明星条款“单独同意”实践一年：跨境、金融等行业如何改变应对？

　　伴随着数字经济发展，对个人信息的采集和利用成为一种“刚需”。个人信息保护不断涌现出新问题，随意收集、违法获取、过度使用、非法买卖个人信息等情况“野火烧不尽”。数据的挖掘利用与个人信息保护之间张力扩大，急需专门法律对个人信息处理活动提供规范样本。
　　2021年11月1日，《个人信息保》正式施行，转眼间即将实施一周年。南财合规科技研究院长期关注个人信息保护议题，持续跟踪报道立法进程、监管动态，反映公众呼声。借此机会，将推出“南财个人信息保护月”系列活动，探讨《个人信息保》实施以来的落实情况以及对企业带来的影响。将围绕“守门人”条款的落实、用户个人信息权益的实现、数字广告行业的变革、数字经济发展与合规的平衡等多个维度推出20余篇系列稿件，刊出个人信息保护特刊，并且举办线下高峰论坛。
　　法律的生命力在于实施，在完成立法后，《个人信息保》需司法和执法接力，也需要企业恪守法律要求。我们希望能借助媒体的力量，持续追踪问效，推动个人信息权益的保障，提升全社会个人信息保护的水位线日，《个人信息保》（以下简称“个保法”）正式施行，开启了我国个人信息保护的新。在这部法律中，有许多引人注目的“明星条款”，而旨在完善“告知—同意”规范体系的“单独同意”条款就是其中之一。“单独同意”极大地完善了告知同意原则，被寄希望可以有力破解“一揽子授权”的困境，改变个人对自身信息处理的知情权、决定权被架空的窘境。
　　走过一年，单独同意是否改变了跨境、金融等重点行业、场景下的个人信息保护状况？实践中企业、个人是否面临挑战？
　　受访专家表示，单独同意施行对相关行业、应用场景带来的影响巨大，但在实践中也遇到了一定阻碍。针对单独同意实践中额外验证流程对用户的影响、企业合规成本的增加等问题，专家指出，找寻个人信息保护和利用、用户使用便利和使用安全这两对平衡，是单独同意需要长久面对的命题。
　　2021年，随着个保法出台，“单独同意”这一名词首次走进大众视野。单独同意要求个人信息处理者在进行风险较高的个人信息处理活动时，必须即时、专门地告知信息所有者处理的具体情况，并获得其明确授权。
　　在个保法落地施行之前，风险在规则的真空中不断增加，应用程序过度收集个人信息、“一揽子”授权、强制同意、大数据“杀熟”等现象并不鲜见。使用服务前对“我已阅读并同意用户协议和隐私协议”轻轻一点，可能意味着个人信息从此将长期、无差别地被收集和使用。
　　对外经济贸易大学数字经济与法律创新研究中心主任许可指出，这些“个人信息乱象”正是单独同意诞生的目的。他指出，这一规则是对我国个人信息保护的“告知—同意”体系的重要补充，有效地破除了法律出台前，个人对其信息处理的知情权、决定权被架空的窘境。
　　个保法正式落地施行后，相关平台在纷纷行动，一般采取页面弹窗的形式告知用户隐私政策的更新或者获取用户对特殊情形的单独同意。
　　但是，额外的流程似乎增加了用户的负担，频繁出现的弹窗申请也导致了用户的“疲惫”。“个保法正式施行后，如何提升单独同意率成了企业需要面对的新问题。”营销企业Convertlab相关负责人在受访时直言。
　　该负责人表示，实践中，企业或许会采取将同一流程链条上的同意事项合并的方式使流程更加便捷。“以第三方SDK为例，由于其对处理行为包括了采集和传输，如果把这两项行为授权合并，就不需要再多次获取用户同意。”
　　此前南方财经全媒体-21世纪经济报道记者的实测结果也印证了这一点。针对第三方SDK对个人信息的处理，参与测评的常用APP普遍采取的做法是在初次使用APP时以弹窗或勾选的形式让用户进行确认。
　　然而，这似乎不是落实单独同意条款与消解用户同意疲惫的最优解。一方面，这种“一键打包”的同意形式，一定程度上影响到了用户对何处需要第三方共享的直观认知；另一方面，这种合并同意的形式是否属于单独同意范畴也存在一定争议。
　　“实务中，不少企业对于单独同意的落实处于折中状态，存在颗粒度粗细差异问题。” 竞天公诚律师事务所合伙人袁立志解释道，考虑合规成本、用户体验等因素，企业可能会将多项需要获取单独同意的信息合并。他提到，目前特定数据类型和数据处理环节都有可能触发单独同意，处理多种类型、环节叠加的方法在法律上并未被明确。
　　“目前单独同意落地的路径并不明晰。”世辉律师事务所合伙人王新锐坦言，在实务中，企业面对的主要问题是，单独同意的实现方式只有个别几种，也并没有变成普遍实践。
　　目前，我国尚未专门发布具有法律效力的“告知—同意”实施指南。但值得注意的是，2021年11月14日，《网络数据安全管理条例（征求意见稿）》（以下简称“征求意见稿”）发布，其中规定，单独同意是指数据处理者在开展具体数据处理活动时，对每项个人信息取得个人同意，不包括一次性针对多项个人信息、多种处理活动的同意。
　　“征求意见稿进一步明确了单独同意的内涵与定义，相比个保法的更为严格，应当引起个人信息处理者的高度重视。”环球律师事务所合伙人孟洁向南方财经全媒体-21世纪经济报道记者表示。
