返回列表
人脸识别系列解读(三)丨个人信息处理的“单独同意”之适用 ——以人脸信息处理为例
2021-08-19

一、“单独同意”提出的背景

对于信息的收集和利用问题,从我国的《网络安全法》《民法典》到欧洲的《通用数据保护条例》(GDPR)再到美国的《加州消费者隐私权利法案》(CCPA)个人信息处理的规范机制中均涉及“告知同意”原则,要求数据处理主体在收集用户的个人信息之前,要告知用户并获得同意授权后方可进行数据处理活动。但是,随着技术发展,告知同意越来越囿于自身的固有缺陷:

一方面,越来越冗杂的用户协议侵蚀了信息主体的知情和同意理性基础,而信息的自动化和智能化处理技术的发展,使类似“无感”收集信息手段越来越普遍,它们往往在信息主体不知情的情况下便完成了用户信息的收集。

另一方面,技术的发展正在不断拓展个人信息的边界并使个人信息主体在受到侵害时可能遭受数倍于以往的损失。如人脸识别技术的大规模应用将我们与社会发生互动的最前端——人脸,这一生物特征信息数字化,为每个人打造了一副数字赛博格面庞,如果将其像普通信息一样隐藏于复杂晦涩的用户文本之中,那么将给个人信息造成巨大的风险敞口,不可避免地侵害信息主体的人格权益。

基于此,“告知同意”的适用至关重要,“单独同意”也正是在此时被推向了台前。

二、如何理解单独同意

1.立法中的“同意”

在对单独同意的含义进行分析前,我们先来简单了解一下我们的立法中规定了哪些同意的类型(不完全列举):

2.在立法中理解单独同意

可以看到,我国立法中的“同意”类型可谓是种类繁多,仅《个人信息保护法(草案)》(以下称“草案”)中就涉及“同意”、“单独同意”、“书面同意”三种类型,那么这些不同类型的“同意”如何区分?

a) 从文义解释的角度出发,“单独同意”中的单独一词,应是“独立的,不和别的合在一起的”,即该“单独”是指独立且明确的,没有混同其他信息的“专项同意”,与之对应的是实践中普遍存在的“概括同意”或称“一揽子同意”。

b) 书面同意是同意的一种方式,与之对应的是口头同意,通过书面、口头等方式的积极行为作出的授权都被视为明示同意;而通过消极的不作为而作出的授权则为默许同意。

c) 单独同意实际上可以认定是进行书面或者口头或者默许同意的一种方式,换句话说,每一种同意的形式都可以采取单独或者一揽子同意的方式进行。对于知情同意和明确同意则是对同意程度的实质要求,如果一般认为满足了“有效告知”这一形式要件后就可以被认定是达到了个人信息处理的前提条件,那么“知情同意”就是要求只有在信息主体达到实质知情的前提下,才可以进行个人信息处理活动,在此不再过多赘述。

d) 单独同意应该站在信息处理者的角度来考量,其实际上指的是个人信息处理者应当设法使信息主体对于某些特定的信息处理行为,表示一种独立且具有特定指向的同意,也可以认为是逐项同意,即《网络交易监督管理办法》中所表述的。

3.“无源之水”还是“顺势而为”?

单独同意似乎是一个在《草案》中首次提出的概念,国内无立法可参考,国外亦无经验可借鉴,但果真如此吗?

实际上,在国内法层面,已经于2021年5月1日生效的《网络交易监督管理办法》(国家市场监督管理总局令第37号)第13条第2款规定了“逐项同意”:“收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的,应当逐项取得消费者同意”。而在即将发布的《移动互联网应用程序个人信息保护管理暂行规定》的征求意见稿中也提到,在对敏感个人信息进行处理时,应当对用户进行单独告知,取得用户同意后,才可以进行处理活动。无论是逐项同意还是单独告知,其背后指向的均是在对待某些特殊类型的信息及其处理活动时,需要采取特定形式使用户对该事项投以针对性的关注,进而取得用户授权处理该个人信息,和《草案》中的单独同意并无根本性差异。

在域外层面,GDPR Recital 32认为如果数据处理活动涉及多种数据处理目的,那么每一个数据处理目的都应当取得数据主体的同意。1结合Recital 43的内容,对于个人数据处理的不同操作,应当征得数据主体的单独同意,如果未征得该单独同意,则推定同意不是自由给出的。2可以推断在欧盟层面同样有“单独同意”的要求。

