更深入的数据合规与保护要求—中国数据合规法律规范综述（三）

更深入的数据合规与保护要求—中国数据合规法律规范综述（三）

耀时跨境数据合规研究院(IXCDC)

知情同意规则

一、告知同意规则的一般要求

01

告知同意规则的法律依据

告知同意规则贯穿于整个数据合规体系的各法律阶层之中，成为了企业收集个人信息的合法性来源，也成为了个人信息收集行为的首要合规要求。告知同意规则包括告知与同意两个部分，其中告知是企业的义务，同意是个人的权利。

告知同意规则最初的基础法律依据是《网络安全法》第41条规定的公开收集原则，其要求收集个人信息需要公开收集、使用规则，明示收集、使用目的、方式和范围，并经被收集者同意。随后《个人信息保护法（草案）》第7条也对公开收集原则进行了总则性规定，第18条对告知规则做了具体的规定。具体来说，告知行为应当以书面方式，显著形式进行告知，告知内容包括：（1）个人信息处理者的身份和联系方式;(2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(3)个人行使本法规定权利的方式和程序;(4)法律、行政法规规定应当告知的其他事项。《个人信息保护法（草案）》第13条第一款则对同意规则进行了一般的总则性规定，第14、15、16、17条则对同意规则进行了具体规定，要求同意应以自愿、明确的方式作出意思表示，一般以主动积极地书面动作形式表示同意，个人对同意享有撤销权。另外，向不满14周岁未成年人收集个人信息的应征得其监护人同意。

除了法律法规外，我国还采取了制定国标的方式来规范个人信息的收集行为。具体可参考执行的国标有《个人信息安全规范》、《个人信息告知同意指南（征求意见稿）》等，其中《个人信息告知同意指南（征求意见稿）》对告知同意规则做出了详实、富有可操作性的规定。这里我们将结合该规定对告知同意的一般规则进行解读。

02

一般告知同意规则详解

（1）告知

a.告知的一般原则

一是公开透明原则，要求公布收集、使用个人信息的范围、目的，不隐瞒产品或服务所收集的个人信息及其使用目的，不采取故意遮挡、隐藏等方式诱导个人信息主体略过告知内容；

二是逐一传达原则，要求向个人信息主体逐一告知相关内容，有显著困难时也可采取公告方式；

三是同步实时原则，要求当涉及具体业务功能收集、使用等个人信息处理场景时，或触发个人信息收集行为时，对个人信息主体进行即时告知；

四是真实准确原则，要求反映产品或服务真实、准确的个人信息收集使用范围、目的；

五是具体明确原则，要求告知个人信息的类型、目的等内容需结合实际业务场景，不使用格式化条款；

六是清晰易懂原则，要求告知文本符合个人信息主体的语言习惯（如简体中文），使用标准化语言、数字、图示等，避免使用有歧义的语言。

b.告知适用的4种情形

《个人信息告知同意指南（征求意见稿）》第5条详细罗列了需要告知的4种情形。第一种情形为收集使用个人信息时（第5.1条），在此种情形下必须向个人信息主体告知收集、使用个人信息的类型、目的、方式和范围。

第二种情形为使用目的变更时（第5.2条），此种情形下需向个人信息主体告知涉及的个人信息类型、变更原因、变更后的处理目的。

第三种情形为对外提供个人信息时（第5.3条），此种情形下需向个人信息主体告知个人信息类型、目的、接收方等。

第四种情形为其他需要告知的情形（第5.4条），在该条规定的情形中需要向个人信息主体告知行为原因、目的、处理方式及可能产生的影响等。

c.免于告知的3类情形

《个人信息告知同意指南（征求意见稿）》第6条规定了三类免于告知的情形，其与第5条前三款正好是一一对应关系，具体包括收集使用个人信息时免于告知同意的情形（第6.1条）；使用目的变更时免于告知同意的情形（第6.2条）；对外提供个人信息时免于告知同意的情形（第6.3条）。