　　随着数字经济全球化的不断推进，个人信息跨境处理活动也大量增加，多位受访专家提及在个人信息出境场景下的单独同意机制。
　　根据个保法第三十九条规定，个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。
　　个保法落地后，在个人信息的跨境提供上的相关配套法规已逐渐完善。许可提到了两部法规，即《数据出境安全评估办法》和《个人信息出境标准合同规定（征求意见稿）》。
　　据了解，为了进一步规范数据出境活动和保护个人信息权益，《数据出境安全评估办法》就已于2022年9月1日正式实施。
　　此外，正在征求意见的《个人信息出境标准合同规定》则对个人信息出境标准合同的适用范围、适用条件、程序、主要内容等进行了规定。其中，在个人信息处理者的义务及境外接收方的义务中，均明确提出了“单独同意”的要求。
　　但回归实务，不少企业在个人信息出境之中仍然存在诸多难点，其中联系不上个人信息主体最为突出。对此，袁立志表示，一些不再使用应用或者联系不上的用户/个人，企业无法取得同意，遑论单独同意，只能将数据匿名化后再出境，或者索性放弃出境，以求合规。
　　对此，许可则建议在实践中可进一步根据场景细化规则，例如针对出境时的个人信息确立单独同意制度。
　　而聚焦具体行业，金融被提及得最为频繁。在个保法中，金融账户等信息被视为敏感个人信息。而处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。
　　实际上，金融领域侵害个人信息权益事件常有发生，且不少都是和未经用户同意相关。今年3月，银保监会曾发布《关于警惕过度借贷营销诱导的风险提示》。其中提到，一些金融机构、互联网平台在开展相关业务或合作业务时，对消费者个人信息保护不到位，比如以默认同意、概括授权等方式获取授权，侵害了消费者个人信息安全权。
　　8月，银保监会还发布《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》，剑指金融行业侵犯个人信息安全的七大乱象。其中就包括个人信息提供方面的问题，例如未经同意向他人或外部机构提供信息；在无法定事由，且未获得消费者同意的情况下，将消费者个人信息提供给外部机构或其他个人；向外部机构或个人贩卖消费者个人信息。
　　在袁立志看来，随着个保法的实施，正规挂牌金融机构多会针对单独同意调整用户同意模式。而由于个人信息共享的要求逐渐严格，借助于互联网机构获客的传统做法，空间正越来越小。
　　“单独同意”条款的诞生被寄予了完善“告知同意”原则、破除“一揽子授权”的厚望。然而，合规成本攀升、用户疲惫等问题不可忽视。
　　许可对中小企业的合规成本问题表示了担忧。“过于高昂的合规成本会导致中小企业的经营遭到重大困难，从而阻碍了创新。”
　　而在王新锐看来，合规成本的抬升是无法避免的。因为个保法制度设计是高于现状的，需要企业做出努力方可达到的，也就意味着企业必然会付出一定的合规成本。
　　“同意疲惫”也是当前实践中亟待解决的问题。繁多的流程可能会激起用户的逆反心理，消极同意甚至放弃使用应用，不利于数据的流通。
　　许可认为，单独同意实际上是知情同意规则的一部分。进一步落实单独同意的核心，还是要从落实知情同意规则上入手，即通过简明披露的形式保障用户的知情权，以及在保障便利的情况下细化决定权。
　　“如何能让App的服务更好地以简洁便利的方式呈现，满足用户需求，来实现个人信息的保护与用户使用体验之间的平衡十分重要。”许可坦言。
　　袁立志向南方财经全媒体-21世纪经济报道记者介绍，在实践中，除了信息弹窗，单独同意在不同业务场景下还有其他呈现方式。以线上场景为例，弹窗之外，还有文本内的分项复选框、专门邮件或短信推送消息、网页跳转链接等选择。
　　“相对于带有一定强制色彩的弹窗，分项复选框可能是单独同意实现的更优解。”袁立志解释道，复选框会在相应页面列明不同的处理目的、不同的信息类型等，要求用户自行勾选；此外，复选框往往不是即时展示、强迫用户马上决定，因对用户比较友好。
　　许可则补充道，针对常规的、长期性的处理活动，可以采用复选框的形式勾选授权，而弹窗只在临时的、高风险的处理活动发生时出现，在同意或拒绝后，合理期限内不再弹出。
　　王新锐认为，个保法为后续制度预留了接口，未来应当在充分调研了解行业及企业特殊情况之下，衔接好后续的细化规则。
　　而许可则指出，当前我们应具备的是综合性和全局性的思维，把握个人信息流通和保护的平衡。同时，从个保法整体架构设计来看，对于个人的保护其实是一个多层次、多主体的治理模式。因为单独同意只是保护个益的一种方式，单独同意规则要和其他的规则配套起来，共同地发挥作用，而不能只是强调单独同意规则本身。
　　“个人信息保护和利用、用户使用便利和使用安全这两对平衡，是单独同意条款，亦是个人信息保护需要面对的长久议题。”许可说。