对于正在征求意见的《个人信息保护法（草案）》（下称“草案”）而言，立法重点之一在于规制企业对个人信息的处理行为。到底什么样才是合法有效的“知情同意”？ “同意”之外的正当性事由到底该有哪些？何为“敏感个人信息”？

11月10日，数据保护官（DPO）草案专题研讨会在北京完美世界大厦举行。此次活动为系列专题研讨会的第二期（第一期研讨会详见：实务界热议个保法草案：企业建议个人权利部分增加例外情景）。

会上，美团数据合规法务总监刘笑岑、小米集团公司法务总监、隐私保护委员会副主席朱玲凤和完美世界集团法务部知识产权总监薛颖作为主讲嘉宾从专业视角分享了个人观点，结合实践案例，对上述个人信息处理过程中的痛点和难点进行了深入研讨。

10月21日，草案在中国人大网正式公开向社会征求意见。此次法案首次在法律层面浓墨重彩的阐述了“知情同意”这一个人信息处理基本规则。对企业而言，这也是需要重点关注的合规方向。

本次研讨会上，DPO社群成员们首先围绕这一原则展开讨论，将重点聚焦于“同意”之外的正当性事由。

10月1日，新版《信息安全技术 个人信息安全规范》（下称《规范》）正式实施。其中，《规范》第5.6条规定了征得授权同意的例外情形之一——根据个人信息主体要求签订和履行合同所必需的，同时，《规范》也注明，个人信息保护政策不应被视为此条中的“合同”。

刘笑岑提出，《规范》认为隐私政策不是合同，也就是说，按照国标的要求，企业不能基于隐私政策主张“我基于隐私政策开展的后续活动属于履行合同所必要。”

由此，她抛出了一个问题：隐私政策的“告知”与“履行合同所必要”的关系是什么？换言之，如何区分哪些场景需要在隐私政策中履行告知义务，又有哪些需要走“履行合同所必要”的？

对此，在场一位DPO社群成员发表观点称，不用把个人信息处理规则局限在是否是合同的范畴当中。“因为不同内容的效力是不一样的”，她表示，根据一个行为是企业的单方承诺还是与消费者交互产生的内容，就可以划分是单方还是双方的民事法律行为。“‘基于履行合同所必要’不需要征得消费者的意思表示，而基于‘同意’则需要消费者和企业双方的意思表示合议。”她说。

《规范》中列出但草案中没有作出相应回应的规定又该如何对待？近期，企业代表在对草案提出意见时，大多希望效仿欧盟《通用数据保护条例》（GDPR）把“同意”例外的“正当利益”也作为一个合法性基础列入我国法律。

刘笑岑表示，因为草案中未将“正当利益”列入合法性处理基础的范围，对企业来说，不论是安全风控、直接营销，还是内部技术优化和迭代，现在该寻求哪个合法性基础并不明确。“希望法案中能开一个口子给我们”，她说。

但同时，她也强调，“在实践落地的时候可以做一些限缩。”欧盟对“正当利益”的使用前提也有比较严格的限制，包括开展平衡性测试、事后证明引援正当利益的原因等。

此外，本次草案首次明确提出个人的“撤回同意权”这一概念，刘笑岑认同草案规定所有撤回同意的前提是基于个人同意而开展的信息处理活动。同时，值得注意的是，《规范》规定，撤回授权同意不影响撤回前基于授权同意的个人信息处理。相比之下，草案中撤回同意相关条款未对是否“不溯及过往”作进一步明确。

刘笑岑还提到了单独同意与同意以及其他合法性基础的关系问题。目前看，草案中规定的单独同意制度并没有限缩在基于同意开展处理活动的基础之上，可能会造成处理规则的原则性要求与单独场景的合法基础不匹配的问题。

她举例道，例如已经依赖合同或公共利益开展的处理活动，如果还需要在向第三方提供时要求单独同意，会在一定程度上消解掉设立多种处理基础的初衷，因此建议立法中可以考虑将单独同意设置在“基于同意处理个人信息”的基础之上。

与撤回同意相关的问题还不止于此。会场一位公司法务提出，“我绑定了几张银行卡，然后又删除了其中一张，算不算我的撤回同意？那删除权和撤回同意之间的区别是什么？”

