数据合规之个人信息“单独同意”授权

一、为什么要个人信息“单独同意”授权？

数据合规中的个人信息“单独同意”授权，是指就特定范围和情形的个人信息，权利人对个人信息处理者的授权，必须以单独的明确同意的形式进行。“单独的”是权利人针对个人信息处理者进行特定处理作出个别、具体授权的行为，这能够有力破解“一揽子授权”的困境。区别于“同意”，所谓“明确同意”，意味着自然人在被告知私密信息将被处理的前提下而作出的清晰、明确的允许处理的意思表示。[1]

从权利基础来看，特定范围的个人信息包括隐私，原则上是不能许可他人使用或商业化利用的，隐私权有消极防御功能，即防止他人对包括私生活安宁、私密信息在内的隐私的侵害[2]，理应特别保护。涉及隐私的个人信息处理，需要得到权利人单独的、明确的同意，否则会引发侵害隐私权的侵权责任。

从法律规范来看，《民法典》第1033条规定，“除法律另有规定或者权利人明确同意外，任何组织或者个人不得实施下列行为……（五）处理他人的私密信息”。第1035条规定，处理个人信息的，应当遵循合法、正当、必要原则，征得该自然人或者其监护人同意。可见，《民法典》明确了私密信息在内的特定范围的数据处理，必须取得权利人单独的明确同意。

2021年11月1日实施的《个人信息保护法》第29条规定“处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。”该法明确了“单独同意”，具体了对“敏感个人信息”明确的、书面的单独同意处理规则。《数据安全法》《汽车数据安全管理若干规定（试行）》《网络数据安全管理条例（征求意见稿）》等法律规范以及行业标准，也进一步细化了个人信息处理所需单独同意授权的特定范围和情形。

可见，就特定范围和情形的个人信息处理，必须取得权利人的单独同意，存在坚实的法理和法律规范的依据。

二、个人信息“单独同意”授权的情形有哪些？

（一）“单独同意”的五种法定情形

根据《个人信息保护法》第23、25、26、29和39条的规定，“单独同意”的法定情形有以下五种：

（1）向其他个人信息处理者提供其处理的个人信息；

（2）公开其处理的个人信息；

（3）将公共场所收集的个人图像/身份特征信息用于非公共安全之目的；

（4）处理敏感个人信息；

（5）向境外提供个人信息。

（二）“单独同意”的特别规定

（1）汽车数据中的敏感个人信息处理，见《汽车数据安全管理若干规定（试行）》第9条。

（2）未成年人个人信息用于直接营销、用户画像以及个性化广告推送，见《信息安全技术 网络音视频服务数据安全指南（征求意见稿）》第12条。

（3）个人健康医疗数据用于市场营销活动，见《信息安全技术 健康医疗数据安全指南》GB/T 39725-2020第7条（C）款。

（4）处理人脸信息，见《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第2条，可归于敏感个人信息处理。

（5）其他法律、行政法规的特别规定，如《网络数据安全管理条例（征求意见稿）》第49条规定将个人信息用于个性化推荐时，应当取得单独同意。

三、如何“单独同意”授权？

（一）“单独同意”需遵循何种原则？

1.同意的基本原则

根据《信息安全技术 个人信息处理中告知和同意的实施指南》（标准号：GB/T 42574-2023）（以下简称《实施指南》）规定，个人信息处理者在取得个人同意时需遵循以下基本原则：

（1）告知一致：取得同意的范围不超出所告知的内容。

（2）自主选择：支持个人通过自行操作的方式作出同意，不使用默认勾选的方式取得同意。

（3）时机恰当：在个人信息收集行为发生前，且同步传达告知内容时，取得个人同意，以增进个人对业务功能与所收集的个人信息之间关联性的理解。

（4）避免捆绑：区分产品或服务的业务功能，不采用捆绑方式强迫个人一次性同意多种业务功能可能收集的个人信息或多个处理活动；个人拒绝同意时，不影响与该个人信息无关的业务功能的正常使用。

2.“单独同意”的增强要件

因“单独同意”是权利人针对其个人信息进行特定处理活动作出具体、明确授权的行为，需有力破解“一揽子授权”给权利人造成的困境。故，如需要构成有效的“单独同意”，在符合上述同意的基本原则基础上，至少具备如下增强要求：

