非基于同意处理个人信息,“单独同意”能豁免吗?
2021-10-19
来源:数字科技说
在即将于11月1日生效的《个人信息保护法》第13条中,除了“同意”以外,还首次明确了多种个人信息处理的合法性基础:
为订立、履行个人作为一方当事人的合同所必需
按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需
为履行法定职责或者法定义务所必需
为应对突发公共卫生事件
紧急情况下为保护自然人的生命健康和财产安全所必需
为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息
依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息
法律、行政法规规定的其他情形
另外值得留意的是,在《个人信息保护法》中还提出了“单独同意”(seprate consent)的概念,而在GDPR等外国的法律法规中并没有这一概念。根据《个人信息保护法》,“单独同意”适用于五个场景:
个人信息处理者向其他个人信息处理者提供其处理的个人信息
公开个人信息
公共场所安装图像采集、个人身份识别设备,用于维护公共安全以外目的收集个人图像、身份识别信息
处理敏感个人信息
向境外提供个人信息
因为是一个崭新的概念,所以“单独同意”在实践中如何落地、能否豁免存在相当的不确定性。
单独同意比普通的同意更难获得,需要单独的意思表示,因此很多场景下获取单独同意非常困难。进而问题来了:如果不基于“同意”处理个人信息,那么在特定的五个场景下,是否还需要获取单独同意?
假设个人信息处理是为了应对突发公共卫生事件,如因为防控疫情的需要收集姓名、身份证号、行程等信息,但行踪轨迹是敏感个人信息,《个人信息保护法》第29条要求处理敏感个人信息需要单独同意。
有很多观点认为如果不基于同意处理个人信息,那么也无需获取单独同意。比如程啸教授认为:
处理敏感的个人信息应当取得个人的单独同意,当然是指那些基于个人同意处理敏感的个人信息的情形,至于依据法律、行政法规的规定无需个人同意即可处理个人信息的情形,则不适用。……
程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,页273
也有律师持同样的观点:
当且仅当处理数据的合法性事由是基于同意的时候,有五个场景是需要获得“单独同意”的。
孟洁律师团队,公众号:M姐 数据合规评论
Step 6 | 一天一步带你落地《个人信息保护法》
但我认为这种观点在实践中是有风险的。对比《个人信息保护法(草案二次审议稿)》与《个人信息保护法》:
《个人信息保护法(草案二次审议稿)》
《个人信息保护法》
基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。……(第30条)
处理敏感个人信息应当取得个人的单独同意;……(第29条)
在正式通过的《个人信息保护法》中专门删除了“基于个人同意处理敏感个人信息”作为获取单独同意的前提条件。
此外,也需要重点讨论“同意”与“单独同意”的关系。如果我们仅认为“单独同意”是“同意”的子集,那么根据《个人信息保护法》第13条第2款很容易得出非基于“同意”处理个人信息,就不再需要“同意”了,当然也不需要单独同意。
但问题在于,“单独同意”并不单纯是“同意”的子集,而是一种更高标准的“同意”。需要在更加立体的视角来观察:
当《个人信息保护法》因为具备其他合法性基础而豁免“同意”之时,并不意味着“单独同意”也被一并豁免掉。也就是说,“单独同意”的并不能够因为基于“同意”以外的法律基础就豁免掉。无论何种个人信息处理的法律基础,“单独同意”在相关场景下可能都是必需的。
另外,在合规实践的角度,保守一些给意见总是不会犯错(虽然可能有碍业务的开展)。尤其是在法律条文没有对豁免“单独同意”点头的时候,不宜对法律进行太过宽泛的解释。
作为一名数据法律业务的律师,我当然希望机构能有更为便捷的合规路径,但这样的捷径未必能够达到法律监管的要求,更会让冒险实践者承担更高的风险。大量实践已经表明,《个人信息保护法》不是一部可以轻易达到合规及格线的法律,需要对业务进行全面的梳理和反思,甚至需要对业务模式进行重大调整。
而本文仅是抛砖引玉,以上个人观点也不一定经得起推敲,权当是记录一些思考。