业务研究
正策关注|从“胡子大厨”被约谈看告知同意原则
近日,餐饮连锁企业“胡子大厨”因在点餐小程序中,诱导消费者默认勾选成为会员、默认同意会员隐私政策,从而进一步索取消费者手机号码等个人信息事宜,被上海市网信办联合徐汇区网信办依法约谈。上海市网信办相关负责人指出,“胡子大厨”设置默认消费者同意的“加入会员”,意图通过“迷惑性”业务流程诱导消费者在不经意或未完全了解服务内容的情况下完成对企业的授权,违反了《个人信息保护法》的告知同意原则。尽管《个人信息保护法》生效已近两年,仍有不少企业对告知同意原则的理解存在偏差。本文将对告知同意原则进行分析与探讨,旨在对该原则有更为准确的理解。
基本概念
告知同意原则,是指任何组织或个人在处理个人信息时都应当对信息主体即其个人信息被处理的自然人进行告知,并在取得同意后方可从事相应的个人信息处理活动,否则该等处理行为即属违法,除非法律另有规定。
如何理解告知同意原则
告知同意原则实际由告知规则及同意规则结合而成,二者紧密联系,不可分割。理解告知同意原则,应当从告知及同意两个方面分别去理解。
(一)告知应当以显著方式、清晰易懂的语言真实、准确、完整做出
由于个人信息处理活动中,信息处理者与个人之间的信息是不对称的,如果信息处理者通过堆砌专业术语或以含糊其辞的表述做出告知,个人将难以充分了解信息处理将对自己的权益产生怎样的影响,自己将承受怎样的风险,继而无法做出自愿、明确的同意。因此,《个人信息保护法》第十七条要求信息处理者以显著方式、清晰易懂的语言真实、准确、完整地进行告知。
显著方式,是指信息处者应当以个人容易辨识且易于获取的方式了解到处理者告知的内容,而不能以“捆绑”等方式或者以极小字体等其他不显著的方式,让个人无法容易辨识或获取处理者所告知的内容。而在“胡子大厨”涉嫌违规的点餐小程序中,《隐私政策》、《技术服务协议》等告知信息与点餐的操作捆绑,且“入会即代表同意《技术服务协议》”等提示字样的字体大小又显著小于点餐页面的其他字体,容易造成个人在不经意或不知情的情况下完成对企业的授权,该等告知方式显然不属于显著方式。
清晰易懂的语言,是指信息处理者应当以普通人而非专业人士才能理解的语言表述来进行告知。实践中,部分信息处理者为了规避法律责任,会通过使用抽象、晦涩、冗长繁琐、夹杂大量专业术语的语言描述信息处理的目的和方式,例如“优化用户体验”、“形成服务闭环”、“完成服务体系迭代”等,该等表述会对个人做出自愿、明确的同意造成干扰,不符合清晰易懂的要求。
真实、准确、完整的告知要求,是信息处理者遵循合法、正当、必要和诚信原则的具体体现。真实,是指信息处理者不能虚构事实,将虚假的信息告知个人;准确,是指信息处理者不能将含糊不清的信息告知个人,信息必须是正确的,不能存在偏差或者令人产生误解;完整,是指信息处理者不能隐瞒部分信息,应将全部的权益及风险告知个人。“胡子大厨”的点餐小程序中,设置“0元入会”按钮的行为,具有一定的误导性及迷惑性,并不符合《个人信息保护法》提出的真实、准确、完整的告知要求。
(二)同意应当是个人在充分知情的前提下自愿、明确做出
任何有效的同意都应当在同意者充分知情的前提下做出,非基于充分知情的前提而做出的同意不是真实的,是无效的。鉴于信息处理者与个人之间的信息存在的不对称性,个人充分知情的基础应当是信息处理者充分的告知,即信息处理者应当在处理个人信息之前,为个人提供相应的信息,包括但不限于处理信息的主体、处理的目的、处理的方式及范围等。这正是《个人信息保护法》第七条,处理个人信息应当遵循公开、透明原则的体现。为了确保个人是在充分知情的前提下做出同意的,《个人信息保护法》在第十七条对信息处理者在处理个人信息前应当先向个人告知的事项及告知方式进行了全面的规定。需要注意的是,信息处理者达成“个人在充分知情的前提下”的要求,是指信息处理者已按照法律法规的要求,确保个人做出有效同意应当知悉的全部信息均处于可以获取的状态。
自愿的同意是指信息处理者通过欺诈、胁迫或者误导等方式取得的个人的同意是无效的。明确的同意是指个人是以清晰、明白而非含糊的、模棱两可的方式表示同意。理论上,同意可以是明示的或者默示的,根据我国《民法典》第140条第2款的规定,沉默只有在有法律规定,当事人约定或者符合当事人之间的交易习惯时,才可以视为意思表示。结合《个人信息保护法》第十四条的规定以及《App违法违规收集使用个人信息行为认定方法》第三条第4款的规定,以默认选择同意隐私政策等非明示方式征求用户同意被认定为“未经用户同意收集使用个人信息”,个人的同意应当是明示的,而默示、宇轩方框或者不作为等均不构成同意。7月新出台的《上海市网络点餐服务消费者个人信息保护合规指引》亦规定,隐私政策应当便于消费者阅读和理解,并征得消费者明确同意,不得默认勾选同意隐私政策或是仅提供同意选项。“胡子大厨”的点餐小程序中,默认勾选加入会员的行为显然不能构成个人自愿、明确的同意。
结语
告知同意原则充分体现了尊重和保护民事权益的精神和意思自治原则,是作为个人信息处理行为的基本规范。《个人信息保护法》以告知同意原则为核心构建了个人信息处理规则,告知同意原则贯穿全文,在诸多条款之中均加以体现。企业在进行个人信息处理的过程中,应当充分理解告知同意原则,在收集、使用、保管个人信息的各个环节全面提高合规意识和保护水平。