91精品国产99久久久久久红楼,欧美高清另类,欧美日韩中文在线观看,久久激情精品,91视频导航,亚洲欧美日韩一级,巨人精品福利官方导航

    2023年5月23日，國家標準化管理委員會和國家市場監(jiān)督管理總局聯(lián)合發(fā)布了《信息安全技術 個人信息處理中告知和同意的實施指南》（GB/T 42574-2023）（以下簡稱“《實施指南》”），并將于2023年12月1日起正式實施。在前一期的解讀文章中，我們詳細介紹了同意實施的基本規(guī)則。在本文中，我們將重點關注單獨同意和書面同意這兩種類型，并結合不同場景進行分析，探討在不同處理活動中這兩種同意實施的具體要求。

一、單獨同意

  “單獨同意”是指個人針對其個人信息進行特定處理而專門作出具體、明確授權的行為。與之相對的概念是“一攬子同意”，即個人通過一次授權操作（例如在交互界面上主動勾選同意選項）來同意多種目的或方式的個人信息處理活動。在告知-同意規(guī)則中，單獨同意的實施一直是關注的重點，下面將對單獨同意取得場景以及實施要點進行介紹。

（一）哪些情形需要取得單獨同意？

  根據(jù)《實施指南》的規(guī)定，個人信息處理者應形成執(zhí)行單獨同意的清單，并根據(jù)法律法規(guī)和處理活動的變化以及有關投訴、舉報情況，不斷更新清單內容。我們根據(jù)《個人信息保護法》（以下簡稱“《個保法》”）的規(guī)定，梳理出如下需獲得單獨同意的情形。

   除了上述法律法規(guī)明確要求采取單獨同意的情形外，《實踐指南》還補充規(guī)定了一項情形，即可能對個人權益帶來重大影響的個人信息處理活動也需要征得個人的單獨同意。實踐中，利用個人信息對個人信用、績效評定、交易價格等方面進行的自動化決策，如對自然人的人格尊嚴、人身和財產的安全造成重大影響的，一般被認為是“對個人權益有重大影響的個人信息處理行為”。所以，在前述情況下，還需要獲得個人的單獨同意。

（二）通用實施要點

   首先，為了確保單獨同意的有效性，個人信息處理者應采取增強告知和明示同意的方式。在個人作出單獨同意之前，個人信息處理者應當針對需要取得單獨同意的情形，專門向個人充分說明相關事項。同時，《實施指南》明確規(guī)定，單獨同意必須以明示同意的方式獲得，任何推定同意或默示同意都不構成單獨同意。

   以APP或小程序采集人臉信息為例，個人信息處理者可通過創(chuàng)建專門界面向個人告知其個人信息處理規(guī)則或個人信息保護政策，主動提示個人閱讀相關規(guī)則。只有在個人主動勾選并點擊“授權同意”的情況下，APP或小程序才能繼續(xù)下一步操作。

（圖片來源：“蒙速辦”微信公眾號）

  其次，對于需要單獨同意的特定業(yè)務功能，個人信息處理者可采用單獨的交互式界面或紙質頁面向個人告知相關信息。如果涉及到多個需要獲得單獨同意的情形，可向個人提供可分項選擇同意（如勾選、點亮等）的機制。在個人作出分項選擇的同意前，不得以默認勾選、淡化字色、縮小字號等方式影響個人作出判斷。

   最后，單獨同意所針對的處理活動必須具有具體且獨立的目的或業(yè)務功能，不得與其他處理活動相捆綁或混淆在同意事項中。關于“一攬子同意”和“單獨同意”的區(qū)別，《實踐指南》給出了三個示例：（1）個人點擊或勾選同意產品或服務的個人信息保護政策，不構成針對具體個人信息處理活動的單獨同意；（2）個人對具體個人信息處理活動給出單獨同意時，如要求個人同意該處理活動所必需的服務協(xié)議的，視為獲得單獨同意；（3）針對同一個處理目的或同一業(yè)務功能同時處理多項個人信息字段的情況，如果在逐項拆分字段后無法達成處理個人信息的目的或無法實現(xiàn)該業(yè)務功能，那么可以一次性告知個人并取得其對多項字段處理的單獨同意，這種情況下不視為一攬子取得同意。

