平台处理个人数据需要取得“单独同意”的情形

2021-09-13

在《网络安全法》《数据安全法》《个人信息保护法》均已出台的当下，集合了大量个人信息的各类平台直接面临着个人信息保护的“难关”。

在信息快速流动、各平台紧密联系的今天，个人数据已经不仅仅被存储在某一独立平台中。比起被平台于内部中利用，数据更需要在各平台之间的流动中发挥其价值，而这一般通过平台间数据迁移的过程实现。根据将于2021年11月1日正式实施的《个人信息保护法》第二十三条的规定，由于数据迁移涉及到向作为个人信息处理者的其他平台主体提供个人信息，因此适用此条款，应取得个人的单独同意。

对此，本文对平台处理个人数据时应取得单独同意的情形展开分析。

一、什么是单独同意？

根据《个人信息保护法》的立法说明，《个人信息保护法》确立了以“告知—同意”为核心的个人信息处理系列规则。对于《个人信息保护法》未作特别规定的一般信息，个人信息处理者只需要满足两个条件即可处理个人的信息：一是个人信息处理者应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知有关个人信息处理者和信息处理的事项，二是个人应当在充分知情的前提下自愿、明确作出该同意。

但个人信息处理者告知方式的“清晰易懂”和个人同意前提的“充分知情”之间本身就存在着矛盾。清晰易懂的告知意味着用户阅读时间的冗长，而大量信息的一次性输入反而可能对用户的理解造成干扰。从用户的实际体验来看，也许用户会在最开始的几次选择中维持认真阅读的状态，但随着阅读此类告知的次数增多，用户更多地开始“应付式”选择同意，这种行为模式符合心理学上的知觉定式和边际递减效应。

对于由平台一次性告知但常常在用户的忽视中直接同意的一般信息，《个人信息保护法》为用户设置了“反悔”的权利，即用户的撤回权^[1]。但对用户来说，撤回平台已经获得并处理的信息与直接拒绝平台处理或利用信息带来的效果显然是天差地别的。为此，针对处理个人信息中的敏感个人信息等特殊情形（详见下文梳理表格），《个人信息保护法》对个人信息处理者提出了额外的要求——应当取得个人的单独同意。

顾名思义，单独同意对个人信息处理者的告知方式和个人的同意方式提出了更高要求，即，个人信息处理者在征得个人同意时必须就法律规定应当取得单独同意的事项单独取得个人的同意，个人能够独立于其他个人信息处理行为及规则自由地作出同意。从实践上看，单独同意的要求主要是为规避个人信息处理者一揽子告知同意的做法。

二、哪些情形应单独同意？

根据《个人信息保护法》，我们总结出以下平台采集处理个人数据时必须单独同意的事项：

此外，根据《个人信息保护法》第三十一条的规定，“个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。”这是对未成年人个人信息的特别保护。

三、单独同意的例外情形

虽然单独同意事项是一般同意事项中的特殊情形，但在实践中，某些被认为发生在单独同意事项中的情形，并不需要获得个人的单独同意。这些单独同意的例外情形如下表： 

四、与个人同意有关的其他情形（默认同意及拒绝权）

除了前文所述的一般同意与单独同意外，《个人信息保护法》为用户对平台处理其信息的行为设置了第三种同意路径，即默认同意，并赋予用户拒绝权，此路径的适用范围很小，主要针对《个人信息保护法》第二十七条^[2]。

《个人信息保护法》第二十七条默认个人同意个人信息处理者对其自行公开或合法公开的个人信息进行处理，但这种默认同意是有限制的：首先，个人信息处理者只能在合理的范围内处理已公开的个人信息；其次，个人信息处理者可处理的个人信息仅限于对个人权益无重大影响的信息；最后，当个人明确拒绝个人信息处理者对其公开信息的处理时，个人信息处理者不能对其信息进行处理。

根据《个人信息保护法》第四十四条^[3]，有权限制或者拒绝他人对其个人信息进行处理。此处的“他人”不应当认为包括个人信息处理者，原因在于，根据《个人信息保护法》第十三条^[4]，个人信息处理者能够处理个人信息的基础要么是个人的同意，要么是法定的情形。针对前者，个人享有撤回权，针对后者，个人无法拒绝。

《个人信息保护法》规定的另一个用户的拒绝权在于《个人信息保护法》第二十四条^[5]。根据该条款，平台通过自动化决策方式向个人进行信息推送、商业营销时，平台应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。也就是说，用户要么能获得平台推送或营销的其他选项，要么能便捷地拒绝平台的推送或营销。该条款还规定，通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。也就是说，对于平台通过自动化决策方式作出的对用户权益有重大影响的决定，用户可以要求平台予以说明，也可以拒绝平台的决定。

五、平台数据迁移的优化路径

从《个人信息保护法》开始制定草案到正式通过，我们已认识到，我国对个人数据安全愈发重视且监管趋严的态度。这对各平台来说，既是进行合规改革的挑战，又是进行合规风险规避的机遇。以平台采集处理个人数据时必须“单独同意”的事项为例，向第三方提供，公开，收集个人图像、身份特征信息用于公共安全之外目的，处理敏感个人信息，向境外提供，这些事项一方面为个人的信息安全提供了保障，另一方面为行业的规范发展提出了要求，而这两者都是促进行业向好、向广发展所必需的。

征得个人单独同意虽能为个人的信息安全和选择自由提供保障，与此同时却也会带来行业效率降低的隐忧在信息时代，平台间的数据迁移非常普遍，针对这种个人信息处理者向其他个人信息处理者一次性提供大量数据的情形，个人的单独同意是否会成为平台高效率完成数据迁移的阻碍呢？为此，我们需要探索数据迁移的优化路径。

针对前面的问题，我们发现，征得个人单独同意并不一定导致取得授权的效率变得低下，反而可能出于行业的规范发展和用户的信赖而更快更好地达成目的。为在获得个人单独同意的前提下依然高效率地达成目的，平台需要做到两方面，这两方面也就是平台数据迁移的优化路径：一方面，平台要细化且落实告知同意规则，通过翔实的告知内容避免平台告知与用户同意之间的拉扯，也避免后续可能出现的纠纷。另一方面，平台可确立数据流通规则体系，在引入管制规则和责任规则的基础上，鼓励数据在流通中得到利用，并使其在流动中发挥出价值。经此，我们希望，《个人信息保护法》的通过能为相关行业的发展带来新的活力。

—  参考文献  —

[1]《个人信息保护法》第十五条规定：“基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。”

[2]《个人信息保护法》第二十七条规定：“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。”

[3]《个人信息保护法》第四十四条规定：“个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外。”

[4]《个人信息保护法》第十三条规定：“符合下列情形之一的，个人信息处理者方可处理个人信息：（一）取得个人的同意；（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；（三）为履行法定职责或者法定义务所必需；（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；（七）法律、行政法规规定的其他情形。依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。”

[5]《个人信息保护法》第二十四条规定：“个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”

本文作者：