同样,在第29条工作组2017年发布的关于“同意”这一事项的指南中指出,如果数据控制者将若干目的混为一谈,而且没有为每个目的来征求数据主体的单独同意,那么这种同意将被认为是非自愿作出的同意。当基于多种目的而进行数据处理时,保证颗粒度即分离这些目的并就每个目的获得单独同意才可被认为是获得了用户有效的同意。3

可以看到,不管是在我国现有法律规范还是GDPR中,均有关于征得信息主体“单独同意”的规定,问题在于,国内外立法均未对如何进行“单独同意”即“单独同意”的呈现方式作出更为细致的规定,接下来,本文将对此做一些简单的探讨研究。

三、单独同意应该如何进行

1.单独同意的底层逻辑

在缺乏法定实施细则的前提下,追寻最根本的立法目的,以该目的为指导探究可能的合规行为,是较为稳妥的方案。

单独同意是对告知同意规则的一个强化执行方案,所以我们首先对告知同意原则进行审视:

告知同意规则的基本含义是数据处理者在收集个人信息前,应向信息主体就有关个人信息收集、处理和利用的情况进行充分告知,并征得信息主体同意的规则。

告知同意并不旨在为信息主体创设一种独立的权利类型,它并非完全站在保护信息主体人格利益的角度来进行设置的,也并非是为信息主体构建积极的控制权,4它实际上是为了构建一种数据利用和人格权益保护之间的平衡,亦或者说是为了预防数据利用的消极后果,因为如果纯粹是出于个人信息保护的目的,只需一刀切式的禁止使用个人信息就好了,无需再绞尽脑汁地进行个人信息保护的立法工作。

也可以从营利为目的使用自然人肖像权的同意来理解,肖像权人对他人商业利用的同意,并非仅仅是出于对自身人格权利的消极保护,同时还暗含了通过合同授权许可使用其肖像中所承载的,可流通的财产性权益。5

告知同意的过程包含了三个要素,即“告知、知情、同意”,因此,告知同意的底层逻辑是通过形式上有效的告知,进而最大程度上确保信息主体的知情,最终获得处理该信息的授权同意,信息主体以同意授权为筹码和数据处理者进行博弈,最终达到一种人格权益保护和商业利用之间的平衡。

但是,如前所述,“告知同意”原则由于其内在的结构性缺陷导致“告知同意”的规则逐渐沦为一种无实质意义的形式要件,冗长的用户文本以及其带来的极高的阅读成本,使告知、知情、同意三要素中的知情逐渐被架空。但对于某些类似人脸识别信息的敏感个人信息而言,用户知情是进行信息处理的最低要求。那么如何再次在告知和同意之间衔接起“知情”的要件,便是立法者最为关注的事项。正是在这种背景下,“单独同意”被提出。

单独同意是一种特别形式的同意,要求信息主体被告知一切可能的信息处理风险,在“知情、明确、自愿”的基础上,取得信息主体具体同意。对于一般同意,在形式上并不一定针对一个具体的事项,可以是针对将来可能发生的信息处理行为概括的、一揽子的同意。6单独同意的逻辑是,从告知同意链条的末端即同意环节出发,通过对用户作出同意形式的严格要求,倒逼出信息主体的知情可能性。这种做法的有效性仍有待检验,但目前出现的一些执法案例似乎说明,仅仅是做到单独告知无法被认定为满足监管要求,不能被认定为信息主体能够充分对信息处理事项知悉,如宁波市市场监督管理局就在一起案件中(甬市监处〔2021〕18号)明确,仅仅是提示“您已进入视频监控区域”“本售楼处安装有人脸识别系统,用于进行分销带客识别,我们承诺保护您的人脸等信息安全”并不能认定构成有效的征集消费者同意的措施,该告知并非征求同意的过程,并未实际获得消费者的同意。7由此可推断,单独同意具有强烈的形式化要求,不能通过单独告知来推断实现了单独同意。

2.单独同意的典型操作

基于上述分析可以得知,单独同意的内在逻辑是为了以高度的形式化要求来满足“知情”这一实质要件,进而实现对诸如人脸识别信息等敏感信息以及对个人信息进行的某些特定处理行为提供增强式的保护,让个人更加充分地参与到个人信息处理的决策之中。而“单独同意”的对立面是“一揽子同意”,以此变可以推断出单独同意的原则性方向是满足知情、明确、自愿这三个要素。8

