赛博观点|GDPR与我国《个人信息保护法》体系下告知同意规则的异同

前言

告知同意规则是个人信息保护体系中最重要的规则之一，我国《个人信息保护法》将告知同意作为处理个人信息的一般前置条件，要求处理者在处理个人信息前应当履行告知义务并取得个人的自愿明确同意。此外，我国还发布国标GB/T 42474-2023《个人信息处理中告知和同意的实施指南》对于告知同意的具体实施规则进行了进一步明确。同样的，欧盟《通用数据保护条例》（GDPR）也强调告知同意在个人数据处理中的重要性，更于2020年通过了《对第2016/679号条例（GDPR）下同意的解释指南》（《EDPB同意指南》），细化了告知透明度和有效同意标准的具体规定。

GDPR与我国《个保法》体系在告知同意规则方面有许多相同的要求，但也存在部分差异，本文将就其异同点进行分析阐述，旨在帮助跨国企业或出海欧盟的企业更好应对当前持续增强的数据合规监管要求，有效控制企业运营中的个人信息合规风险。

一、GDPR与我国《个人信息保护法》告知同意规则的差异

获取同意的具体化程度差异

►GDPR规定：

GDPR和我国《个人信息保护法》体系中对于获得个人同意的具体化程度存在一定差异，相较而言，GDPR及其相关规定中对于同意的具体程度要求更高。GDPR第6条中规定，个人数据处理的合法性基础之一是数据主体已经同意数据控制者基于一项或多项目的对其个人数据进行处理，这一规定已体现出GDPR对多个数据处理目的的区分要求。此外，《EDPB同意指南》中进一步指出“有效的同意”的应当是一种“具体、细化的同意”，所谓具体、细化的同意是指当数据处理是为了几个不同的目的时，需要就每个目的都取得数据主体的同意并提供给数据主体相关的具体信息，不能将多个处理目的进行混合。由此可以看出GDPR特别强调了同意获得的颗粒度问题。

► 我国《个人信息保护法》规定：

我国《个人信息保护法》及相关规范性文件则并未作此规定，而是采用了特殊场景需获得单独同意的方式，作为个人信息处理可能对个人产生重大影响时的同意增强规则。根据《个人信息保护法》的规定，需获得“单独同意”的法定情形有以下五种：向其他个人信息处理者提供其处理的个人信息、公开个人信息、将公共场所收集的个人图像/身份特征信息用于非公共安全之目的、处理敏感个人信息及向境外提供个人信息。即相较GDPR，我国对于同意获得颗粒度的要求较低。

► 例如：

法国国家信息与自由委员会（CNIL）曾针对谷歌违反GDPR的行为罚款5000万欧元，其具体原因包括CNIL认为谷歌没有提示用户通过单独的勾选行为，对将其个人数据用于个性化广告推荐这一事项作出专门的同意；另外还包括，如果用户不希望将其个人数据用于个性化广告推荐，也需要先整体同意谷歌的用户协议（其中包含若干同意收集、处理数据的条款），然后在获得谷歌账号之后另行更改相关设置。这实际上导致用户为使用某种产品或服务，必须“打包”接受谷歌所有的数据处理行为，违反GDPR下区分目的获得同意的要求。

整改后的谷歌网站Cookies勾选示例：

上图体现了GDPR对于多个数据处理目的需要分别获取数据主体同意的要求

对已公开个人信息的告知同意豁免差异

► GDPR规定：

在GDPR中，已公开个人数据是作为“敏感个人数据”合法处理的条件之一，GDPR第9条规定，对种族或民族背景、政治观念、宗教及自然人的生物性识别数据等“敏感个人数据”应当禁止处理，数据主体已经明显公开的除外。但在第6条“处理个人数据的合法依据”中却并未将其列入。可见对于已公开的个人数据，GDPR并未明确豁免其处理前的告知同意义务，仍需要满足一般的原则和合法性基础规定，仅在某些具体规则的适用中会存在特殊情况。企业在个人数据处理过程中应该关注到该差异点。

► 我国《个人信息保护法》规定：

由于已公开个人信息相较未公开个人信息敏感性更弱，我国《个人信息保护法》对其采取了“作为单独类别进行特殊规定”[1]的立法模式，即个人信息处理者在未履行告知同意义务且无其他法定处理依据时，仍可在合理范围内处理已合法公开的个人信息，将处理已公开的个人信息单列为一项合法处理情况。

