.png)
.png)
.png)
.png)
作者:劳嘉馨
2023年5月23日,国家市场监督管理总局、国家标准化管理委员会发布了GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》(以下简称“《实施指南》”)。《实施指南》在《个人信息保护法》(以下简称“《个保法》”)和GB/T 35273《信息安全技术 个人信息安全规范》的基础上,提出了处理个人信息时,向个人告知的处理规则以及取得个人同意的实施方法和步骤。
值得注意的是,早在2020年欧盟已经对类似内容进行了规定。欧洲数据保护委员会(以下简称“EDPB”)于2020年5月4日通过了《对第2016/679号条例(GDPR)下同意的解释指南(2020年5月版)》(以下简称“《EDPB同意指南》”)。《EDPB同意指南》涵盖了个人数据处理中告知和同意的要求,强调了透明度、明示告知和明确同意的重要性。
基于此,我们将分两期梳理《EDPB同意指南》和《实施指南》的规定和场景,揭示欧盟与中国对于“个人信息处理中告知和同意”的异同,本期我们将重点梳理和分析欧盟告知与同意的规定与实践。
欧盟告知与同意的规定与实践
一、基本规定概述
2020年5月4日EDPB通过了《EDPB同意指南》,该指南是对第29条工作组于2018年4月通过的对GDPR的同意指南(以下简称“《WP29同意指南》”)的更新版本。
《EDPB同意指南》共有八章,从“GDPR第4条第(11)款中的同意”、“有效的同意要素”、“获得明确同意”、“获得有效同意的其他条件”等方面,解释了GDPR项下“同意”的概念以及何为有效的同意。
EDPB的此次更新是在《WP29同意指南》的基础上进行的。相较于《WP29同意指南》,《EDPB同意指南》主要针对数据主体在与所谓的“Cookie墙”进行交互时所提供的同意的有效性以及数据主体滚动页面操作是否为有效的同意进行进一步说明。
二、具体场景应用
《EDPB同意指南》明确GDPR项下的同意应当包括:(1)自愿作出;(2)具体;(3)知情;(4)明确的意思表示;(5)其他条件。接下来,我们将通过具体场景的说明来进一步阐述这些要求,以便更好地理解它们在实践中的应用。
1、自愿作出
“自由”这一要素意味着给予数据主体真正的选择和控制。作为一项通用规则,GDPR规定,如果数据主体没有真正的选择、感到被迫去同意或者不同意将承担负面后果,那么该种同意将无效。如果一项同意是被捆绑作为条款和条件的一个不可协商的部分,则推定该同意不是自愿作出的。因此,如果数据主体无法在不受损害的情况下拒绝或撤回其同意,则该同意将不被视为是自由作出的,同时还考虑了控制者和数据主体之间不平等的情形。
(1) 一款用于照片编辑的手机应用要求用户激活其GPS定位功能,以便使用其服务。该应用还告诉用户,它将把收集到的数据用于投放广告目的。无论是地理定位还是在线投放广告都不是提供照片编辑服务所必需的,并且超出了其所提供的核心服务。如果用户不同意这些目的就无法使用该应用,因此该种同意就不能被视为自由作出的。
(2) 银行请求客户同意允许第三方将其付款信息用于直接营销目的。这种处理活动对于履行与客户的合同和提供普通银行账户服务来说就是不必需的。如果客户拒绝同意此处理目的将导致被拒绝提供银行服务、其银行账户被关闭,或是在某些情形下增加费用,则该同意即不是自由作出的。
2、 具体
数据主体的同意必须与“一个或多个特定”目的相关,并且数据主体可以就每一个目的进行选择。同意必须“具体”这一要求旨在确保数据主体在一定程度上的用户控制度和透明度。要符合“具体的”这一要求,控制者必须:
• 将使用目的具体化,以防止功能擅改;
• 细化请求同意的颗粒度;
• 明确将与获得数据处理活动同意相关的信息与其他事项的信息分开。
(1) 有线电视网络基于用户的同意收集用户的个人数据,根据他们的观看习惯向他们推荐其可能感兴趣的新电影。如该电视网络希望第三方能够根据用户的观看习惯为用户发送(或显示)有针对性的广告,就该种新目的,应当重新获得用户的同意。
3、 知情
对于应当“知情”的同意,必须告知数据主体某些对做出选择至关重要的要素。因此,EDPB认为,获得有效同意至少包括以下信息:
• 控制者的身份;
• 需寻求同意的每个处理操作的目的;
• 将收集和使用什么(类型的)数据;
• 保障用户撤回同意的权利;
• 使用数据进行自动决策的相关信息;
• 可能存在的数据转移风险。
(1) X公司是一个数据控制者,其曾接到投诉,称数据主体不清楚他们被要求同意的数据使用目的。该公司认为有必要验证其同意请求中的信息对于数据主体来说是否易于理解、X公司组织了特定类别客户的自愿测试小组,并在向外部发布前向这些测试受众展示了其更新后的同意信息,该测试小组的选择尊重独立原则,并是在确保其具有代表性、无偏见结果的基础上作出。该小组将会收到调查问卷,并需要说明他们能够理解信息中的哪些内容,他们如何针对条款中信息的相关性和可理解性对其进行评分。该测试持续进行,直到测试小组认为该信息是可理解的。X公司随即起草了测试报告,并将其保存以备将来参考。前述内容足以证明数据主体在同意X公司处理其个人数据时已经收到了清晰的信息。
4、明确的意思表示
GDPR明确规定了同意需要数据主体作出声明或明确肯定的行为,也即必须通过主动的动作或声明来实现。
(1) 安装软件时,应用程序要求数据主体同意使用非匿名崩溃报告来改进软件。提供必要信息的分层隐私声明的同时还伴随着同意请求。通过主动勾选“我同意”的可选框,方能证明用户能够有效地实施“明确肯定的行为”以同意处理。
(2) 一家整容手术诊所想要寻求病人明确的同意以将其医疗记录披露给一位专家,该专家将根据病人的情况给出其意见。该医疗记录属于数据档案。鉴于该信息的特定性质,诊所需要请求数据主体的电子签名以获得其明确同意,这种方式可以证明其获得了明确的同意。
5、获得有效同意的其他条件
GDPR第7条规定了有效同意的其他条件,具体包括:(1)保留同意记录;(2)确保数据主体能容易地撤回同意的权利。
(1) 一家医院设立了一个名为“X计划”的科研项目,该项目需要真实病人的牙科记录。该项目的参与者是通过向一些病人打电话招募而来的,这些病人之前已经自愿同意成为可能因此目的而被联系的候选人。控制者向数据主体寻求明确的同意,以使用他们的牙科记录。控制者在电话中取得同意的方法是,记录数据主体的口头声明,该口头声明中就包含了数据主体确认同意将其资料用于X计划。
(2) 某场音乐节通过在线票务代理销售门票。每次在线售票时,都会请求顾客同意将其联系方式用于营销目的。为表明为此目的的同意,顾客可以选择否或者是。控制者告知客户他们可以撤回同意,若要撤回,可以在工作日的上午8点至下午5点免费联系服务中心。前述控制者的行为就不符合规定,因此撤回同意比作出同意要更麻烦。
下一期我们将就中国告知与同意的规定与实践进行梳理分析,并比较中国与欧盟在个人信息处理中告知与同意的异同。
瀛泰专注于各国法律的更新与变化,始终为客户提供最新的法律建议。我们结合客户在数据合规领域的需求,持续关注政策、法律和监管动态,以确保我们的服务与时俱进。我们致力于与企业并肩,支持其长期健康发展,并为客户提供全面的解决方案。