（三）具體場景下的實施要點

  1. 提供個人信息

  《實施指南》在《個保法》第23條的基礎上進一步規(guī)定，當個人信息處理者需要向多個其他個人信息處理者提供個人信息時，如果提供的目的、方式、種類等是一致的，并且提供過程是同時或在同一場景中發(fā)生的，那么可以在告知內容中逐一列舉接收方的身份和聯(lián)系方式，由個人一并進行同意。

  實踐中，個人信息處理者可能需要向多個第三方提供個人信息主體的部分信息，以實現(xiàn)一鍵登錄、用第三方賬號登錄或使用第三方支付等功能。在此場景中，個人信息處理者可以在隱私政策中逐一列舉接收方的相關信息，并由個人一并同意。

（來源：美團隱私政策）

   需要注意的是，如果產品或服務中需要接入第三方代碼、插件，那么個人信息處理者應當在取得個人單獨同意之前，阻止相關代碼、插件自動運行收集個人信息。這樣做是為了確保個人信息的安全和隱私得到充分尊重和保護。

2. 公開個人信息

  《實踐指南》對《個保法》中公開情形下取得單獨同意的具體實施要求進行了細化，主要從發(fā)布和刪除兩個環(huán)節(jié)進行把控。

  在發(fā)布環(huán)節(jié)，個人信息處理者在公開其處理的個人信息前，需要履行以下兩個義務：首先，向個人告知所公開個人信息的種類、公開的目的、方式、范圍，可能對個人產生的不利影響以及個人的權利；其次，向個人提示公開的范圍。如果公開對個人權益影響較大的，可與個人進一步主動取得聯(lián)系并告知相關處理規(guī)則和公開產生的影響，在個人完全知情的情況下取得個人單獨同意。如果是個人主動選擇公開其個人信息的（包括社交軟件下記錄的信息），個人信息處理者應當允許個人在發(fā)布信息之前能夠自由選擇信息的公開范圍，并且不得自動設定為向所有不特定用戶公開的選項，同時提示個人注意其公開的范圍。

  在刪除環(huán)節(jié)，除法律法規(guī)另有規(guī)定外，如果個人自行決定撤回之前已向公眾公開的信息，與公開渠道相關的個人信息處理者有義務采取適當?shù)拇胧﹦h除已公開的個人信息，例如斷開鏈接或刪除信息發(fā)布記錄等。對于其他個人信息處理者獲取到此前已公開的個人信息的情況，個人有權要求其進行刪除。

3. 公共場所收集信息用于維護公共安全之外的目的

  根據(jù)《個保法》的規(guī)定，在公共場所收集個人圖像和身份識別信息只能出于維護公共安全的需要。如果需要將相關信息用于維護公共安全以外的其他目的，個人信息處理者應當向個人告知其個人信息處理規(guī)則，并取得個人的單獨同意。例如，在公共場所收集個人圖像以進行身份驗證、打卡考勤的場景中，個人信息處理者可通過引導個人掃描二維碼等方式了解相應個人信息處理規(guī)則后，要求其點擊“同意”選項進行授權。

  當個人信息用于維護公共安全以外的其他目的時，如果涉及到多人的個人信息，個人信息處理者應當在處理前逐一告知每個人其個人信息的處理目的，并取得所有個人的單獨同意。如果多人共同簽署同一個授權文件的，亦可視為取得了單獨同意。但值得注意的是，經過匿名化處理的信息（例如對畫面中的人臉信息等進行局部輪廓化處理）無需獲得單獨同意。這是因為經過匿名化處理后，個人信息無法直接或間接地與特定個人進行關聯(lián)。

4. 處理敏感個人信息

  首先，個人信息處理者除了履行必要的告知義務外，還應注意在向個人提供選項時，不得提前預選選項，不得對個人的選擇進行不當干預。如果需要通過個人主動填寫來獲得對敏感個人信息的單獨同意，個人信息處理者可以通過在獨立的區(qū)域或界面設置勾選、點擊、填寫框等互動操作，以引導個人主動作出肯定性的動作。

  其次，《實施指南》還提供了針對敏感個人信息“一次性取得單獨同意”的優(yōu)化路徑供個人信息處理者選擇：

  （1）為實現(xiàn)某一特定目的需要同時處理多項敏感個人信息的，可一并告知并一次性取得個人單獨同意。例如，個人信息處理者為了提供網約車服務而需要收集用戶姓名、手機號碼、位置信息、錄音錄像信息和位置軌跡等信息的，可以通過同一個彈窗就需要收集的多項字段一并告知個人并取得其單獨同意，對于其中的“位置信息”“錄音錄像信息”和“位置軌跡”應標識為“敏感個人信息”。

