《网数条例》与个人信息跨境纠纷第一案的启示：合理适格的“告知-同意”机制设计

作者： 陈沛 | 王筱东

审校：赵欣瑶

一、设计“告知-同意”机制的重点

“告知-同意”机制是《个人信息保护法》（简称“个保法”）提出的有关个人信息处理的核心制度：“告知”是个保法项下保障个人知情权的前提，“同意”则是目前企业在业务活动中选择最多的处理个人信息的合法性基础。一般来说，“告知”是“同意”的必要条件，有效的“同意”的前提必定是一个形式与内容都合格的“告知”。

（一）“告知”的要求

1. “告知”的适用与豁免

我国个保法基于信息处理公开透明的原则，对于企业的个人信息处理活动采取了以“事前告知为原则，无需告知或事后告知为例外”的基本准则。以下为“告知”的三种情形：

合规提示 ：企业应根据自身的业务场景和性质，首先确定相关的个人信息处理活动是否适用“告知”义务，并结合具体情形开展告知合规的规划实施。 值得注意的是，“告知”并不与“同意”唯一绑定，在选择了个保法第13条中“同意”以外的合法性基础后，并不意味着告知义务的消失。 例如，开展零售业务的金融机构为履行反洗钱等法定义务而处理、上报客户的身份资料和交易信息，即便该行为不需要获得客户本人的同意，也应将相关的处理规则事前告知客户。

2. “告知”的内容与方式

合规提示 ：上述告知事项和方式仅是法律法规层面提出的底线内容，实践中，主管部门的监管政策文件（例如工信部26号文《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》）、推荐性国标亦有可能会提出更为细化的义务履行要求。而企业在TO C业务开展过程中，也需要结合具体业务情形选择一般告知（如最为常见的隐私政策）、增强告知（弹窗、站内信、悬浮窗、提示框、短信、授权书等）的形式妥善履行告知义务，并对告知事项做出更为精细的划分（例如从技术角度区分通过设备权限、第三方SDK、Cookies及同类技术采集个人信息的情况；对于用户各类权益的行权方式提供更为明确和便捷的操作路径）。另外，对于告知的界面、内容展示方式、告知的时机与频率等，推荐性国家标准《信息安全技术 个人信息处理中告知和同意的实施指南（GB/T 42574-2023）》提供了有益的指导，企业在TO C场景中实施告知时可以充分借鉴参考。

3. “告知”的颗粒度要求

法律层面并没有对“告知”颗粒度明确规定，但是，在个保法要求“告知应真实、准确、全面”的语境下，监管部门和司法部门对于企业告知的颗粒度是否足以支撑“公开透明原则”以及能否有效保障“用户的知情权”会有特别的执法考量和司法评价，实践中不同行政执法和司法裁判中对“适格”“告知”的认定标准存在些许差异。

在广互法院案中，法院分别给出了“告知”“同意”在本案具体场景中的司法解读，认为在办理会员与预订境外酒店的过程中，酒店方在APP中呈现的《客户个人数据保护章程》属于一揽子的笼统告知，即一般告知。该章程在近两万字的篇幅中也未能使个人信息主体清楚理解个人信息跨境转移的核心事项（例如接收方主体身份、地域和人员范围），因此未达到个保法项下公开透明的告知原则。用户在一个不符合法律要求的“告知”下对章程采取点击勾选的动作，不发生“同意”的法律效力。进一步，法院归纳，对于需要增强告知同意的场景，基于仅通过隐私政策实施的不适格“告知”，不具备构成“单独同意”所需的告知的法律效力。

合规提示 ：“告知”与“同意”虽联系紧密，但在法律与实践中对两者有着不同的实施要求。司法视角下如未根据具体场景配备合适的告知，即使用户在后续主动做出了勾选、点击确认等动作，亦可能不具备“同意”的法律效果，进而影响甚至否定企业处理个人信息行为的合法性基础，产生违法后果。