（2）同意

a.同意的一般原则

一是告知一致原则，要求征得同意的授权范围与所告知内容相一致；

二是自主选择原则，要求主动向个人信息主体展示征得同意的选项，支持其自行做出选择，不给出同意时，仅影响当前服务类型的正常使用；

三是时机恰当原则，要求在个人信息收集行为发生前，且同步传达告知内容时，征得个人信息主体同意，以增进个人信息主体对业务功能与所收集的个人信息之间关联性的理解；

四是分类独立原则，要求区分产品或服务的服务类型后，分别征得个人信息主体同意，不采用捆绑方式强迫个人信息主体一次性接受或拒绝所有可能收集的个人信息。

b.同意的两种模式

《个人信息告知同意指南（征求意见稿）》分别规定了两种同意模式，即授权同意与明示同意。其中授权同意是指个人信息主体对其个人信息进行特定处理作出明确授权的行为，包括通过积极的行为作出授权（即明示同意），或者通过消极的不作为而作出授权。明示同意是指个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。其中肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。

c.同意的机制要求

第一，同意机制设计应当确保个人信息主体能够清楚地、不产生歧义地理解同意的内容与机制设计，确保用户可以在操作界面清楚明了地作出同意表示。

第二，授权同意的操作界面应尽量确保与告知的展示页出于同一界面，对于无法设置于同一界面的，应以保障个人信息主体知悉告知内容为限。

第三，同意机制设计应当使得个人信息主体的同意操作是没有争议的。具有争议的同意授权设计通常出现在不作为的授权中，例如，仅将用户继续浏览网站或APP的行为视为默示授权。在实务中，应当避免此类模棱两可的机制设计和同意规则。

第四，同意的机制设计应当是独立的，对于收集个人信息的授权同意选项不能连带或隐藏与其他同意操作之下。

第五，必须收集的个人信息和扩展收集的个人信息应当分别获得授权。

d.同意的变更与撤回

同意的变更规则要求个人信息控制者应当设立便捷的机制使个人信息主体能够变更其授权同意。如果个人信息主体无法变更同意，个人信息控制者需向个人信息主体解释造成这种情况的原因。

同意的撤回规则要求个人信息控制者应当设立便捷机制使个人信息主体能够随时撤回其授权同意，并注意以下几点：

a)    授权同意的撤回不应影响在撤回前基于授权同意作出的数据处理；

b)    个人信息主体在作出授权同意之前，个人信息控制者应告知其拥有授权同意撤回的权利，且撤回同意的操作容易程度应当授予同意等同；

c)    如果个人信息主体无法撤回同意，个人信息控制者应当向个人信息主体解释造成该情况的原因；

d)    个人信息控制者在实施同意撤回动作之前，应确认请求提出者为个人信息主体本人或有权处理者。

e.证据留存

第一，个人信息的控制者负有留存个人信息主体同意授权、变更与撤销同意的操作证据。

第二，留存的证据同意内容可以包括授权同意页面、工作流程与操作日志等内容。

第三，留存的时间可以以可能产生的纠纷时间的必要限度为限，例如可以以诉讼时效为限。

从上图可以看出，我国在网络、数据和个人信息保护方面的立法尚不完备，现行有效的法律仅有《国家安全法》与《网络安全法》，但大安全观下的总体立法路径已经十分明晰。目前，由于《个人信息保护法》与《数据安全法》尚处于征求意见阶段，其具体实施的行政法规、规章、地方性法规等下位法均未发布，并且可以预见的是，在《个人信息保护法》和《数据安全法》正式发布前，并对现行《网络安全法》作出调整前，先关下位法均难以成文，成体系。

从现行《网络安全法》、《个人信息保护法》（征求意见稿）、《数据安全法》（征求意见稿）的内容来看，待《个人信息保护法》和《数据安全法》正式发布后，《网络安全法》中关于个人信息保护和数据安全的规定将按照“特别法优先于一般法”的原则被《个人信息保护法》与《数据安全法》所取代，形成“总体国家安全观”下的网络安全、数据安全、个人信息安全三条主线，三个体系，三个互联兼容系统。上图仅为了直观展现我国数据合规立法的三条路径，以分管领域不同而坐的学理划分，并不意味着各条块之间的法律规范互不兼容，实际上各条块间的法律规范是大量借鉴、相互联系、相互兼容的，因此实践中任一条块的法律规范适用也不仅仅具有于其条块之中，例如上图分类在个人信息领域的《个人信息安全规范》这一国家标准也适用于数据安全领域。