（1）即时增强告知：通过增强式告知或即时提示的方式，针对需要单独同意的事项专门、充分告知。

（2）同意事项独立：针对具体且独立的目的或业务功能，不与其他事项捆绑。

（3）同意动作明示：以明示方式作出同意，不得默认同意，确保毫无歧义。

（二）“单独同意”应告知哪些内容？

在不同的“单独同意”授权场景下，授权告知的内容不尽相同。结合《个人信息保护法》及《实施指南》规定，对于“单独同意”的五种法定情形下授权需告知的内容整理如下：

（三）在何环节设置“单独同意”？

“事先告知+明示同意”是《个人信息保护法》所规定的处理个人信息的基本原则。基于此基本原则，同时考虑上述须获得个人信息主体“单独同意”授权的情形发生的具体业务环节：

（1）将“单独同意”设置于用户注册环节

若在用户注册环节就已经开始收集个人敏感信息或者在用户注册环节就能预见到会发生需单独同意授权的场景时（如根据业务模式必定会将个人信息提供给合作的具有明确身份的第三方或者提供给境外的具有明确身份的接收方），可在用户注册环节设置“单独同意”。

（2）将“单独同意”设置于后续环节

如发生在后续业务环节且法规政策对授权内容要求非常明确导致只能在该环节设置（如向他人提供个人信息且前期无法预见具体的信息接收主体、个人信息出境无法提前预见具体接收方等）。

（四）何种方式设置“单独同意”？

实践中应避免一揽子方式获得同意，避免与其他同意隐匿揉合，更宜进行单独的“告知同意界面”交互设计，如：

（1）独立的弹窗；

（2）下滑查看详情的嵌套网页；

（3）跳转到另一页面给出增强告知；

（4）单独的隐私政策，如未成年人个人信息处理规则、第三方传输数据授权文件等。

就具体的单独同意动作的给出而言，可以要求个人就需要单独同意的事项做出填写、勾选、点击确认、配合拍照、自主提交等主动动作。

（五）何种形式设置“单独同意”？

1.隐私政策包含“单独同意”授权内容模式

将隐私政策涉及需要单独授权的事项，设计成用户可以单独勾选的可选项，由用户自主勾选，最后再统一自主勾选确认整个隐私政策。该模式适用前提是注册环节会发生需要“单独同意”授权的情形或可以预见未来必定会发生需要“单独同意”授权的情形，且能详细披露。这在某种程度上能实现“一揽子授权”，但缺点是费尽周折才能使用，考验用户耐心，体验差。

2.隐私政策与“单独同意”授权内容同时设置模式

在设置隐私政策的同时，将需要个人信息主体“单独同意”授权内容配置对应的单独协议或选项内容，与隐私政策并列，由个人信息主体自主勾选确认。该模式前提是要区分，哪些适合“一揽子授权”，哪些适合“单独同意”授权。

3.单独另行授权模式

如在用户注册环节不涉及或者无法准确预见个人信息主体“单独同意”授权情形，那么后续发生需要个人信息主体“单独同意”授权的情形时，可以弹窗+授权内容/弹窗+授权协议、邮件、短信通知等一种或多种方式通知个人信息主体（前两者目前实践中比较常见），但是要确保能获得个人信息主体的明示同意，即个人信息主体自主点击确认弹窗+授权内容/弹窗+授权协议、回复邮件或短信通知等。该模式比较灵活，但容易遗漏。

（六）“单独同意”授权的常见风险

1.多重授权问题

App通常会使用第三方SDK、API、算法，或通过其他方式让第三方收集、传输或共享用户数据，该情形属于向其他个人信息处理者提供其处理的个人信息，需要获得用户的“单独同意”。若APP运营企业嵌入的为境外SDK，将用户个人信息转移至国外，还需要就向境外提供个人信息这一事项取得个人的“单独同意”。

2.未取得授权

若采用隐私政策包含“单独同意”授权内容模式，而用户漏选或少勾选授权内容时，或采用单独另行授权模式，通过邮件、短信通知等一种或多种方式通知个人信息主体但无法及时触达而导致无法获取此类用户“单独同意”授权时，则很有可能未取得用户对相关信息的授权。

3.授权不清晰

在取得单独授权时，需将取得“单独同意”授权的信息范围、内容、使用目的等对于用户进行明确的告知，避免因授权协议表述不清晰而导致超范围使用个人敏感信息等情形的出现。

小结

综上所述，就前述特定范围和情形的个人信息，法律要求必须取得权利人的“单独同意”授权。我们在数据合规业务中设置此种授权，应当在“单独同意”的基础上，做到“即时增强告知、同意事项独立、同意动作明示”。同时，应当充分考虑相关情形的发生、可能的业务环节、需要授权的具体内容、用户体验、是否会错漏等因素，从而确定设置的情形环节及授权形式、授权方式，并注意避开常见风险，让权利人在真正知情的情况下单独的、自主的决定个人信息处理者如何处理其个人信息。