个人信息保护合规系列:企业如何做好个人信息知情同意管理
《中华人民共和国个人信息保护法》(以下简称“个保法”)确立了以“告知——同意”为核心的个人信息处理规则:根据第13条的明确规定,除部分特例情形外,个人信息处理者收集和使用个人信息,应当取得相关主体的同意,也即实质上将“取得个人同意”确立为了处理个人信息的主要合法性基础和前提条件之一。
在实践中,企业大多通过使用网页、移动应用(APP)登录界面、纸质文件等形式向消费者、员工等个人信息主体展示隐私政策来告知处理规则并获取授权同意。然而,在个人信息收集渠道增加、处理场景增多的情况下,企业往往会发现存在隐私政策文本内容不准确、个人同意记录难追溯、难以向监管证明知情同意机制的有效性等问题。如何向多渠道、多场景的个人信息主体推送准确的隐私政策,并统一管理、记录知情同意的信息,是企业在个人信息保护合规话题中,必须面对的一项全新挑战。
本文将从告知同意机制的痛点分析出发,探讨通过数字化方式解决上述问题的可能性,尝试为企业履行个人信息保护的“告知——同意”合规义务提供一些前沿的落地建议。
虽然《个保法》第13条在告知同意以外列举了共5类不需取得个人同意即可合法处理个人信息的情形,但这些例外情形在实践中的应用极为有限,获取个人的同意依然是处理个人信息的核心规则,尤其是发生处理敏感个人信息、数据出境、将个人信息提供给其他个人信息处理者等场景时需要获取的单独同意。根据合规要求,告知同意机制需要在数据收集的环节进行,以确保目前所处理的个人信息均为合法合规的。但是,在实践中如何确保获取每个个人信息主体的同意,没有遗漏,是企业落地合规义务的困境之一。
从收集场景上看,作为触达用户的主要入口,各类APP、网页承担起了展示隐私政策的责任,通过要求用户阅读隐私政策并勾选同意来完成合规义务,这也是行业中较为常见且有效的实践。但大量企业的业务并非只存在于线上,线下的门店、营销活动等都是与个人信息主体达成互动的渠道。例如各行业的销售人员,会在线下代表企业直接与外部的企业联络人、消费者等进行沟通,同时可能会将自己获取到的这些主体的个人信息回传到企业内部的系统中进行存储,该等个人信息处理活动会绕过隐私政策的展示环节,销售代表们往往也会忽视对个人信息主体的告知义务,进而让个人信息的处理失去合法性基础。
因此,对于这种可能发生的“告知——同意”的缺失,企业需要考虑采用何种方式来补充获得来自这些个人信息主体的同意,如通过线上的管理平台集中推送隐私政策文本并获取每个个人信息主体对处理其个人信息的同意授权,以完成这一合规义务的补救措施。
根据个保法的要求,“告知——同意”的履行并不只在于获取个人信息主体对隐私政策内容的同意即可。区别于欧盟的《通用数据保护条例》(GDPR),《个保法》在对同意规则提出高标准要求的同时,也对同意的类型进行了比GDPR更细致严格的分类。具体而言,《个保法》明确区分了“同意”、“单独同意”、“书面同意”等情形,如在处理敏感个人信息或将个人信息出境传输时,都分别需要获取个人信息主体对该部分内容的单独同意。
因此,企业不仅应摒弃以往通过通用隐私政策获取一揽子授权同意的简单合规模式,在适用单独同意要求的场景中,还需要提供针对特定内容的额外的个人信息收集及处理的说明与勾选框,以便个人信息主体可以对该部分内容作出明确的同意与否的选择。在这样的同意分类情况下,企业会被要求基于不同用户的选择记录,对个人信息采用区别性的处理方式。举例而言,如果针对同一个场景的隐私政策,用户A对处理敏感个人信息的选项选择了同意,却没有勾选同意个人信息出境的选项,而用户B对两个单独的选项都选择了同意,那么企业就要对应记录两个用户不同的选择,以对两位用户的个人信息采取不同的处理措施,如将A的个人信息存储在境内。
在以上模式中,合规的关键要点在于提供不同类型同意的选项,并能够分别存证选择结果,以便后续采取正确、定向的信息处理方式。然而,如果仅依赖人工去收集整理并传达来自不同场景、不同个人信息主体的同意记录,不得不去考虑海量数据所带来的成本问题。因此,如果能通过一个线上平台自动收集来自不同场景、不同主体的同意记录,并集中存证,企业即可便捷地从中提取所需信息,完成合规留档备查的要求。
