活动邀请了中国社会科学院大学互联网法治研究中心执行主任刘晓春，北京外国语大学法学院副教授万方，北京互联网法院综合审判三庭庭长孙铭溪，杭州互联网法院互联网审判二庭副庭长叶胜男，单位会员完美世界控股集团数据合规与知识产权总监薛颖，单位会员阿里巴巴本地生活法律政策研究中心高级研究员、华东政法大学数据法学博士邬杨等学界、司法界、实务界从事个人信息研究和一线工作的各位嘉宾共同开展跨界交流。

薛  颖  完美世界控股集团数据合规与知识产权总监  

 

薛颖老师以“‘单独同意’——《个人信息保护法》之明星条款”为主题，从“同意”的通用要件，“单独同意”的增强要件，“单独同意”的适用情形三个方面展开分享，并详细介绍了“告知同意”原则的“法典化”历程，“同意”的通用要件如原则性要求、变更同意场景、撤回与拒绝、儿童主体等方面，“单独同意”的适用法定情形以及自选情形，以及“单独同意”规则的落地要点。

一、“同意”的通用要件

（一）“告知同意”原则的“法典化”历程

 2012年《全国人大常委会关于加强网络信息保护的决定》，第一次在法律层面明确提到告知同意的原则，构建了告知同意规范体系的起点；其次，2017年出台的《网络安全法》是明确告知同意基本内容的里程碑法律。2020年《民法典》颁布，“告知同意”进入民事基本法。2021年《个人信息保护法》出台，“单独同意”首次入法--完善“告知同意” 规范体系，打破一揽子同意。

从2012年一直到2021年8月20日之前，我们的法律在规范性文件当中都是没有“单独同意”的，只在《个人信息保护法》生效之后，才在真正有效的规范性文件当中见到“单独同意”这个特殊的术语和个人信息处理的规则，“单独同意”极大地完善了告知同意原则，使得《个人信息保法》变得更加丰满，也更具有场景化、更接地气。可见，“单独同意”法典化过程就是“告知同意”规则从不断重复原则性规定到原则细化、场景落地的过程。

（二）“同意”的通用要件

作为告知同意的上位概念“同意”，其价值在《个人信息保护法》体系当中是个人信息处理最为核心的合法性基础。如果逐一比对《网安法》、《民法典》和《个人信息保护法》中规定的处理个人信息的合法性基础，可以看到，只有《个人信息保护法》才对“同意”之外的合法性基础做了全面扩充。与此同时，《个人信息保护法》最大的亮点之一是在基本法律层面首次对“同意”规则本身做了极大的丰富和完善。

《个人信息保护法》下对于“同意”规则作出的完善主要体现四点，这些要求也是适用“单独同意”时需要遵守的基础通用条件：

（1）原则性要求：“同意”必须是个人在“充分知情”的前提下，“自愿”、“明确”地作出。

（2）在变更场景下的要求：处理目的、方式和个人信息种类发生变更/接收方变更原先的处理目的、方式。因此，如果在原来的处理活动是基于“单独同意”，后来发生了变更的话，也应当再次获得“单独同意”。

（3）关于撤回与拒绝的要求：便捷的撤回同意方式，撤回不溯及既往、删除个人信息；不以不同意或撤回同意拒绝提供产品或服务，但提供产品或者服务所必需的除外。虽然针对某一具体功能（足以构成一个相对独立的服务合同关系）而收集必要信息的时候，可以选择“同意”或者选择“履约之必要”作为合法性基础，但这两种选择的背后是有实质性差异的。撤回同意的法定权利实质上会赋予用户单方随时终止服务关系的效果。在单独同意的场景下会体现得更为明显。

（4）儿童信息：处理不满14周岁未成年人个人信息的，应当取得其监护人同意。这一要求对齐《未成年人保护法》，在基本法律层面将儿童个人信息作为特殊类型个人信息予以增强保护。

二、“单独同意”的增强要件

个人信息保护的法律中创设出“单独同意”规则，其背景很大程度是基于大量实际业务场景中处理者通过“隐私政策”、启动即申请所有权限等方式要求用户给出一揽子同意。而“单独同意”系个人针对其个人信息进行特定处理活动作出具体、明确授权的行为，能够有力破解“一揽子授权”的困境。

