“單獨同意”——數據轉移繞不開的情形有哪些？

　　目前我國數據立法的結構，總體而言即以《國家安全法》作為我國數據立法的基石，在此基石之下，《網絡安全法》《數據安全法》《個人信息保護法》成為規制數據安全的“三駕馬車”，在這三部法律之下，又有《信息安全技術 個人信息安全規范》《數據安全技術 數據出境安全評估指南》《數據出境安全評估辦法》《個人信息出境標準合同規定》《個人信息保護認證實施規則》等多部規范性文件對“三駕馬車”進行細化規定。

　　我國數據保護立法雖相對而言起步較晚，但發展迅速，相關合規問題亦呈現“井噴式”爆發趨勢，這其中涉及個人信息數據“單獨同意”的問題尤為突出。颯姐法律團隊在此簡要梳理《個人信息保護法》中要求的個人信息“單獨同意”的情形，并提供相應的注意事項。

　　一、什么是單獨同意？

　　《個人信息保護法》第十三條規定了個人信息處理者處理個人信息的七項條件，即：

　　(一)取得個人的同意;

　　(二)為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需;

　　(三)為履行法定職責或者法定義務所必需;

　　(四)為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需;

　　(五)為公共利益實施新聞報道、輿論監督等行為，在合理的范圍內處理個人信息;

　　(六)依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息;

　　(七)法律、行政法規規定的其他情形。

　　根據該法條的規定，個人信息處理者處理個人信息的過程符合第(二)至第(七)這六項條件中的任何一項的時候，就可以不經個人的同意而處理個人信息，反之，則必須得到個人的同意。這就是《個人信息保護法》規定的個人信息處理的“個人同意”制度。

　　《個人信息保護法》第十三條第(一)項規定的同意存在多種形式，如“口頭同意”“書面同意”“一攬子同意”“單獨同意”等。如果個人信息的處理者符合該條第(二)至第(七)項中的任意一項規定，其處理個人信息就不需要經過個人同意，自然也不存在究竟要采取哪種同意方式的問題，反之就必須要注意同意的方式。

　　目前，《個人信息保護法》并未對“單獨同意”的含義做出具體解釋，在實務中，一般認為單獨同意就是“一攬子”同意的對稱，所謂“一攬子同意，”舉例而言就是當用戶只需要采取一個動作(如在手機APP中點擊一個“√”)即一次性針對多項個人信息、多種處理活動進行同意，該種理解目前已經被《網絡數據安全管理條例(征求意見稿)》所采納。該“意見稿”第73條第(八)項規定，單獨同意是指數據處理者在開展具體數據處理活動時，對每項個人信息取得個人同意，不包括一次性針對多項個人信息、多種處理活動的同意。

　　除了《網絡數據安全管理條例(征求意見稿)》外，《信息安全技術 個人信息處理中告知和同意的實施指南》亦有關于“單獨同意”的規定，該標準認為單獨同意即“個人針對其個人信息進行特定處理活動而專門做出具體、明確的授權行為”。

　　綜上，雖然《個人信息保護法》并沒有對“單獨同意”的概念進行明確表述，但上述文件依然幫助我們在實務中處理需要“單獨同意”的事項，至少可以幫助我們劃定紅線，即一次性針對多項(哪怕是兩項)個人信息、處理活動的同意，均不能被認為是“單獨同意”，單獨同意一定是個人做出的專門、具體、明確的授權行為。

　　二、哪些場景需要“單獨同意”？

　　根據《個人信息保護法》之規定，個人信息處理者在以下幾種情形下，其處理個人信息時必須得到個人的單獨同意：

　　1.向第三方提供個人信息的場景

　　根據《個人信息保護法》第二十三條之規定，個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類范圍內處理個人信息。接收方變更原先的處理目的、處理方式的，應當依照本法規定重新取得個人同意。

　　2.公開個人信息

　　根據《個人信息保護法》第二十五條之規定，個人信息處理者不得公開其處理的個人信息，但是取得個人單獨同意的除外。

　　簡言之，個人信息處理者不公開其處理的個人信息是常態，如果需要公開，就必須要取得相應個人信息所指向的個人的單獨同意。

　　3.安裝攝像頭、人臉識別設備的情形

　　根據《個人信息保護法》第二十六條之規定，在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必須，遵守國家有關規定，并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全目的，不得用于其他目的;取得個人單獨同意的除外。

　　簡言之，在公共場所安裝攝像頭、人臉識別等設備，必須遵守國家規定且是為了維護公共安全所必須，而且還要設置顯著的提示標識。倘若無法滿足上述條件，那么就必須取得個人的單獨同意，否則就是侵犯公民個人信息的違法行為。