那么对应的信息处理方向应该是履行充分的告知义务、以单独且明晰的方式呈现、确保信息主体的主动勾选:

a) 设计单独的同意界面以确保单独性,将同意请求与其余的一般条款区分开,即需要通过设计诸如单独弹窗或者是逐一勾选“同意”项的方式来获取用户的逐项同意,且避免采用默认勾选的方式,应通过用户的主动勾选、手动确认等方式,以获得用户的明示同意(欧盟法院此前在Planet 49案件中就判定,网站采取“预先勾选”的复选框征得用户对于存储cookies的同意是无效的,同意必须是具体的,网站通过预先勾选的复选框并不能有效地构成“用户的同意”)。

另外,按照ICO的观点,应避免使用选择退出的选项,因为这是通过利用不作为来让更多人同意,是同意质量存在问题的明确警告信号,正确的做法应该是设置一个选择加入框或者提供其他的主动同意的选项:

b)设置专门的规则说明以满足知情性要求。该界面中应有特定页面告知用户关于对其人脸识别信息收集和处理的相关规则,且该规则不能包含其他与人脸识别处理不相关的内容。

c)应提供替代方式供用户选择以满足自愿性的要求,如用户可通过输入密码等方式继续使用服务功能,这一点是为了保证用户做出“同意”的自愿性。

d)设置拒绝选项,且该拒绝选项不应存在视觉误导,例如突出强调了接受而非拒绝选项,例如:

根据ICO的观点,上图中的选项设计是不符合要求的,因为拒绝和同意的选项明显不成比例。9

可参考ICO网站的设计:

以下是在微信小程序粤省事中设置人脸识别登录方式的操作界面,和上述操作要求是一致的:

a) 首先给予了可供选择的替代登录方式:

b) 人脸识别界面有单独的同意选项:

c) 用户协议中只包含了关于人脸识别信息处理的内容:

但相较于线下情景,线上情境中对用户进行选择的引导和释明的成本都较低,很容易满足单独同意这一形式要求,但在线下,由于我国现行法律规范中并未完全排除默许同意的合法性,但对于敏感个人信息而言,可以确定必须是征得信息主体的明示同意才可以进行10,那么,如何在一个公共场所中获得信息主体做出的明确且单独的同意,就是一个棘手的问题。

具体有如下几点建议:

a) 完成告知义务,可以参考《个人信息告知同意指南》附录D中的内容设置诸如明确的信息处理范围标示、张贴公开告示、并以设置链接、二维码、问询台等方式来保证用户对信息处理活动的知情。

b) 避免将人脸识别信息等敏感个人信息的收集处理区域设置在用户的必经区域,如正门、电梯门等处,否则将有强迫用户同意采集人脸识别信息之嫌。

c) 应设置可供选择的替代方案,以保障个人信息主体的选择权,满足“自愿”的要求。

实际上,针对类似人脸识别终端设备等线下场景中的敏感个人信息采集,有学者提出可引入一种“动态知情同意模式”,即在信息处理者和信息主体之间搭建一个高效动态同意平台,例如,通过“手机系统设置、统一用户中心或者加载在社交软件中的程序动态,及时披露公告附近人脸识别技术的细节,包括采集方式、处理目的、安全设置、存储时限、脱敏处理方式等等主体应当获知的信息”11用户可以选择在何时、以何种方式告知何种内容,并通过移动设备勾选同意选项。这一模式可以极大地保证信息主体做出同意时的知情、自愿和同意做出的独立性。但这只是学者的一家之言,是否会为立法所采纳,仍需继续观望。

鉴于《草案》以及《规定》目前尚未明确具体场景下的单独同意的实现方式,需等待后续出台的规定和指引作进一步明确,但可以推定未来的落地方案,仍然是以保证用户对特定类型信息的处理行为为轴心,围绕如何以高度的乃至于可量化的形式需求开展“单独同意”的落地工作,而这也将在很大程度上遏制诸如人脸识别技术在日常生活中的使用乱象,为处于个人信息保护的密林中的我们,指明冲出重围的方向

【引注】

1.If the data subject’s consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.

2.Recital 43 Freely given consent:Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance.