（來源：嘀嗒平臺隱私政策）

  （2）為實現(xiàn)特定目的而處理敏感個人信息，同時還涉及收集、使用、提供等多個處理活動或涉及多個主體，且多活動或多主體無法拆分的，可一并告知并一次性取得個人單獨同意。例如，個人信息處理者在使用其他個人信息處理者的人臉識別技術進行身份鑒別時，需要收集個人的人臉識別信息并提供給其他個人信息處理者，可以一并告知個人收集和提供的情況，并一次性取得個人的單獨同意。

  最后，在未成年人個人信息保護方面，《實施指南》提出個人信息處理者可以根據(jù)產品或服務的目標人群情況采取合理的技術措施來核實用戶的年齡。如果確認用戶為不滿14周歲的未成年人，可以采取未成年人難以繞過的方式引導他們向其監(jiān)護人轉達告知，并取得監(jiān)護人的單獨同意。例如，個人信息處理者可以設置獨立的界面，要求用戶提供監(jiān)護人的聯(lián)系方式，并采取高強度的方式進行監(jiān)護人身份鑒別，如要求提供身份證信息、短信回復特定字段或進行人臉識別等。為了確保身份鑒別的有效性，個人信息處理者可以采用多種并行的措施，以避免僅因一種驗證模式失效（如無法接收驗證碼）而導致產品或服務無法使用的情況發(fā)生。

5. 向境外提供個人信息

  在個人信息出境場景下，《實施指南》明確規(guī)定了兩種視為個人作出單獨同意的情況。首先，如果個人在自行了解境外接收方所公布的個人信息處理規(guī)則后，主動通過郵件、短信、點擊啟動服務、在線提交信息或直接確認等方式向境外接收方發(fā)送涉及其個人信息的內容，可以被視為作出了單獨同意。其次，個人信息處理者如果在收集個人信息時已經事先單獨就個人信息出境取得個人同意，在滿足出境其他條件的前提下，后續(xù)的出境行為就不需要再次取得個人的單獨同意。

二、書面同意

  （一）哪些情形需要取得書面同意？

“書面同意”是指以書面形式取得的個人同意。根據(jù)《民法典》第469條，書面形式是合同書、信件、電報、電傳、傳真等可以有形地表現(xiàn)所載內容的形式。以電子數(shù)據(jù)交換、電子郵件等方式能夠有形地表現(xiàn)所載內容，并可以隨時調取查用的數(shù)據(jù)電文，視為書面形式?！秱€保法》中提到“法律、行政法規(guī)規(guī)定處理個人信息應當取得個人書面同意的，從其規(guī)定”，而該法本身并未明確個人信息處理者需以書面形式征得個人同意的具體情形。

  基于此，《實施指南》對需要獲得書面同意的場景進行了詳細闡述，主要可分為兩類：一是法律法規(guī)明確規(guī)定必須采取書面同意的情形，具體場景請見下表；二是評估后認為需要進行增強存證、存檔或加強證據(jù)固定效果等的個人信息處理活動。

（二）書面同意的實施要點

  首先，在轉委托場景中，《個保法》規(guī)定未經個人信息處理者同意，受托人不得轉委托他人處理個人信息?！秾嵤┲改稀愤M一步明確，此處的同意是指書面同意，即個人信息處理者需通過主動簽名、簽章等行為明確表示同意后，受托人才可以將個人信息轉委托給其他個人信息處理者。

  其次，書面同意只能以文字形式明確表達。根據(jù)《實施指南》的要求，個人信息處理者不能通過個人點擊確認、點擊同意、上傳提交、登錄使用或配合拍照等表示同意的方式取得個人的書面同意。相反，個人信息處理者只能選擇文字形式的明示同意機制來取得個人的書面同意。個人信息處理者也可以根據(jù)個人使用習慣、產品或服務的特點等設計具體的書面同意操作方案。

  最后，如果個人信息處理者需要同時取得個人書面同意和單獨同意，可以在書面同意的基礎上設計單獨同意的機制。