适用场景
面向所有通过网站、App等数字渠道在海外(尤其欧美)及中国境内运营、并收集处理用户个人信息的出海企业,在产品设计、上线及运营全阶段均需关注。
核心要点
1. “同意”的定义与分类
核心合规要求是获取用户“自愿、具体、知情且明确”的同意。在中国法规框架下,同意主要分为“明示同意”(用户主动勾选、点击“同意”等肯定性动作)和“授权同意”(包括用户知情后未离开等默示行为)。对于向第三方提供信息、处理敏感信息、数据出境等特定场景,可能需要获取“单独同意”或“书面同意”。
2. 通知与同意的核心原则
企业需遵循“明示同意优先”原则。通知过程必须公开透明、逐一告知、实时同步、真实准确、具体清晰且易于理解。获取同意时,授权范围须与通知一致,给予用户自主选择权,时机恰当,并做到独立、分类获取,不得捆绑授权或强制一次性同意所有条款。
3. 获取同意的例外情形
并非所有个人信息处理都需要用户同意。中国法律规定了多项例外,主要包括:为履行法定义务所必需;涉及国家安全、公共安全、公共卫生等重大公共利益;为应对突发公共卫生事件或保护自然人生命财产安全所必需且难以取得同意;从合法公开渠道获取信息;为新闻报道、舆论监督、学术研究等公共利益目的且在合理范围内处理已公开信息等。
4. App收集信息的特别规则
通过移动应用(App)收集个人信息是监管重点。企业必须在收集前获取同意,并提供明确的同意或拒绝选项。用户拒绝后,不得以任何形式再次收集,也不得频繁弹窗干扰。不得默认勾选同意,或通过“登录即同意”等非明示方式获取授权。用户拒绝同意不应影响其基本服务的使用权限。
实务建议
- 设计清晰、分层的隐私政策与授权界面,避免使用概括性语言,确保用户易于理解。
- 在App首次启动或特定功能触发时,实时、逐一地弹出授权请求,并明确说明信息用途。
- 将核心业务功能所需授权与非必要授权分开,允许用户逐项选择,禁止“一揽子”强制授权。
- 建立用户同意管理机制,记录授权时间、范围和版本,便于审计和应对监管询问。
- 针对数据出境、处理敏感信息等场景,设置独立的“单独同意”流程,并考虑是否需要书面形式。
- 定期自查,确保收集行为符合告知范围,用户撤回同意后应立即停止处理并删除数据。
风险提示
- 误区:将冗长的隐私政策等同于用户同意。正确做法是必须在政策外获取用户明确的肯定性动作。
- 误区:用户不反对即视为同意。除法律明确允许的“授权同意”场景外,多数情况需要主动的“明示同意”。
- 注意事项:App不得在用户拒绝授权后,频繁(如48小时内多次)弹窗请求授权,构成骚扰。
- 注意事项:通过“下一步”、“登录”等按钮获取同意时,必须清晰说明点击动作代表同意隐私政策,逻辑关系要明确。
- 严重后果:违规收集使用个人信息可能面临监管部门的警告、罚款、暂停业务、下架App等处罚,情节严重者可能承担刑事责任。