、语音或视频等对告知内容进行阐述。

二、同意

同意的概念:

《个人信息告知同意指南(征求意见稿)》提了设计同意机制时需注重的关键点,原文摘录如下:

  1. 个人信息控制者应当以个人信息主体能够清楚理解的方式设计同意机制,在同意界面清晰地、明确地向个人信息主体展示如何给予同意,使个人信息主体能够清楚地、无疑问的操作以表达授权同意;
  2. 个人信息控制者在展示告知内容的同一页面征得个人信息主体的同意;(注:若告知内容与征得同意不在同一页面,个人信息主体可能会对同意的内容产生困惑。若无法在同一页面进行告知并征得同意,应当采取进一步措施确保个人信息主体了解其同意的内容。)
  3. 个人信息控制者应当避免选取模棱两可的同意机制,必须确保个人信息主体授权同意的行为可以与其它行为区分开来,使个人信息主体授权同意的意图毋庸置疑(例如,仅继续正常浏览网站不构成个人信息主体明示同意个人信息处理);
  4. 个人信息控制者应当将个人信息处理的同意与其它同意区分开来,更不得将其隐匿在其它事项中并使得个人信息主体接受(例如,个人信息主体接受一般性的服务条款不构成个人信息主体同意个人信息处理);
  5. 个人信息控制者应当使个人信息主体能够就必须收集的个人信息和选择收集的个人信息分别授权同意。

但遗憾的是, 《个人信息告知同意指南(征求意见稿)》似未对用户选择“不同意”的情形下,个人信息控制者该如何处理提供明确指引。期待正式版本的标准能够更加完善。

三、“危险”的例外

在《个人信息告知同意指南(征求意见稿)》中,第六章“免于告知同意的情形”是一个非常“危险”的章节,该章节提出了个人信息控制者收集、使用个人信息的,需以适当方式告知个人信息主体目的,但无需征得个人信息主体的明示同意若干情形,其中包括学术研究、签订或履行协议所必须、新闻报道所必需等情形。在《个人信息安全规范》中也同样有“5.4 征得授权同意的例外”的规定。

这些条款之所以危险,是因为法律并未规定这些情形是法律的例外,作为推荐性标准并没有权限设定法律的例外条件,更无法得到法院的认可。《个人信息安全规范》的主要起草人洪延青博士在另一篇文章里也承认:“单纯依靠国家标准合法性存在欠缺。”因此,需要企业谨慎对待免于告知同意的情形。

四、作为证据的告知同意

“打官司就是打证据”这样的表述早已耳熟能详,因此告知同意如何作为证据保存就显得尤为重要。摘录原文如下:

  1. 个人信息控制者应当留存个人信息主体初次选择同意特定个人信息处理活动以及后续变更或撤回同意的证据;
  2. 告知同意证据内容主要包括:时间,事项,目的等,针对可能产生高风险的个人信息收集行为,还需留存具体的告知同意;
  3. 个人信息控制者可以根据自身情况灵活选择证据留存的方式。例如,在网络环境中,个人信息控制者可以留存当时个人信息主体授权同意的页面、告知同意的工作流程、个人信息主体同意行为的记录(如日志)以及提供给个人信息主体的告知内容;
  4. 只要有关的个人信息处理活动持续存在,个人信息控制者证明告知同意的义务就持续存在;在处理活动结束后,证据留存不应超过履行法律义务、提起或应对诉讼、纠纷的必要限度,例如以诉讼时效为限;
  5. 对于授权同意证据的留存,需避免因证据留存导致产生收集额外个人信息的情形。

当前民事诉讼的时效是三年,这意味着告知同意相关日志的留存需要不少于三年,这大大超出了《网络安全法》中日志留存不少于6个月的要求。除此以外,告知同意也多是以数据电文的形式存在,但又无法达到电子签名的标准,因此举证无论对于个人信息控制者还是用户个人都存在相当的难度。作为网络空间中最常见的法律关系,个人信息控制者或需要引入电子签名机制,对知情同意的内容进行固定,让知情同意成为法庭上可以被认可的电子数据。

除此以外,对告知同意的证据保存,也可以借鉴电子病例的封存机制。在医疗纠纷中,告知同意更加重要。《侵权责任法》第五十五条规定:

医务人员在诊疗活动中应当向患者说明病情和医疗措施。需要实施手术、特殊检查、特殊治疗的,医务人员应当及时向患者说明医疗风险、替代医疗方案等情况,并取得其书面同意;不宜向患者说明的,应当向患者的近亲属说明,并取得其书面同意。
医务人员未尽到前款义务,造成患者损害的,医疗机构应当承担赔偿责任。

在此基础上,法律法规设计了病例的封存机制,可以对应隐私政策作为证据的保存。在《电子病历应用管理规范(试行)》中,要求封存的电子病历复制件应当满足以下技术条件及要求:

  1. 储存于独立可靠的存储介质,并由医患双方或双方代理人共同签封;
  2. 可在原系统内读取,但不可修改;
  3. 操作痕迹、操作时间、操作人员信息可查询、可追溯;
  4. 其他有关法律、法规、规范性文件和省级卫生计生行政部门规定的条件及要求。

在个人信息控制者与用户发生纠纷时,或可参考以上制度设计,对隐私政策的内容与告知同意机制进行封存,以便作为证据使用,而非像现在很多争议一样只是截图或公证。

五、法庭审查下的同意机制

在争议发生时,归根结底是需要司法机构来解决争议,因此法庭如何看待告知同意机制就显得尤为重要。除了通过隐私政策保护个人信息,告知同意被广泛运用于用户协议的同意中,而用户协议通常是与隐私政策并立的法律文件,故具备较强的参考价值。

发表评论

电子邮件地址不会被公开。 必填项已用*标注