地位不平等时“同意表示”的效力差异

► GDPR规定：

GDPR和我国《个人信息保护法》都要求数据主体做出同意处理其个人数据的表示需基于其自由、真实的意愿。但与我国相关规定不同的是，GDPR还特别关注数据控制者和数据主体之间的关系和地位，认为当双方力量处于不对等状态时，数据主体作出的同意往往难以被认为是基于自由意愿的。GDPR序言指出公共机关不太可能基于“获取数据主体同意”来进行数据处理，因为当数据控制者是公共机关时，在控制者与数据主体之间往往存在着明显的权力不平衡。在大多数情况下，数据主体除了接受控制者的数据处理/条款别无选择。欧洲数据保护委员会（EDPB）认为，原则上还有其他更适合公共机关进行处理活动的合法基础。除公共机关与一般公民外，力量的不平等也发生在就业环境中，鉴于雇主与雇员间的实际关系地位，数据主体拒绝其雇主进行数据处理，同时不会因此而有所顾虑是极困难的，例如，在面对监控系统（如工作场所的摄像头）或是填写评估表时，雇员事实上很难表示拒绝。因此，EDPB认为雇主在征得同意的基础上处理当前或未来雇员的个人数据是不适当的。

►我国《个人信息保护法》规定：

而这一点目前在我国《个保法》体系下尚未体现，绝大部分企业在招聘、面试及后续实际工作中可以通过获得同意的方式处理员工个人信息。

二、GDPR与我国《个人信息保护法》告知同意规则的相同点

由于各国（地区）对于个人信息保护的根本目的大致相同，即平衡个人信息的利用与保护、确保个人信息的安全和对个人权利的尊重，故在告知同意的大部分基础规则上都保持了一致性，GDPR与我国《个保法》亦是。

1.GDPR和《个保法》都要求在处理个人信息之前，必须向信息主体提供全面而明确的信息。包括但不限于个人信息处理者的身份、处理目的、方式、涉及的个人信息种类以及数据的保存期限等关键细节。

2.其次都强调了同意的自愿性原则，即个人同意必须建立在自愿和明确的基础上，且同意需在充分了解相关处理情况后作出。

3.都赋予信息主体撤回同意的权利，撤回同意的权利是个人信息保护的重要组成部分。信息主体有权在任何时候撤回同意，且这种撤回不影响之前基于同意所进行的个人信息处理活动的有效性。

4.GDPR和《个保法》都对敏感信息处理的告知同意提出了采取更高的标准。例如，我国要求敏感个人信息处理需取得单独的明确同意，GDPR也要求除特殊情形外，禁止处理敏感个人信息。

5.二者都对未成年人个人信息处理的告知同意提出了额外要求。

在全球信息化的浪潮中，个人信息保护已成为维护数字社会秩序的关键之一。面对不同法律体系的个人信息处理要求，跨国企业或出海企业应当结合自身业务实际甄别差异点和相同点，制定相应的个人信息保护制度、采取适当的个人信息处理措施，在合法合规的前提下进行个人信息的处理和利用。

三、我国《个人信息保护法》体系下单独同意的企业实践指南

我国就可能对个人产生重大影响的数据处理场景设置了“单独同意”的同意增强规则，其中国标GB/T 42474-2023《个人信息处理中告知和同意的实施指南》为企业提供了单独同意的具体实践指引。

企业在进行单独同意获取时应当注意要点

企业个人信息跨境传输单独同意合规示例

参考资料：

[1]参见刘晓春：《已公开个人信息保护和利用的规则建构》，载《环球法律评论》2022年第2期。

作者 | 王佳雯赛博研究院高级咨询顾问&研究员

刘境棠赛博研究院咨询总监

赛博研究院简介

上海赛博网络安全产业创新研究院（简称赛博研究院），是上海市级民办非企业机构，成立至今，赛博研究院秉持战略、管理和技术的综合服务模式、致力于成为面向数字经济时代的战略科技智库、服务数据要素市场的专业咨询机构和汇聚数智安全技术的协同创新平台。赛博研究院立足上海服务全国，是包括上海市委网信办、上海市通管局、上海市经信委、上海市数据局等单位的专业支撑机构，同时承担上海人工智能产业安全专家委员会秘书长单位、上海“浦江护航”数据安全工作委员会秘书长单位、上海数据安全协同创新实验室发起单位等重要功能，并组织“浦江护航”数据安全上海论坛、世界人工智能大会安全高端对话等一系列重要专业会议。

欢迎联络咨询：邮件:[email protected]；电话：021-61432693。