對同意的理解

　　目前，《個人信息保護法》《數安條例》同時使用了同意和單獨同意的術語。先看同意這個術語。《個人信息保護法》中第一次出現該術語是在第十三條。

　　第十三條 符合下列情形之一的，個人信息處理者方可處理個人信息：

　　（一）取得個人的同意；

　　（二）為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；

　　（三）為履行法定職責或者法定義務所必需；

　　（四）為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；

　　（五）為公共利益實施新聞報道、輿論監督等行為，在合理的范圍內處理個人信息；

　　（六）依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；

　　（七）法律、行政法規規定的其他情形。

　　依照本法其他有關規定，處理個人信息應當取得個人同意，但是有前款第二項至第七項規定情形的，不需取得個人同意。

　　對十三條的理解和解釋，可見【中國個人信息保護立法 | 合同所必需：魔鬼在細節之中】，以及【過度收集個人信息如何破解】等。

　　在實踐中，個人信息處理者如何設計產品界面，以遵循第十三條的要求？公號君提出如下建議：

　　1、個人同意，同意的對象是對具體類型的個人信息的處理活動。實現形式是：

　　相當于說，同意的對象，是個人信息類型，以及對個人信息類型的處理規則。

　　2、“訂立、履行個人作為一方當事人的合同所必需”（以下簡稱“依合同所必要”），這時候個人選擇的具體的業務或者服務。一旦個人選擇了具體的業務或服務，也就是認為與個人信息處理者訂立了合同。相應地，業務或服務實現所必需的個人信息（即必要個人信息），也就無需個人同意。對這些個人信息的處理也就成為題中之意。具體如下：

　　由于現實中，很多APP同時提供了多種業務或功能，其與個人交互界面的邏輯應當是：

　　在上圖中，對（基本和拓展）業務功能的選擇，合法性基礎應當是依合同所必要。對于非必要個人信息，合法性基礎是個人的同意。

　　對單獨同意的理解

　　單獨同意，是對應當使用同意作為合法性基礎的場景的一個增強性要求。現對這兩部法律法規中的包含“單獨同意”的條款，做比較分析。

　　《個人信息保護法》《數安條例》

　　第十四條 基于個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的，從其規定。

　　第二十三條 個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。接收方變更原先的處理目的、處理方式的，應當依照本法規定重新取得個人同意。

　　第二十五條 個人信息處理者不得公開其處理的個人信息，取得個人單獨同意的除外。

　　第二十六條 在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定，并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的，不得用于其他目的；取得個人單獨同意的除外。

　　第二十九條 處理敏感個人信息應當取得個人的單獨同意；法律、行政法規規定處理敏感個人信息應當取得書面同意的，從其規定。

　　第三十九條 個人信息處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項，并取得個人的單獨同意。

　　第十二條 數據處理者向第三方提供個人信息，或者共享、交易、委托處理重要數據的，應當遵守以下規定：

　　（一）向個人告知提供個人信息的目的、類型、方式、范圍、存儲期限、存儲地點，并取得個人單獨同意，符合法律、行政法規規定的不需要取得個人同意的情形或者經過匿名化處理的除外；

　　第二十一條 處理個人信息應當取得個人同意的，數據處理者應當遵守以下規定：

　　（一）按照服務類型分別向個人申請處理個人信息的同意，不得使用概括性條款取得同意；

　　（二）處理個人生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等敏感個人信息應當取得個人單獨同意；

　　第三十六條 數據處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外數據接收方的名稱、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外數據接收方行使個人信息權利的方式等事項，并取得個人的單獨同意。

　　收集個人信息時已單獨就個人信息出境取得個人同意，且按照取得同意的事項出境的，無需再次取得個人單獨同意。

　　第四十九條 互聯網平臺運營者利用個人信息和個性化推送算法向用戶提供信息的，應當對推送信息的真實性、準確性以及來源合法性負責，并符合以下要求：

　　（一）收集個人信息用于個性化推薦時，應當取得個人單獨同意；

　　單獨同意是指數據處理者在開展具體數據處理活動時，對每項個人信息取得個人同意，不包括一次性針對多項個人信息、多種處理活動的同意。

　　數安條例明確了單獨同意的含義，用下圖表示：

　　即在《個人信息保護法》和《數安條例》列明的情形中，每一項個人信息，個人均應當能單獨對同意與否做出選擇。

　　針對個性化推薦的單獨同意

　　當將單獨同意的對象理解為信息時，可以存在一個類型信息，用于多個處理目的，此時，征求的是個人對“這個信息類型用于多個目的”的同意。從《個人信息保護法》的行文中，讀不出對這樣征求單獨同意方式的禁止。

　　但在數安條例中，對單獨同意做了很嚴格的界定，即“對每項個人信息取得個人同意，不包括一次性針對多項個人信息、多種處理活動的同意”。對這句話可以有兩種理解方式：一是不得一次性針對多項個人信息征得同意；二是不得一次性針對單項個人信息的多項處理活動征得同意。如果采取第一種理解，則前述的“一個類型信息，用于多個處理目的”可以存在。

　　但如果采取第二種理解，則一個信息必須對應于一個目的，同一個信息對于不同目的，也必須分開征求個人同意。如下圖所示：

　　圖片

　　在數安條例中，還出現了一處具體實例——即對信息類型和具體目的同時做出限定。其第四十九條中，明確提出“收集個人信息用于個性化推薦時，應當取得個人單獨同意”。

　　如此理解的話，將是對單獨同意最為嚴格的理解，現實中需要用戶主動勾選、點擊同意的情況將會很多。如何平衡用戶體驗和個人控制權，將是個難題。（完）