3.Guidelines on consent under Regulation 2016/679 3.1.3:If the controller has conflated several purposes for processing and has not attempted to seek separate consent for each purpose, there is a lack of freedom. This granularity is closely related to the need of consent to be specific, as discussed in section 3.2 further below. When data processing is done in pursuit of several purposes, the solution to comply with the conditions for valid consent lies in granularity, i.e. the separation of these purposes and obtaining consent for each purpose.

4.方禹:《数据价值演变下的个人信息保护:反思与重构》,《经贸法律评论》2020年第6期,第104页。

5.陆青:《个人信息保护中“同意”规则的规范构造》,《武汉大学学报》2019年第5期,第121页。

6.韩旭至:《个人信息保护中告知同意的困境与出路——兼论〈个人信息保护法(草案)〉相关条款》,《经贸法律评论》2021年第1期,第54页。

7.宁波融创金湾置业有限公司涉嫌侵害消费者依法得到保护的个人信息权利案(甬市监处〔2021〕17号http://nb.zjzwfw.gov.cn/zjzw/punish/frontpunish/detail.do?unid=330200012021030010&webid=16&guid=330200012021030010,最后访问时间2021年8月10日.

宁波杭州湾新区泛海置业有限公司侵害消费者依法得到保护的个人信息权利案,甬市监处〔2021〕18号

http://nb.zjzwfw.gov.cn/zjzw/punish/frontpunish/detail.do?unid=330200012021030011&webid=16&guid=330200012021030011, 最后访问时间2021年8月10日.

8.个人信息保护法第14条。

9.https://ico.org.uk/for-organisations/guide-to-pecr/guidance-on-the-use-of-Cookies-and-similar-technologies/

10.信息安全技术 公共及商用服务信息系统个人信息保护指南5.2.3、深圳经济特区数据条例18条。

11.石佳友,刘思齐,《人脸识别技术中的个人信息保护——兼论动态同意模式的建构》,《财经法学》,2021年第2期,第75页。

【图片来源】

1.https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/consent/how-should-we-obtain-record-and-manage-consent/

2.https://ico.org.uk/for-organisations/guide-to-pecr/guidance-on-the-use-of-Cookies-and-similar-technologies/

作者:候天赐

审稿:梁艳芬 李黎

(文中观点不代表北源律师事务所的观点或法律意见)

 

返回列表
人脸识别系列解读(三)丨个人信息处理的“单独同意”之适用 ——以人脸信息处理为例
2021-08-19

一、“单独同意”提出的背景

对于信息的收集和利用问题,从我国的《网络安全法》《民法典》到欧洲的《通用数据保护条例》(GDPR)再到美国的《加州消费者隐私权利法案》(CCPA)个人信息处理的规范机制中均涉及“告知同意”原则,要求数据处理主体在收集用户的个人信息之前,要告知用户并获得同意授权后方可进行数据处理活动。但是,随着技术发展,告知同意越来越囿于自身的固有缺陷:

一方面,越来越冗杂的用户协议侵蚀了信息主体的知情和同意理性基础,而信息的自动化和智能化处理技术的发展,使类似“无感”收集信息手段越来越普遍,它们往往在信息主体不知情的情况下便完成了用户信息的收集。

另一方面,技术的发展正在不断拓展个人信息的边界并使个人信息主体在受到侵害时可能遭受数倍于以往的损失。如人脸识别技术的大规模应用将我们与社会发生互动的最前端——人脸,这一生物特征信息数字化,为每个人打造了一副数字赛博格面庞,如果将其像普通信息一样隐藏于复杂晦涩的用户文本之中,那么将给个人信息造成巨大的风险敞口,不可避免地侵害信息主体的人格权益。

基于此,“告知同意”的适用至关重要,“单独同意”也正是在此时被推向了台前。

二、如何理解单独同意

1.立法中的“同意”

在对单独同意的含义进行分析前,我们先来简单了解一下我们的立法中规定了哪些同意的类型(不完全列举):

2.在立法中理解单独同意

可以看到,我国立法中的“同意”类型可谓是种类繁多,仅《个人信息保护法(草案)》(以下称“草案”)中就涉及“同意”、“单独同意”、“书面同意”三种类型,那么这些不同类型的“同意”如何区分?