本案提示我们， 作为个人信息处理者的企业应抛弃“一部隐私政策可安天下”或者“来自海外总部符合GDPR标准的隐私政策大概率也可以符合国内的法律要求”的过时思维，应树立场景化的思维，分析采取“一般告知+增强告知”两步走的策略，在特定业务场景触发时（例如个保法要求获取单独同意的几类场景、开展自动化决策或发送个性化营销信息、调用软件程序或硬件设备自动采集个人信息）通过弹窗、专门界面、单独步骤等增强告知的方式向用户精准、有效传达告知内容 。当然，这一机制的实现有赖于企业内部法务、产品、业务、技术等职能部门的协同与合力。

另外，对于隐私政策的撰写，法院在司法审查中也提出了较高的要求。企业在修订隐私政策时应特别注意内容的真实、完整、准确，尽量避免诸如“可能发生”这类模棱两可的描述、非穷尽式列举信息项或信息处理者/接收方等，造成“写者不知所云，读者云雾缭绕”的情况。

（二）“同意”与其他合法性基础

1. “同意”与其他合法性基础的选择

个保法第13条确立了个人信息处理的几类法律根据，在实践中得到广泛运用。其中，“取得个人的同意”作为个人信息处理者可处理个人信息的基本情形，在整个个人信息处理规则中处于核心地位。不过，个保法仍将“订立或履行合同所必需”、“人力资源管理所必需”、“履行法定职责和法定义务所必需”等几类法定理由作为合法性基础且并列加以规定。 可见这几类合法性基础与“同意”共同构成处理个人信息的法律根据，彼此地位平等，且无适用方面的先后顺序之分。因此，企业可以依据自身业务特点自由选择最为贴切的合法性基础，而不必凡事都先去/必须征求用户的同意。 当然，立法对于“同意”之外的每一类合法性基础的适用条件均设定了明确的适用条件限制（例如处理公开的个人信息必须在“合理范围”之内、“履行合同所必需”限定个人信息主体作为合同的当事一方），如超越了适用条件限制，则仍可能动摇合法处理个人信息的基石。

新发布的《网数条例》在合法性基础方面未做细化规定和提供补充情形，但在广互法院案中，司法机关在案件中探讨了“同意”与“履行合同所必需”两类合法性依据的适用条件和关系，确立了“合同所必需”规则的司法审查标准/示范，值得业界参考。

在该案中，法院认为原告消费者与被告酒店方就酒店预订建立了合同关系，酒店将原告的个人信息传输至目的地缅甸的酒店以及传输至位于法国总部的酒店中央预订系统，行为具有正当性和必要性，符合合同目的。但是将原告的个人信息另传输至位于美国和爱尔兰的某公司且用于营销传播目的，该单独行为不能认定是履行合同的必要，应另行取得用户同意。

合规提示 ：在TO C业务场景中，企业通常会与消费者建立某一服务关系并订立服务合同。基于合同的订立和履行，企业得以直接处理消费者的个人信息而无需征得其同意。 但需注意，“履行合同的必需”是客观上的必需，这个必要性应基于合同目的来判断，也要符合合同相对人、社会公众的合理期待和行业惯例，这个观点已经得到了多起司法判例的印证。例如，法院通常会从处理目的、处理方式、处理的信息类型范围、接收方的国家和主体身份、是否符合行政规定及行业标准、是否是行业惯例等维度进行审查。 另外，基于个人信息的商业营销、定向推送等行为通常不被行政机关和司法机关采纳为“履行就具体业务而签订的合同所必需”，实践中往往要求企业就单一行为独立获得用户的同意（例如单独的同意营销勾选框），企业在开展这一类用户触达活动时应考虑设计便利且行之有效的事前同意机制和退出机制。

2. “同意”、“单独同意”及实施

个保法提出了“同意”“单独同意”的概念，但未提供相关定义及彼此关系的说明，导致产业界在较长一段时间中无所适从。但近两年来，随着行政和司法领域经验的积累以及相关国标指引的陆续出台，尤其是，《网数条例》给出了“单独同意”的明确定义及广互法院案对于“单独同意机制”的分析，这一问题将趋向共识。根据当下的司法裁判实践，可以归纳为以下两点：