　　4.處理敏感個人信息

　　根據《個人信息保護法》第二十九條之規定，處理敏感個人信息應當取得個人的單獨同意;行政法規規定處理敏感個人應當取得書面同意的，從其規定。

　　簡言之，處理敏感個人信息一定要取得個人的單獨同意，不僅如此某些敏感信息的取得還需要個人的書面同意。

　　所謂敏感個人信息，《信息安全技術 個人信息安全規范》(GB/T 35273-2020)在其附錄B中做了詳細說明，該國標明確載明，個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康收到損害或歧視性待遇等的個人信息。通常情況下，14歲以下(含)兒童的個人信息和涉及自然人隱私的信息屬于個人敏感信息，這些敏感信息包括但不限于以下類型：

　　5.數據出境

　　根據《個人信息保護法》第三十九條之規定，個人信息處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類及個人向境外接收方行使本法規定權利的方式和程序等事項，并取得個人的單獨同意。

　　該條需要和《個人信息保護法》第二十三條加以區分，簡言之，個人信息處理者向第三方提供個人信息時，如果該第三方是境內的其他個人信息處理者，則需要依據《個人信息保護法》第二十三條的規定取得單獨同意，倘若第三方并非是“其他個人信息處理者(比如很可能是委托處理個人信息的第三方)”，則不需要依據個人信息保護法第二十三條取得單獨同意。但倘若該第三方位于境外，則無論其法律地位如何，個人信息處理者都需要取得單獨同意，且要做到《個人信息保護法》第二十三條和第三十九條規定的其他義務。

　　三、合規要點

　　在實踐中，針對“單獨同意”問題，目前互聯網APP在不同的場景下合規要點亦不同：

　　1.向第三方提供個人信息的場合，App在登陸注冊時允許用戶使用其他平臺的賬號進行登錄，此時就會存在用戶的賬號信息在兩個處理者之間共享。合規做法就是APP跳出彈窗(單獨同意)頁面，將賬號信息授權事項明示告知用戶，并征得用戶對該共享的單獨同意;

　　2.公開個人信息的場合，這類場合相比第一類場合較為罕見，但也容易被忽視。實際上多數企業，尤其是互聯網APP沒有理由也不會公開其所收集的個人信息，但在極特殊的場景下，比如某APP公開抽獎活動的中獎人名單(涉及手機號、APP名稱頭像等)，此時就必須在公開之前取得個人的單獨同意;

　　3.安裝攝像頭、人臉識別設備的場合，部分企業的門禁系統會涉及到人臉識別問題，倘若上述門禁系統被認為與維護公共安全無關，那就必須要征得員工的個人同意方可實施;

　　4.處理敏感個人信息的場合，APP在涉及處理個人敏感信息的場合必須單獨彈窗，這已經是合規慣例，較難以判斷的是敏感信息的種類，在此颯姐團隊提醒各位從業者務必仔細研讀《信息安全技術 個人信息安全規范》(GB/T 35273-2020)附錄B中的所有內容，以充分掌握何為敏感個人信息;

　　5.在數據出境的場合，一定要注意其與《個人信息保護法》第二十三條規定的異同，尤其要注意提示個人向境外接收方行使本法規定權利的方式和程序等內容。

　　四、寫在最后

　　單獨同意是數據合規和個人信息保護的一項重中之重，正如前文所言，目前《個人信息保護法》并未對“單獨同意”的概念及其實施標準做出明確規定，從目前來看，個人信息主體在個人信息跨境傳輸、公共場所安裝監控或身份識別信息設備、敏感個人信息處理(如在線問診等產品)等領域，履行與落實單獨同意義務實仍有較大的改善空間，當然這無疑增大了合規的難度，颯姐團隊建議涉及到個人信息處理的企業務必增強相關合規意識，在自己的APP中明確告知用戶關鍵事項，保護用戶的重要權益，增強自身業務合規性。

　　作者介紹：

　　肖颯律師團隊，由北京大成律師事務所高級合伙人肖颯牽頭，在數字資產、數據合規、金融科技等民商事業務領域，以及刑事合規、反腐敗和反商業賄賂、網絡安全犯罪等刑事業務領域有豐富的法律服務經驗。

　　團隊負責人肖颯，系北京大成律師事務所高級合伙人，北京市律師協會數字經濟與人工智能領域法律專業委員會副主任、法學博士、仲裁員，擅長數據合規、數字經濟、刑事辯護、刑事合規、金融科技領域法律服務，曾代理國內NFT第一案二審、河南村鎮銀行系列案件，并為大型企業提供科技創新業務合規、金融創新業務合規法律服務。擔任北京大學法學院法律碩士研究生實踐指導老師、中國人民大學法學院法碩實務導師、中國政法大學法律碩士學院兼職導師等職務。榮登2023《中國知名企業法總推薦的律師》推薦名錄、2024《中國知名企業法總推薦的優秀律師&律所》推薦名錄年度客戶精選律師。