a) 从文义解释的角度出发,“单独同意”中的单独一词,应是“独立的,不和别的合在一起的”,即该“单独”是指独立且明确的,没有混同其他信息的“专项同意”,与之对应的是实践中普遍存在的“概括同意”或称“一揽子同意”。

b) 书面同意是同意的一种方式,与之对应的是口头同意,通过书面、口头等方式的积极行为作出的授权都被视为明示同意;而通过消极的不作为而作出的授权则为默许同意。

c) 单独同意实际上可以认定是进行书面或者口头或者默许同意的一种方式,换句话说,每一种同意的形式都可以采取单独或者一揽子同意的方式进行。对于知情同意和明确同意则是对同意程度的实质要求,如果一般认为满足了“有效告知”这一形式要件后就可以被认定是达到了个人信息处理的前提条件,那么“知情同意”就是要求只有在信息主体达到实质知情的前提下,才可以进行个人信息处理活动,在此不再过多赘述。

d) 单独同意应该站在信息处理者的角度来考量,其实际上指的是个人信息处理者应当设法使信息主体对于某些特定的信息处理行为,表示一种独立且具有特定指向的同意,也可以认为是逐项同意,即《网络交易监督管理办法》中所表述的。

3.“无源之水”还是“顺势而为”?

单独同意似乎是一个在《草案》中首次提出的概念,国内无立法可参考,国外亦无经验可借鉴,但果真如此吗?

实际上,在国内法层面,已经于2021年5月1日生效的《网络交易监督管理办法》(国家市场监督管理总局令第37号)第13条第2款规定了“逐项同意”:“收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的,应当逐项取得消费者同意”。而在即将发布的《移动互联网应用程序个人信息保护管理暂行规定》的征求意见稿中也提到,在对敏感个人信息进行处理时,应当对用户进行单独告知,取得用户同意后,才可以进行处理活动。无论是逐项同意还是单独告知,其背后指向的均是在对待某些特殊类型的信息及其处理活动时,需要采取特定形式使用户对该事项投以针对性的关注,进而取得用户授权处理该个人信息,和《草案》中的单独同意并无根本性差异。

在域外层面,GDPR Recital 32认为如果数据处理活动涉及多种数据处理目的,那么每一个数据处理目的都应当取得数据主体的同意。1结合Recital 43的内容,对于个人数据处理的不同操作,应当征得数据主体的单独同意,如果未征得该单独同意,则推定同意不是自由给出的。2可以推断在欧盟层面同样有“单独同意”的要求。

同样,在第29条工作组2017年发布的关于“同意”这一事项的指南中指出,如果数据控制者将若干目的混为一谈,而且没有为每个目的来征求数据主体的单独同意,那么这种同意将被认为是非自愿作出的同意。当基于多种目的而进行数据处理时,保证颗粒度即分离这些目的并就每个目的获得单独同意才可被认为是获得了用户有效的同意。3

可以看到,不管是在我国现有法律规范还是GDPR中,均有关于征得信息主体“单独同意”的规定,问题在于,国内外立法均未对如何进行“单独同意”即“单独同意”的呈现方式作出更为细致的规定,接下来,本文将对此做一些简单的探讨研究。

三、单独同意应该如何进行

1.单独同意的底层逻辑

在缺乏法定实施细则的前提下,追寻最根本的立法目的,以该目的为指导探究可能的合规行为,是较为稳妥的方案。

单独同意是对告知同意规则的一个强化执行方案,所以我们首先对告知同意原则进行审视:

告知同意规则的基本含义是数据处理者在收集个人信息前,应向信息主体就有关个人信息收集、处理和利用的情况进行充分告知,并征得信息主体同意的规则。

告知同意并不旨在为信息主体创设一种独立的权利类型,它并非完全站在保护信息主体人格利益的角度来进行设置的,也并非是为信息主体构建积极的控制权,4它实际上是为了构建一种数据利用和人格权益保护之间的平衡,亦或者说是为了预防数据利用的消极后果,因为如果纯粹是出于个人信息保护的目的,只需一刀切式的禁止使用个人信息就好了,无需再绞尽脑汁地进行个人信息保护的立法工作。

也可以从营利为目的使用自然人肖像权的同意来理解,肖像权人对他人商业利用的同意,并非仅仅是出于对自身人格权利的消极保护,同时还暗含了通过合同授权许可使用其肖像中所承载的,可流通的财产性权益。5

告知同意的过程包含了三个要素,即“告知、知情、同意”,因此,告知同意的底层逻辑是通过形式上有效的告知,进而最大程度上确保信息主体的知情,最终获得处理该信息的授权同意,信息主体以同意授权为筹码和数据处理者进行博弈,最终达到一种人格权益保护和商业利用之间的平衡。

