.png)
.png)
.png)
.png)
作者:劳嘉馨
上一期我们重点梳理和分析欧盟告知与同意的规定与实践,本期我们将重点梳理和分析中国告知与同意的规定与实践以及中国、欧盟两地区就个人信息处理告知、同意的异同。
中国告知与同意的规定与实践
一、基本规定概述
2023年5月23日,国标《实施指南》发布,其在《个保法》和《信息安全技术 个人信息安全规范》的基础上,提供了向个人告知处理以及取得个人同意的实施方法和步骤。
《实施指南》提出了告知和同意的适用情形、基本原则以及具体场景下的告知和同意方式指引,基本涵盖了常见的个人信息处理情形。 二、具体场景应用 《实施指南》通过附录进一步提供包括APP、智慧生活、个性化推送、云计算服务、互联网金融等不同场景项下的告知与同意方式。由于场景数量较多,我们仅挑选个别场景进行梳理。
1、个性化推送场景下的告知和同意 告知的内容 • 实现个性化推送需处理的个人信息种类、实现个性化推送的简单原理、算法说明; • 个性化推送由第三方提供并由第三方直接处理个人信息的,可向用户告知第三方主体身份; • 用户管理个性化推送功能的方式,包括如何重置、修改、调整个性化推送的标签、参数,如何标注或屏蔽不感兴趣的信息、广告等; • 用户关闭、退出个性化推送模式、页面,或拒绝、撤回个性化推送机制的方法; • 通过用户协议、个人信息保护政策、产品功能说明文案、弹窗界面等灵活方式说明开启或关闭个性化推送可能对用户权益造成的影响。 告知和同意的实施要点 • 以个性化推送为核心业务功能模式的产品或服务(例如资讯浏览、音视频播放、社区论坛等),可在用户首次使用其产品或服务前,通过交互设计(弹窗、文字说明、提示条、提示框、提示音)等方式向用户告知个性化推送的机制和相关内容; • 产品或服务通过部分业务功能、栏目、版块、频道向用户提供个性化推送的,可在用户首次使用相关功能前,通过弹窗、提示条、浮层等显著提示的方式告知; • 程序化广告服务提供商可在专门界面或可访问的文档中以简单通俗的方式描述程序化广告服务的基本原理; • 个人信息处理者在提供个性化推送服务时,可将个性化推送服务与非个性化推送服务进行区分,如在信息流、文章、音视频相关位置进行标识,或者在栏目、版块、频道的页面相关位置标注相关信息系统过个性化推送方式推送。 2、网上购物场景下的告知和同意 告知的内容 • 用户的手机号码及其目的; • 用户与购物平台之间通信内容及其目的; • 用户地址或地理位置信息及其目的; • 购物平台与商家约定的保护用户个人信息的相关守则、安全措施、举报渠道等; • 收集支付账户信息(第三方支付账号、银行卡号等)的目的、必要性、使用范围、安全保障措施和拒绝提供该信息带来的影响等; • 收集用户生物识别信息(如人脸信息)的依据或目的、必要性、使用范围、安全保障措施和拒绝提供该信息带来的影响等。 告知和同意的实施要点 • 固定位置展示个人信息保护政策; • 变更个人信息保护政策时,需确保变更前的上一版本在网站或 App的适当位置可被公开访问; • 用户自行注册账号时,以弹窗等形式向用户展示个人信息保护政策核心内容,同时提供完整的个人信息保护政策全文链接,并通过用户主动勾选或点击的形式取得用户同意; • 在用户访问商家界面、与商家进行沟通时,提示用户注意隐私保护,不要向商家提供网上购物无关的个人信息; • 如果用户选择第三方账号登录,在为用户提供信息发布、下单支付等功能前,要求用户绑定手机号码以满足账号实名制的要求时,并向用户告知相关的依据; • 用户开通支付功能或增加支付方式时,可在网页端或APP界面提示用户了解具体的个人信息处理规则,在取得个人单独同意后才展示个人信息填写栏; • 用户使用售后赔付服务时,如财产、人身损害赔付等,网络购物平台可通过个人信息保护政策用户服务协议、电话或在线客服等方式向用户明确告知索赔过程处理相关个人信息的种类、目的,并取得索赔用户的同意。 