薛颖补充道，用户撤回同意可能附带删除一定信息，而企业保留数据的义务又散见在各个垂直应用和规范性文件当中，效率参差不齐，难以随意删除。“这个也是撤回同意里面挺难落地的一个地方”，她表示。

在这一讨论环节，薛颖最后总结道，当前草案的“知情同意”规则，虽然比先前的法律有所精进，但整体来说还是希望能进一步完善。

在企业处理个人信息的场景中，向第三方提供信息以实现某项功能是一个常见场景。朱玲凤提到，“但一直以来，大家都对‘第三方’的内涵比较疑惑”。

草案第24条规定，个人信息处理者向第三方提供其处理的个人信息的，应当向个人告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。此外，草案22条也规定了个人信息处理者和受托方之间处理个人信息的规定。

对此，朱玲凤提出疑问，草案第22条和24条规定应该相互叠加还是排斥？她表示，从字面来看两条规定是相互排斥的，因为受托方不能变更原先处理个人信息的目的。“但如果是相互排斥的话，就意味着委托处理的场景就不需要告知同意了吗？”

她进一步提出，需要进一步分析接受数据的“第三方”是受托方、共同控制者还是独立控制者，根据其身份确定相应的责任再进行通报和处罚，是更利于市场整体发展的。

在GDPR范畴下的自动化决策，指的是技术系统在没有人工干预的情况下自动作出决策。而用户画像（或称之为识别分析）与自动化决策是不必然有关系的。

她举例表示，比如说超速罚单，只要速度超过标准就开罚单，这是单纯的自动化决策；但如果在这个过程中还分析了驾驶员的习惯，比如驾驶员习惯一贯良好，只是突然间超速了，Ta的罚单金额就会比别人低，这样的决策过程就用到了用户画像。所以她表示，自动化决策和用户画像不一定必然是重叠的。而目前草案规定的自动化决策是限定于基于用户画像的自动化决策，整体的义务设置不能直接对比GDPR而作出评价。

此外，朱玲凤还提到，自动化决策透明度的具体要求和如何理解算法的公平合理都是企业落地执行比较难的地方。

与各国个人信息保护立法类似，草案将“敏感个人信息”作为个人信息法律中的重点保护客体。

草案第29条规定，敏感个人信息是一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息，包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。

薛颖首先提出处理“敏感个人信息”的合法性事由与处理一般个人信息的合法性事由应该有所区分，例如为了”公共利益实施新闻报道、舆论监督等“而处理敏感个人信息就应考虑进行限制。

那么敏感个人信息可以和私密信息等同吗？薛颖给出了否定的答案。民法典“隐私”范畴中的“私密信息”既在主观上“不愿为他人知悉”的部分，又在客观上能够识别自然人的才是“个人信息”，而“敏感个人信息”则未必具备隐私权属性。

她举例表示，一个人的面部特征是敏感个人信息，但因为可以自主公开，不是私密信息；一个人的暗恋史是私密信息，但因为被公开之后不一定会导致受到歧视，所以不一定是敏感信息；一个人的性取向是敏感信息，但对于已经选择对外公开的人来说，肯定不是私密信息。

此外，她还强调到，儿童个人信息也不应简单等同于敏感个人信息。

近来，人脸识别的话题备受大众关注，草案也对此做出了回应。草案第27条明确，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的，不得公开或者向他人提供；取得个人单独同意或者法律、行政法规另有规定的除外。

对于这条规定，薛颖建议，应对生物识别信息进行特殊规制，增强数据存储和安防义务，而不应该仅限于公共场所的收集场景和公开或提供环节。

此外，薛颖还进一步探讨了敏感个人信息的“单独同意”要求等难点问题。最后，从敏感个人信息的全生命周期考量，她还提到，草案对敏感个人信息的处理规定多集中在“收集”环节，对存储、共享、转让、跨境等环节的加强保护还有所欠缺。但她也强调，草案在目的限定、告知要求、同意要求、风险评估四个方面都对敏感个人信息的处理做了特别加强规定，这是非常值得肯定的。

采写：南都记者李慧琪 实习生白小皛
视频：南都记者陈灿荣

编辑：蒋琳

本文作者

陈灿荣

2.3亿

南方都市报记者