但是,如前所述,“告知同意”原则由于其内在的结构性缺陷导致“告知同意”的规则逐渐沦为一种无实质意义的形式要件,冗长的用户文本以及其带来的极高的阅读成本,使告知、知情、同意三要素中的知情逐渐被架空。但对于某些类似人脸识别信息的敏感个人信息而言,用户知情是进行信息处理的最低要求。那么如何再次在告知和同意之间衔接起“知情”的要件,便是立法者最为关注的事项。正是在这种背景下,“单独同意”被提出。

单独同意是一种特别形式的同意,要求信息主体被告知一切可能的信息处理风险,在“知情、明确、自愿”的基础上,取得信息主体具体同意。对于一般同意,在形式上并不一定针对一个具体的事项,可以是针对将来可能发生的信息处理行为概括的、一揽子的同意。6单独同意的逻辑是,从告知同意链条的末端即同意环节出发,通过对用户作出同意形式的严格要求,倒逼出信息主体的知情可能性。这种做法的有效性仍有待检验,但目前出现的一些执法案例似乎说明,仅仅是做到单独告知无法被认定为满足监管要求,不能被认定为信息主体能够充分对信息处理事项知悉,如宁波市市场监督管理局就在一起案件中(甬市监处〔2021〕18号)明确,仅仅是提示“您已进入视频监控区域”“本售楼处安装有人脸识别系统,用于进行分销带客识别,我们承诺保护您的人脸等信息安全”并不能认定构成有效的征集消费者同意的措施,该告知并非征求同意的过程,并未实际获得消费者的同意。7由此可推断,单独同意具有强烈的形式化要求,不能通过单独告知来推断实现了单独同意。

2.单独同意的典型操作

基于上述分析可以得知,单独同意的内在逻辑是为了以高度的形式化要求来满足“知情”这一实质要件,进而实现对诸如人脸识别信息等敏感信息以及对个人信息进行的某些特定处理行为提供增强式的保护,让个人更加充分地参与到个人信息处理的决策之中。而“单独同意”的对立面是“一揽子同意”,以此变可以推断出单独同意的原则性方向是满足知情、明确、自愿这三个要素。8

那么对应的信息处理方向应该是履行充分的告知义务、以单独且明晰的方式呈现、确保信息主体的主动勾选:

a) 设计单独的同意界面以确保单独性,将同意请求与其余的一般条款区分开,即需要通过设计诸如单独弹窗或者是逐一勾选“同意”项的方式来获取用户的逐项同意,且避免采用默认勾选的方式,应通过用户的主动勾选、手动确认等方式,以获得用户的明示同意(欧盟法院此前在Planet 49案件中就判定,网站采取“预先勾选”的复选框征得用户对于存储cookies的同意是无效的,同意必须是具体的,网站通过预先勾选的复选框并不能有效地构成“用户的同意”)。

另外,按照ICO的观点,应避免使用选择退出的选项,因为这是通过利用不作为来让更多人同意,是同意质量存在问题的明确警告信号,正确的做法应该是设置一个选择加入框或者提供其他的主动同意的选项:

b)设置专门的规则说明以满足知情性要求。该界面中应有特定页面告知用户关于对其人脸识别信息收集和处理的相关规则,且该规则不能包含其他与人脸识别处理不相关的内容。

c)应提供替代方式供用户选择以满足自愿性的要求,如用户可通过输入密码等方式继续使用服务功能,这一点是为了保证用户做出“同意”的自愿性。

d)设置拒绝选项,且该拒绝选项不应存在视觉误导,例如突出强调了接受而非拒绝选项,例如:

根据ICO的观点,上图中的选项设计是不符合要求的,因为拒绝和同意的选项明显不成比例。9

可参考ICO网站的设计:

以下是在微信小程序粤省事中设置人脸识别登录方式的操作界面,和上述操作要求是一致的:

a) 首先给予了可供选择的替代登录方式:

b) 人脸识别界面有单独的同意选项:

c) 用户协议中只包含了关于人脸识别信息处理的内容:

但相较于线下情景,线上情境中对用户进行选择的引导和释明的成本都较低,很容易满足单独同意这一形式要求,但在线下,由于我国现行法律规范中并未完全排除默许同意的合法性,但对于敏感个人信息而言,可以确定必须是征得信息主体的明示同意才可以进行10,那么,如何在一个公共场所中获得信息主体做出的明确且单独的同意,就是一个棘手的问题。

