目前我國數(shù)據(jù)立法的結(jié)構(gòu)，總體而言即以《國家安全法》作為我國數(shù)據(jù)立法的基石，在此基石之下，《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》成為規(guī)制數(shù)據(jù)安全的“三駕馬車”，在這三部法律之下，又有《信息安全技術(shù) 個人信息安全規(guī)范》《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)出境安全評估指南》《數(shù)據(jù)出境安全評估辦法》《個人信息出境標準合同規(guī)定》《個人信息保護認證實施規(guī)則》等多部規(guī)范性文件對“三駕馬車”進行細化規(guī)定。

　　我國數(shù)據(jù)保護立法雖相對而言起步較晚，但發(fā)展迅速，相關(guān)合規(guī)問題亦呈現(xiàn)“井噴式”爆發(fā)趨勢，這其中涉及個人信息數(shù)據(jù)“單獨同意”的問題尤為突出。颯姐法律團隊在此簡要梳理《個人信息保護法》中要求的個人信息“單獨同意”的情形，并提供相應(yīng)的注意事項。

　　一、什么是單獨同意？

　　《個人信息保護法》第十三條規(guī)定了個人信息處理者處理個人信息的七項條件，即：

　　(一)取得個人的同意;

　　(二)為訂立、履行個人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需;

　　(三)為履行法定職責(zé)或者法定義務(wù)所必需;

　　(四)為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需;

　　(五)為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個人信息;

　　(六)依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息;

　　(七)法律、行政法規(guī)規(guī)定的其他情形。

　　根據(jù)該法條的規(guī)定，個人信息處理者處理個人信息的過程符合第(二)至第(七)這六項條件中的任何一項的時候，就可以不經(jīng)個人的同意而處理個人信息，反之，則必須得到個人的同意。這就是《個人信息保護法》規(guī)定的個人信息處理的“個人同意”制度。

　　《個人信息保護法》第十三條第(一)項規(guī)定的同意存在多種形式，如“口頭同意”“書面同意”“一攬子同意”“單獨同意”等。如果個人信息的處理者符合該條第(二)至第(七)項中的任意一項規(guī)定，其處理個人信息就不需要經(jīng)過個人同意，自然也不存在究竟要采取哪種同意方式的問題，反之就必須要注意同意的方式。

　　目前，《個人信息保護法》并未對“單獨同意”的含義做出具體解釋，在實務(wù)中，一般認為單獨同意就是“一攬子”同意的對稱，所謂“一攬子同意，”舉例而言就是當(dāng)用戶只需要采取一個動作(如在手機APP中點擊一個“√”)即一次性針對多項個人信息、多種處理活動進行同意，該種理解目前已經(jīng)被《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》所采納。該“意見稿”第73條第(八)項規(guī)定，單獨同意是指數(shù)據(jù)處理者在開展具體數(shù)據(jù)處理活動時，對每項個人信息取得個人同意，不包括一次性針對多項個人信息、多種處理活動的同意。

　　除了《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》外，《信息安全技術(shù) 個人信息處理中告知和同意的實施指南》亦有關(guān)于“單獨同意”的規(guī)定，該標準認為單獨同意即“個人針對其個人信息進行特定處理活動而專門做出具體、明確的授權(quán)行為”。

　　綜上，雖然《個人信息保護法》并沒有對“單獨同意”的概念進行明確表述，但上述文件依然幫助我們在實務(wù)中處理需要“單獨同意”的事項，至少可以幫助我們劃定紅線，即一次性針對多項(哪怕是兩項)個人信息、處理活動的同意，均不能被認為是“單獨同意”，單獨同意一定是個人做出的專門、具體、明確的授權(quán)行為。

　　二、哪些場景需要“單獨同意”？

　　根據(jù)《個人信息保護法》之規(guī)定，個人信息處理者在以下幾種情形下，其處理個人信息時必須得到個人的單獨同意：

　　1.向第三方提供個人信息的場景

　　根據(jù)《個人信息保護法》第二十三條之規(guī)定，個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應(yīng)當(dāng)向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。接收方應(yīng)當(dāng)在上述處理目的、處理方式和個人信息的種類范圍內(nèi)處理個人信息。接收方變更原先的處理目的、處理方式的，應(yīng)當(dāng)依照本法規(guī)定重新取得個人同意。

　　2.公開個人信息

　　根據(jù)《個人信息保護法》第二十五條之規(guī)定，個人信息處理者不得公開其處理的個人信息，但是取得個人單獨同意的除外。

　　簡言之，個人信息處理者不公開其處理的個人信息是常態(tài)，如果需要公開，就必須要取得相應(yīng)個人信息所指向的個人的單獨同意。

　　3.安裝攝像頭、人臉識別設(shè)備的情形

　　根據(jù)《個人信息保護法》第二十六條之規(guī)定，在公共場所安裝圖像采集、個人身份識別設(shè)備，應(yīng)當(dāng)為維護公共安全所必須，遵守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全目的，不得用于其他目的;取得個人單獨同意的除外。

　　簡言之，在公共場所安裝攝像頭、人臉識別等設(shè)備，必須遵守國家規(guī)定且是為了維護公共安全所必須，而且還要設(shè)置顯著的提示標識。倘若無法滿足上述條件，那么就必須取得個人的單獨同意，否則就是侵犯公民個人信息的違法行為。

　　4.處理敏感個人信息

　　根據(jù)《個人信息保護法》第二十九條之規(guī)定，處理敏感個人信息應(yīng)當(dāng)取得個人的單獨同意;行政法規(guī)規(guī)定處理敏感個人應(yīng)當(dāng)取得書面同意的，從其規(guī)定。