二、通过APP直接收集个人信息的告知与同意

《网络安全法》第41条、《消费者权益保护法》第29条均要求运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依法、依规、依约处理其保存的个人信息，确保信息安全。在实践中，企业该如何操作自查自纠可以从以下几个方面具体来看。

01

构建完善的隐私政策

企业在收集个人信息时必须向消费者公开收集使用规则，具体来说，就是隐私政策。依据《网络安全标准实践指南——移动互联网应用程序（APP）收集使用个人信息自评估指南》（TC260-PG-20202A）的规定，隐私政策可以通过弹窗、文本链接、附件、FAQs等方式在APP主界面展示给消费者。需要注意的是，隐私政策必须单独成文，不能作为用户协议的一部分而存在，并且要完整、易于阅读、易于访问。在APP 首次运行或用户注册时，必须主动提示用户阅读隐私政策；在用户进入主功能界面后，通过 4 次（含）以内的点击等操作即能够访问到隐私政策。

如存在涉及收集使用儿童个人信息相关业务功能的，需参照 2019 年国家互联网信息办公室令（第4号）《儿童个人信息网络保护规定》专门制定针对儿童的个人信息保护规则。

02

在隐私政策中明确告知收集的目的、方式和范围

企业在APP隐私政策中所述内容应与APP实际业务相符，并应逐项说明各业务功能收集个人信息的目的、方式和范围，不应使用“等”、“例如”等方式不完整列举。在申请打开可收集个人信息权限即要求用户提供个人敏感信息（该定义见GB/T 35273《个人信息安全规范》3.2节）时，应同步告知用户其目的、对目的的描述应明确、易懂。当企业的实际业务范围发生变化而导致收集个人信息的目的、方式和范围也发生变化时，企业应当将新的隐私政策再次向用户告知，并获得用户的再次授权。

03

取得用户同意

APP在收集个人信息或打开可收集个人信息的权限前应征得用户同意。此处“征得同意”指个人信息主体通过书面声明或主动做出肯定性动作，对其个人信息进行特定处理做出明确授权的行为。不得以默认选择同意隐私政策等非明示方式征得用户同意，以故意欺瞒、掩饰收集使用个人信息的真实目的，诱骗用户同意收集个人信息或打开可收集个人信息权限。

a.不得以骚扰方式获取同意

APP在未获得用户授权前不应提前收集用户个人信息，也不得使用Cookie等技术收集个人信息。用户明确拒绝的，不得在48小时内反复弹窗要求用户同意收集。但用户需要使用APP某一具体功能而触发弹窗的除外。以微信为例，用户明确拒绝微信访问相机权限后，又因购物需要，需要使用“扫一扫”功能时，微信可以再次征求同意。但是用户只想使用无“扫一扫”和“拍照”功能的微信时，微信不能在48小时之内反复向用户征求使用相机权限。

b.不得利用更新擅自更改同意权限

未经用户同意，企业不得私自更改用户设置的可收集个人信息权限和收集使用个人信息相关功能的状态，例如在APP更新升级后，不得将用户设置的可收集个人信息权限恢复到默认状态，或将用户已关闭的使用通讯录匹配好友等功能重新打开。

c.需提供拒绝接收定性推送的权限

当APP提供利用个人信息和个性化推荐算法等推送新闻和信息、展示商品、推送广告等服务时，需为用户提供拒绝接收定向推送信息，或停止、退出、关闭相应功能的机制，或不基于个人信息和个性化推荐算法等推送的模式、选项。

d.向第三方传输须征得同意

如存在从客户端直接向第三方发送个人信息的情形，包括通过客户端嵌入第三方代码、插件（如SDK）等方式向第三方发送个人信息的情形，或App接入第三方应用，当用户使用第三方应用时，均需事先征得用户同意。

此外，企业应向用户提供撤回同意收集个人信息的途径、方式，并在隐私政策等收集使用规则中予以明确。对于征得用户同意的例外情形，《个人信息安全规范》和《信息安全技术 个人信息告知同意指南（征求意见稿）》（2020年1月12日版）均进行了规定，企业可以进行参考。