具体有如下几点建议:

a) 完成告知义务,可以参考《个人信息告知同意指南》附录D中的内容设置诸如明确的信息处理范围标示、张贴公开告示、并以设置链接、二维码、问询台等方式来保证用户对信息处理活动的知情。

b) 避免将人脸识别信息等敏感个人信息的收集处理区域设置在用户的必经区域,如正门、电梯门等处,否则将有强迫用户同意采集人脸识别信息之嫌。

c) 应设置可供选择的替代方案,以保障个人信息主体的选择权,满足“自愿”的要求。

实际上,针对类似人脸识别终端设备等线下场景中的敏感个人信息采集,有学者提出可引入一种“动态知情同意模式”,即在信息处理者和信息主体之间搭建一个高效动态同意平台,例如,通过“手机系统设置、统一用户中心或者加载在社交软件中的程序动态,及时披露公告附近人脸识别技术的细节,包括采集方式、处理目的、安全设置、存储时限、脱敏处理方式等等主体应当获知的信息”11用户可以选择在何时、以何种方式告知何种内容,并通过移动设备勾选同意选项。这一模式可以极大地保证信息主体做出同意时的知情、自愿和同意做出的独立性。但这只是学者的一家之言,是否会为立法所采纳,仍需继续观望。

鉴于《草案》以及《规定》目前尚未明确具体场景下的单独同意的实现方式,需等待后续出台的规定和指引作进一步明确,但可以推定未来的落地方案,仍然是以保证用户对特定类型信息的处理行为为轴心,围绕如何以高度的乃至于可量化的形式需求开展“单独同意”的落地工作,而这也将在很大程度上遏制诸如人脸识别技术在日常生活中的使用乱象,为处于个人信息保护的密林中的我们,指明冲出重围的方向

【引注】

1.If the data subject’s consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.

2.Recital 43 Freely given consent:Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance.

3.Guidelines on consent under Regulation 2016/679 3.1.3:If the controller has conflated several purposes for processing and has not attempted to seek separate consent for each purpose, there is a lack of freedom. This granularity is closely related to the need of consent to be specific, as discussed in section 3.2 further below. When data processing is done in pursuit of several purposes, the solution to comply with the conditions for valid consent lies in granularity, i.e. the separation of these purposes and obtaining consent for each purpose.

4.方禹:《数据价值演变下的个人信息保护:反思与重构》,《经贸法律评论》2020年第6期,第104页。

5.陆青:《个人信息保护中“同意”规则的规范构造》,《武汉大学学报》2019年第5期,第121页。

6.韩旭至:《个人信息保护中告知同意的困境与出路——兼论〈个人信息保护法(草案)〉相关条款》,《经贸法律评论》2021年第1期,第54页。

7.宁波融创金湾置业有限公司涉嫌侵害消费者依法得到保护的个人信息权利案(甬市监处〔2021〕17号http://nb.zjzwfw.gov.cn/zjzw/punish/frontpunish/detail.do?unid=330200012021030010&webid=16&guid=330200012021030010,最后访问时间2021年8月10日.

宁波杭州湾新区泛海置业有限公司侵害消费者依法得到保护的个人信息权利案,甬市监处〔2021〕18号

http://nb.zjzwfw.gov.cn/zjzw/punish/frontpunish/detail.do?unid=330200012021030011&webid=16&guid=330200012021030011, 最后访问时间2021年8月10日.

8.个人信息保护法第14条。

9.https://ico.org.uk/for-organisations/guide-to-pecr/guidance-on-the-use-of-Cookies-and-similar-technologies/

10.信息安全技术 公共及商用服务信息系统个人信息保护指南5.2.3、深圳经济特区数据条例18条。

11.石佳友,刘思齐,《人脸识别技术中的个人信息保护——兼论动态同意模式的建构》,《财经法学》,2021年第2期,第75页。

【图片来源】

1.https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/consent/how-should-we-obtain-record-and-manage-consent/

2.https://ico.org.uk/for-organisations/guide-to-pecr/guidance-on-the-use-of-Cookies-and-similar-technologies/

作者:候天赐

审稿:梁艳芬 李黎

(文中观点不代表北源律师事务所的观点或法律意见)