个人信息处理者在落实告知同意时,通常都以隐私政策为载体。而根据所处理个人信息字段及处理目的、方式的不同,隐私政策也需要基于业务场景的性质而有所区分。举例而言,对一个专门开放给供应商的采购系统来说,它所展示的隐私政策,与一个面向消费者的会员注册小程序的隐私政策相比,其内容应该是截然不同的。对一个拥有众多个人信息处理场景的企业来说,可能需要同时管理数个内容有所区分的隐私政策。同时,随着监管要求与业务场景的变化,各隐私政策也需要基于已成文版本进行内容上的更新。
对于企业来说,如何有效地统筹管理各个业务场景的隐私政策,在留存前一版本文档的基础上,使合规部门能根据业务情况对隐私政策完成更新,确保更新后的隐私政策能及时被送达至个人信息主体,获取最新的二次授权同意,也是当下亟待通过数字化方式解决的难题之一。
基于对上述痛点的洞察,普华永道为助力企业实现个人信息保护合规,聚焦个保法,开发了一站式个人信息保护合规平台Privacy Ready。在原有平台功能基础上,新增知情同意管理模块,旨在帮助企业履行以“告知——同意”为核心的合规义务,以下简要阐述Privacy Ready在这一模块下的设计思路,期待为企业在个人信息保护合规方面提供更多可行性参考方案。
统一推送隐私政策获取同意
知情同意管理模块支持用户上传一组或多组个人信息主体的信息,并通过短信或邮件的方式,直接向一组特定的个人信息主体一键推送特定版本的隐私政策,以确保对该组个人信息的处理能够有足够的合法性基础,即获取个人信息主体的同意。
灵活调整并且记录同意选项
知情同意管理模块内置在隐私政策中增加单独同意框的功能,用户可根据场景的性质,在编辑隐私政策时自由添加所需的同意框。同意框的内容已根据个保法要求预置相关的同意文本,同时支持设置该同意是否为必选,方便用户根据实际情况灵活调整。在向个人信息主体推送隐私政策后,系统会自动记录个人信息主体对同意框勾选的具体选项以及获取同意的时间,以满足对同意记录的细颗粒度存证,及后续的区别处理要求。
集中化管理多版本隐私政策
知情同意管理模块同时支持用户在线上集中管理隐私政策。用户可以根据业务场景需要,创建一个或多个隐私政策文本,并可对已有版本进行更新,系统会在生成新版本的同时记录旧版本内容,方便追溯。如需向特定个人信息主体推送隐私政策,用户可一键选取已生成的特定版本的隐私政策进行发送,形成对“告知——同意”的合规闭环处理。
相关阅读
联系我们
Privacy Ready产品相关问询,请发送至:privacyready@cn.pwc.com,或联系普华永道中国网络安全和隐私服务团队。
中部
张俊贤
普华永道中国网络安全和隐私服务合伙人
电话:+86 (21) 2323 3927
邮箱:chun.yin.cheung@cn.pwc.com
黄思维
普华永道中国网络安全和隐私服务合伙人
电话:+86 (21) 2323 2605
邮箱:miles.huang@cn.pwc.com
徐静
普华永道中国网络安全和隐私服务经理
电话:+86 (21) 2323 6351
邮箱:annie.xj.xu@cn.pwc.com
北部
李睿
普华永道中国网络安全和隐私服务中国内地主管合伙人
电话:+86 (10) 6533 2312
邮箱:lisa.ra.li@cn.pwc.com
南部
黄景深
普华永道中国内地及香港地区网络安全和隐私服务主管合伙人
电话:+852 2289 2719
邮箱:kenneth.ks.wong@hk.pwc.com
翁泽鸿
普华永道中国网络安全和隐私服务合伙人
电话:+86 (20) 3819 2629
邮箱:danny.weng@cn.pwc.com
长按二维码查看更多热门专栏文章
数字治理 | 科技创新 | 人员增效 | 运营提升
© 2023 普华永道版权所有。普华永道系指普华永道在中国的成员机构、普华永道网络和/或其一家或多家成员机构。每家成员机构均为独立的法律实体。详情请见 www.pwc.com/structure。
免责声明:本微信文章中的信息仅供一般参考之用,不可视为详尽说明,亦不构成普华永道的法律、税务或其他专业建议或服务。普华永道各成员机构不对任何主体因使用本文内容而导致的任何损失承担责任。
您可以全文转载,但不得修改,且须附注以上全部声明。如转载本文时修改任何内容,您须在发布前取得普华永道中国的书面同意。