4.收集范围不应超过必要限度

所谓必要限度是指企业使用APP收集时不应收集与业务功能无关的个人信息，APP不应向用户申请授权打开与业务功能无关其他系统权限。例如网约车最小必要信息可以包括用户的身份认证信息、电话号码、定位信息等个人信息，但不应包括用户的手机通讯录等个人信息。2020年1月15日版《信息安全技术 移动互联网应用程序（App）收集个人信息基本规范（征求意见稿）》中，对例如地图导航、网络约车、即时通讯、网络社区、网络支付、新闻资讯、网上购物等30种常用服务类型可收集的最小必要信息做了详细说明。

同时应注意，当用户拒绝收集非必要信息或打开非必要权限时，APP不得拒绝提供相应业务功能，亦不应将同意收集其他业务所需信息/打开其他业务所需权限作为业务功能打开的前提条件。如APP提供无需注册即可使用的业务模式，当用户拒绝支撑游览、游客等模式以外的个人信息收集行为，APP不应拒绝提供服务。

三、通过爬虫技术间接收集个人信息

《网络安全法》第27条明确禁止提供窃取网络数据的程序、工具等，明确禁止从事窃取网络数据的相关活动。本条法律看似从法律层面禁止了爬虫技术的适用余地。2019年以来的“净网”专项行动及个别地区的摸排整改行动更是取缔了一批大数据公司并关停了其爬虫技术服务，这似乎从实际角度也说明了爬虫技术在我国是不被允许的。

实际上，爬虫技术作为一项技术而言本身是中性的，爬虫技术在我国受到强监管的原因是因为这项技术极易被用于危害网络安全和侵害个人财产安全的不法用途，并非是我国对这项技术采取抵制与限制的态度。但是，需要注意的是，由于这项技术的恶意使用倾向是如此明显，危害后果是如此之大，因此我国对其违法使用的法罚后果也颇为严重，具体而言，包括行政处罚、反不正当竞争处罚及刑事责任等。因此，在使用爬虫技术时要重视技术的合规性问题，特别是要注意爬虫行为的权利来源合法性问题，即告知同意问题。

01

遵守robots协议

robots协议是一种编码文件，其作用在于明确限定网站的哪些内容可以被网络蜘蛛获取，哪些内容不可以被网络蜘蛛获取。robots协议实际上可以看做是一个网站对其他潜在爬虫的信息爬取范围公告，是网站所有者对爬虫们的告知行为。虽然robots协议不能等同于法律意义上的协议或者合同，没有法律约束力，但是从（2014）一中民（知）终字第08599号案（百度诉360）的裁判文书与裁判结果来看，当前我国司法实务届普遍认为robots协议是一中商业惯例，是应被遵守的商业规则。

因此，在使用爬虫技术爬取其他网站数据前应查明该网站是否拥有robots协议，是否容许他人爬取其网站数据，并审查清楚其具体愿意共享检索的内容。在使用爬虫时，应当严格按照robots协议载明的内容进行爬取，而不应超过这一限定范围，或尝试突破网站限定与防护措施爬取。

02

取得用户与经营者双重同意

在不违反robots协议爬取网站数据的情况下，爬取行为还应获得网站和用户个人的双重授权，即履行《个人信息保护法（草案）》告知同意规则的要求。

技术使用者通过爬虫技术爬取数据首先应当获取网站运营者的同意。网站运营者的同意权并非来源于任何一部法律的具体规定，而是来源于判例。在（2016）京73民终588号案（新浪微博诉脉脉）裁判文书中，终审法院法官认为网页运营方通过劳动投入而获取整理的数据在一定程度上享有竞争法层面的财产权利。这一判例实际上在司法层面认可了运营者对其收集整理的数据成果的财产性权利，因此，爬取者想要获取并利用该数据成果自然需要取得财产权利所有者的认可。

技术使用者通过爬虫技术爬取个人数据还需要取得用户个人的同意。尽管国标《信息安全技术 个人信息安全规范》第5.4条对收集个人信息需要征得同意做出了例外规定，认为如果被收集的信息是信息主体自信向社会公开的，则收集者无须再征得其同意。但是鉴于目前理论与事务届对爬取个人数据是否可以纳入本条射程有争论，且国标的法律位阶过低的双重因素考虑，最好还是按照普通收集程序履行告知同意规则为宜。