要构成有效的“单独同意”，至少应具备如下增强要求（在符合“同意”之通用要件的基础上）：

（1）即时增强告知：通过增强式告知或即时提示的方式；针对需要单独同意的事项专门、充分告知。

（2）同意事项独立：针对具体且独立的目的或业务功能；不与其他事项捆绑。

 

（3）同意动作明示：以明示方式作出同意；不得默认同意、确保毫无歧义。

三、“单独同意”的适用情形

 1.“单独同意”在实践当中五种法定情形：

（1）处理敏感个人信息；（2）向其他个人信息处理者提供；（3）向境外提供个人信息；（4）将公共场所收集的个人图像/身份特征信息用于非公共安全之目的；（5）公开个人信息。

其中前两种情形是企业最常用到的情形。例如企业运营中经常涉及处理用户或员工的金融账户、身份证号码等信息，通常都会构成处理敏感个人信息：《个人信息保护法》对于敏感个人信息的认定比较宽泛，也比较符合大众的认知，是指“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息”。当然，具体如何判断一旦泄露或非法使用后可能对个人权益造成的影响，也需要放在具体的场景当中来认定所涉及的信息是否构成敏感个人信息以及是否需要单独同意。

另外，向其他个人信息处理者提供，比较常见是第三方以自己的名义作为处理者，比如在APP当中都是以自己的身份向用户露出终端，其他的个人信息处理者不像是一般后台SDK让用户感知不到，这一类接口能够让用户感知到其他的处理者是谁他也知道规则，这是目前实践当中最常见的。

需要说明的是，以上五种情形下会触发需要获得单独同意之义务的，前提仍然应该是该种个人信息处理活动的合法性基础是“同意”，即只有基于“同意”处理个人信息的情况下才会需要适用“同意”的通用要件和“单独同意”的增强要件，除非法律另有规定。

2.自选情形

可能对个人权益带来较大影响的处理活动也可以采用“单独同意”方式获得合法性基础。比如有移动互联网应用或智能终端产品以“个人信息保护”为吸引用户卖点或强化用户的隐私安全感，会主动在个人信息保护方面采用高基准、强保护，在法定情形之外也会自选一些场景要求用户给出“单独同意”，比如申请用户逐一、单独给出一些系统权限（虽然通过该等权限获取的信息不一定是法律上的“敏感个人信息”）。

具体到“单独同意”的实际落地场景适用而言，产品端的形式其实是多种多样的。例如，可能是一个单独的弹窗、可下滑查看详情的嵌套网页、跳转到另一页面给出增强告知，在用户填写身份证号码等编辑对话框下给出即时说明等告知处理个人信息的目的、方式、范围等个人信息处理规则，涉及敏感个人信息、出境、向处理者提供等场景时，除通用告知事项外还有相应的增强告知事项。就具体的单独同意动作的给出而言，可以要求个人就需要单独同意的事项做出填写、勾选、点击确认、配合拍照、自主提交等主动动作。

3.“单独同意”规则的落地要点

单独同意的原则，除了要符合个保法当中关于同意的通用要件，关于同意的增强要件，具体落地时候还要注意几个实操要点：

（1）产品设计过程中就要注意区分“单独同意”场景，切实打破通过隐私政策获得一揽子同意的做法。

（2）对“单独同意”的产品端设置方式要结合具体场景下的用户习惯与体验，即应该场景化而不是一刀切地进行单独“勾选同意”。

（3）通过技术加持与授权可控的切实措施，帮助用户便利地给出、便利地撤回“单独同意”。

（4）避免过多、高频、连续的“单独同意”，甚至故意造成用户的“同意”疲惫、自主注意力下降甚至是“同意”负担，反而会消解“单独同意”的立法本意。

落实“单独同意”需要通过以人为本的“隐私保护设计”更好地实现个人信息保护的理念，让个人不受限于文化水平或对技术的熟悉程度，在真正知情的情况下自主地决定如何使用其个人信息。

（根据嘉宾发言内容整理，不代表嘉宾所在单位立场。）

       作者：研究会秘书处

责任编辑：研究会秘书处