3、快递物流场景下的告知与同意 (1) 快递物流寄件场景 告知的内容 用户下单寄件所需的个人信息、收集实名信息的原因、用户提供个人信息不详或错误可能导致的后果、营业场所收寄件视频监控、遵守禁止寄递和限制寄递物品的有关规定、物品保价规则和物品保险服务项目等。 告知和同意的实施要点 • 当寄递用户通过网站、App(含小程序)等进行自主下单或自行到营业场所寄递物品时,对于寄递所需的必要信息,快递服务组织可通过弹窗、页面显著提示等方式向用户告知,并通过用户自主点击及勾选等方式取得用户同意; • 快递服务组织在营业场所安装视频监控,可采用张贴告示等方式向进入场所人员告知; • 寄递用户提供个人信息不详或错误可能导致的后果,禁止寄递和限制寄递物品的有关规定、相关物品保价规则和物品保险服务项目可通过寄递服务协议及快递收派员口头告知; • 寄递用户通过网站、App、小程序等进行下单的,快递服务组织上门收件前,可提前通过短信、消息推送等方式通知用户关于实名信息收集、寄递物品查验的要求。 (2) 快递物流清关场景 告知的内容 出入境快件报关所需的信息。 告知和同意的实施要点 快递物流清关场景处理个人信息时(如因国际或港澳台入境快递的报关需要收集个人信息时),快递服务组织可通过短信、消息推送、弹窗、页面显著提示等方式向用户告知后,通过用户自主上传、填写等方式收集相应个人信息。 (3) 快递物流转运场景 告知的内容 对收件地址位于无法送达的地区需交由其他快递服务组织承运的说明,可具体到服务组织名称。 告知和同意的实施要点 快递物流转运场景下需委托第三方处理个人信息时(如快递服务组织对于偏远地区等无法送达的地区,通过委托第三方开展寄递服务时),可通过个人信息保护政策、寄递服务协议、电话短信、消息推送等方式明确告知寄递用户会委托第三方处理个人信息以实现寄递目的;同时快递服务组织需充分评估第三方保护寄递用户个人信息的能力,与其签订保密协议和数据委托处理协议,约定完成寄递服务后第三方对获取的个人信息采取删除等处理措施。 比较分析 《实施指南》在详述告知和同意的内容后,采用了附表的方式,给出了不同场景下的告知内容和要点。这种做法旨在为数据处理者提供更具体、实际的操作指南,以应对不同场景下的个人信息处理情形,确保数据处理者了解在特定情境下向个人告知处理规则和取得个人同意的关键要素。这种明确的指导有助于数据处理者在实际操作中遵循规定,并更好地保护个人信息的隐私和安全。 相比之下,欧盟将场景融入到法条本身。在《EDPB同意指南》中,欧盟通过法律条文明确规定了同意的要求,包括自愿作出、具体、知情和明确的意思表示等。这些要求适用于各种场景,无论是个性化推送、网上购物还是其他个人数据处理情形。欧盟的做法强调了统一的法律标准,并通过将要求融入法条中,使其适用于各种情境。这种方式为数据处理者提供了一个统一的框架,促使其遵循一致的标准,确保对个人数据的合法处理和保护。 总的来说,中国采用附表方式给出不同场景下的告知内容和要点,使指南更具操作性和针对性。而欧盟将场景融入到法条本身,以统一的法律标准规范个人信息处理行为。这两种方式都有助于确保个人信息的合法处理和保护,但在具体实施上存在一定差异。 通过比较中国和欧盟的规定和实践,我们可以了解到两个地区在个人数据保护方面的异同。这有助于为企业提供更好的指导和支持,使其在个人信息处理中遵守当地的法律法规,并更好地保护数据主体的个人信息。