　　簡言之，處理敏感個人信息一定要取得個人的單獨同意，不僅如此某些敏感信息的取得還需要個人的書面同意。

　　所謂敏感個人信息，《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273-2020)在其附錄B中做了詳細說明，該國標明確載明，個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽、身心健康收到損害或歧視性待遇等的個人信息。通常情況下，14歲以下(含)兒童的個人信息和涉及自然人隱私的信息屬于個人敏感信息，這些敏感信息包括但不限于以下類型：

　　5.數(shù)據(jù)出境

　　根據(jù)《個人信息保護法》第三十九條之規(guī)定，個人信息處理者向中華人民共和國境外提供個人信息的，應(yīng)當(dāng)向個人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類及個人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項，并取得個人的單獨同意。

　　該條需要和《個人信息保護法》第二十三條加以區(qū)分，簡言之，個人信息處理者向第三方提供個人信息時，如果該第三方是境內(nèi)的其他個人信息處理者，則需要依據(jù)《個人信息保護法》第二十三條的規(guī)定取得單獨同意，倘若第三方并非是“其他個人信息處理者(比如很可能是委托處理個人信息的第三方)”，則不需要依據(jù)個人信息保護法第二十三條取得單獨同意。但倘若該第三方位于境外，則無論其法律地位如何，個人信息處理者都需要取得單獨同意，且要做到《個人信息保護法》第二十三條和第三十九條規(guī)定的其他義務(wù)。

　　三、合規(guī)要點

　　在實踐中，針對“單獨同意”問題，目前互聯(lián)網(wǎng)APP在不同的場景下合規(guī)要點亦不同：

　　1.向第三方提供個人信息的場合，App在登陸注冊時允許用戶使用其他平臺的賬號進行登錄，此時就會存在用戶的賬號信息在兩個處理者之間共享。合規(guī)做法就是APP跳出彈窗(單獨同意)頁面，將賬號信息授權(quán)事項明示告知用戶，并征得用戶對該共享的單獨同意;

　　2.公開個人信息的場合，這類場合相比第一類場合較為罕見，但也容易被忽視。實際上多數(shù)企業(yè)，尤其是互聯(lián)網(wǎng)APP沒有理由也不會公開其所收集的個人信息，但在極特殊的場景下，比如某APP公開抽獎活動的中獎人名單(涉及手機號、APP名稱頭像等)，此時就必須在公開之前取得個人的單獨同意;

　　3.安裝攝像頭、人臉識別設(shè)備的場合，部分企業(yè)的門禁系統(tǒng)會涉及到人臉識別問題，倘若上述門禁系統(tǒng)被認為與維護公共安全無關(guān)，那就必須要征得員工的個人同意方可實施;

　　4.處理敏感個人信息的場合，APP在涉及處理個人敏感信息的場合必須單獨彈窗，這已經(jīng)是合規(guī)慣例，較難以判斷的是敏感信息的種類，在此颯姐團隊提醒各位從業(yè)者務(wù)必仔細研讀《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273-2020)附錄B中的所有內(nèi)容，以充分掌握何為敏感個人信息;

　　5.在數(shù)據(jù)出境的場合，一定要注意其與《個人信息保護法》第二十三條規(guī)定的異同，尤其要注意提示個人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等內(nèi)容。

　　四、寫在最后

　　單獨同意是數(shù)據(jù)合規(guī)和個人信息保護的一項重中之重，正如前文所言，目前《個人信息保護法》并未對“單獨同意”的概念及其實施標準做出明確規(guī)定，從目前來看，個人信息主體在個人信息跨境傳輸、公共場所安裝監(jiān)控或身份識別信息設(shè)備、敏感個人信息處理(如在線問診等產(chǎn)品)等領(lǐng)域，履行與落實單獨同意義務(wù)實仍有較大的改善空間，當(dāng)然這無疑增大了合規(guī)的難度，颯姐團隊建議涉及到個人信息處理的企業(yè)務(wù)必增強相關(guān)合規(guī)意識，在自己的APP中明確告知用戶關(guān)鍵事項，保護用戶的重要權(quán)益，增強自身業(yè)務(wù)合規(guī)性。

　　作者介紹：

　　肖颯律師團隊，由北京大成律師事務(wù)所高級合伙人肖颯牽頭，在數(shù)字資產(chǎn)、數(shù)據(jù)合規(guī)、金融科技等民商事業(yè)務(wù)領(lǐng)域，以及刑事合規(guī)、反腐敗和反商業(yè)賄賂、網(wǎng)絡(luò)安全犯罪等刑事業(yè)務(wù)領(lǐng)域有豐富的法律服務(wù)經(jīng)驗。

　　團隊負責(zé)人肖颯，系北京大成律師事務(wù)所高級合伙人，北京市律師協(xié)會數(shù)字經(jīng)濟與人工智能領(lǐng)域法律專業(yè)委員會副主任、法學(xué)博士、仲裁員，擅長數(shù)據(jù)合規(guī)、數(shù)字經(jīng)濟、刑事辯護、刑事合規(guī)、金融科技領(lǐng)域法律服務(wù)，曾代理國內(nèi)NFT第一案二審、河南村鎮(zhèn)銀行系列案件，并為大型企業(yè)提供科技創(chuàng)新業(yè)務(wù)合規(guī)、金融創(chuàng)新業(yè)務(wù)合規(guī)法律服務(wù)。擔(dān)任北京大學(xué)法學(xué)院法律碩士研究生實踐指導(dǎo)老師、中國人民大學(xué)法學(xué)院法碩實務(wù)導(dǎo)師、中國政法大學(xué)法律碩士學(xué)院兼職導(dǎo)師等職務(wù)。榮登2023《中國知名企業(yè)法總推薦的律師》推薦名錄、2024《中國知名企業(yè)法總推薦的優(yōu)秀律師&律所》推薦名錄年度客戶精選律師。