（1）单独同意是指个人针对其个人信息进行特定处理而专门做出具体、明确的同意行为，这与勾选隐私政策这类一次性针对多种目的或方式的个人信息处理活动做出的同意显然不同。 实践中一个有效的单独同意意味着先行的单独告知/增强告知，其本质在于企业需要用非常鲜明、突出的方式来提示个人信息主体，使个人信息主体充分关注告知内容后经认真慎重考虑做出决定；

（2）脱离告知同意的规则框架讨论单独同意没有意义，单独同意是同意的一种，是同意的增强形式，与同意是包含与被包含关系而非并列关系。 如果企业处理个人信息依赖的合法性基础不是“同意”，则无需进一步考虑是否适用“单独同意”。

就单独同意的适用范围，个保法已经规定得很明确，在此不再赘述。而就单独同意的具体实施方式，市场实践提供了许多有益经验，例如：保险公司制定专门的敏感个人信息处理授权书，由投保人阅读并勾选/签字的方式获得单独同意；OTA企业在消费者预订国际酒店和机票的下单页设置个人信息出境告知函来获得消费者的单独同意；电商APP通过弹窗形式获得用户关于收集人脸信息进行刷脸支付的单独同意；两家品牌方进行交叉营销时会通过交互页面提示用户对共享个人信息进行单独同意……这些实施方式不与隐私政策或服务条款相捆绑或混同，而是就具体的目的和业务功能进行单独告知，用户对此能够做出具体且独立的选择，因此是有效的单独同意。

合规提示 ：值得注意的是，实践中还有一类“变相”的单独同意获取方式被企业广泛使用，即某些企业通常会在注册登录页的用户协议和隐私政策下方单设一个勾选框，载明类似“ 我已充分知悉并同意xx公司将按《xx隐私政策》所述跨境传输我的个人信息 ”的内容，并要求用户勾选这一句话后才可以注册登录，但未按照个保法第39条的要求突出告知相关事项。对于这类交互方式能否达到立法和监管所设立的“单独同意”的标准，或者被司法裁判所接纳，根据当前的实践而言，我们持谨慎保留态度。

整体而言，有关单独同意的定义、实施要求已越发明朗，后续可能会成为监管执法重点。我们建议有关企业在TO C业务场景中如涉及需要获得单独同意的情形，应及早合理规划，形成一套既能满足合规要求又能照顾业务和用户体验的最优方案。

二、对“告知-同意”机制的检验

上述是我们总结的关于企业在设计“告知-同意”机制的考量因素和建议，那么如何检验“告知-同意”机制的有效性？站在个人信息处理者的角度，我们认为PIA和合规审计是个保法提供的两条可选路径：

（一）方式一：是否开展了特定场景下的PIA？

个人信息保护影响评估（PIA）属于在数据处理前的预防性保护手段，主要针对那些对于个人权益可能造成较高风险的个人信息处理活动展开。企业采集敏感个人信息、向第三方共享个人信息、向境外传输个人信息等场景中可以借助PIA机制来评估处理目的、处理方式是否合法、正当和必要，是否已经充分履行了告知义务并获得了符合要求的用户同意（或其他合法性基础）。通过对具体评估项的拆解分析，可以在业务前端就识别风险、填补漏洞，最大程度避免因为缺乏合法性要件而构成违法处理个人信息的侵权风险。

（二）方式二：是否已筹备开展个保合规审计？

定期自行或委托第三方专业机构开展合规审计也是检验和校正“告知-同意”机制的一类有效方法，亦是个保法对所有个人信息处理者提出的法定义务。相较于PIA机制，合规审计强调的是在数据处理后通过对告知同意机制的回溯和分析，来验证个人信息处理活动的合法性、确认是否产生侵权行为及是否会导致法律责任等。现阶段，企业可以参考国家网信办发布的《个人信息保护合规审计管理办法（征求意见稿）》所列举的合规审计参考要点和推荐性国标《数据安全技术 个人信息保护合规审计要求（征求意见稿）》的指导，开展个保合规审计工作，以初步识别合规差距并设计改进方案。

以上是我们就“告知-同意”机制做的一些思考，希望对企业开展个人信息处理业务有所裨益。基于这一思考，我们也形成了一些具体实施方案，欢迎有兴趣的各位与我们进行深入探讨。