非基于同意处理个人信息,“单独同意”可以被豁免,这篇文章是我2021年10月写的。
随后,该观点陆续被《个人信息保护法释义》《个人信息处理中告知和同意的实施指南》《数据出境安全评估申报指南(第二版)》以及《证券期货业网络和信息安全管理办法》验证。
本次《网数条例》在行政法规层面再次予以明确。
第二十二条 网络数据处理者基于个人同意处理个人信息的,应当遵守下列规定:……
(二)处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的,应当取得个人的单独同意;……
《网络数据安全管理条例》-国务院
也就是说,基于履行法定义务或履行合同必需等同意之外的合法性基础而处理敏感个人信息的,无需取得单独同意。
对外提供、公开、跨境提供个人信息等时,同理!
有权机关上门,要求提供客户个人信息,咋可能取得单独同意呢?
求求各位律师、法务同仁在起草合同时候留意一下这点!形成广泛共识!
每次改对方模板都要改这点,真的很累。
建议在你们的模板里,增加表述红字表述:“基于同意XXXX时,应取得单独同意”或“XXXX时,应取得单独同意或具备其他合法性基础”。
“XXXX”适用场景如下:
于此再罗列一下其他证据。
涉及个人信息出境的,需提供履行《个人信息保护法》第三十九条规定的情况说明及佐证材料,包括告知义务和取得个人的单独同意等,若属于《个人信息保护法》第十三条第一款第二项至第七项规定情形的,不需取得个人同意
《数据出境安全评估申报指南(第二版)》-网信办
第三十三条 核心机构和经营机构应当依法依规向第三方机构提供投资者个人信息,明确告知投资者个人信息处理目的、处理方式、个人信息种类、保存期限、保护措施以及相关方的权利和义务等,并取得投资者个人单独同意,履行法定职责或者法定义务的情形除外。
《证券期货业网络和信息安全管理办法》-证监会
本条针对的是基于以同意为合法性基础所作的规定,根据本法规定,如果是基于其他合法性基础不需取得个人同意,或者不需向个人告知的,则不适用本条规定。
《中华人民共和国个人信息保护法释义》-第23条 对外提供
本条针对的是基于以同意为合法性基础所作的规定,根据本法规定,如果是基于其他合法性基础不需取得个人同意,或者不需向个人告知的,则不适用本条规定。
《中华人民共和国个人信息保护法释义》-第25条 公开
本条规定的单独同意,适用于基于同意而进行的个人信息处理情形。根据本法第 13 条的规定,如果向境外提供个人信息是基于其他合法性基础,则不需取得个人的同意。
《中华人民共和国个人信息保护法释义》-第39条 出境
无论个人信息处理者是基于个人同意还是依据法律、行政法规的规定而处理个人信息的,要将自己处理的个人信息提供给其他个人信息处理者,就必须告知个人并取得个人的单独同意,除非法律、行政法规规定不需取得个人同意,如存在《个人信息保护法》第13条第2项至第7项规定的情形。
《中华人民共和国个人信息保护法理解与适用》-程啸
《个人信息保护法》第13条第1款第2项至第7项以及第2款规定了无须取得个人同意就可以进行个人信息处理的情形。公开个人信息属于个人信息处理行为的一类,故此,当然适用该条之规定。《草案一审稿》第26条曾规定:“个人信息处理者不得公开其处理的个人信息,取得个人单独同意或者法律、行政法规另有规定的除外。”但是,正式颁布的《个人信息保护法》第25条删除了“法律、行政法规另有规定的除外”,这是因为,《个人信息保护法》第13条第2款规定,依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第2项至第7项规定情形的,不需要取得个人同意。
《中华人民共和国个人信息保护法理解与适用》-程啸
