优化个人信息保护合规指引 — 中国发布第三稿《个人信息安全规范》修订稿

《规范》多次提及了对于个人信息处理，在一些情形下需要首先取得个人信息主体的“明示同意”，在其他一些情形下则需要取得该主体的“授权同意”。但是，《规范》并没有阐述两种“同意”的区别。《修订稿III》则明确了“授权同意”泛指同意，而“明示同意”则指符合特定要求的同意，亦即，“明示同意”乃是个人信息主体对于在面对个人信息控制者提出的处理其特定个人信息处理的请求时，通过积极的行为而作出授权（例如，通过书面声明）；而“授权同意”则被定义为不仅包括了前述积极行为作出的授权，而且还包括了通过消极不作为作出的授权（例如，信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域）。

根据《修订稿III》，我们理解除了规定的例外情形外，个人信息控制者开展个人信息处理（包括但不限于收集、委托处理（即由第三方处理）、共享、转让个人信息）活动，均需要征得个人信息主体的授权同意；当相关处理可能会对个人信息主体产生较大影响时（例如，当收集、共享、转让个人敏感信息，或当超出原收集个人信息目的范围使用个人信息等），则需要取得该主体的“明示同意”。 

一件产品或服务可能会拥有多项业务功能（例如，支付应用程序可能会具备支付、生活服务、社交等若干功能），从技术角度，每项业务功能所需收集的个人信息往往是不同的。但是，一些个人信息控制者为了更多的收集信息，有时会通过不合理的授权交互界面设计等，强迫信息主体接受若干业务功能并相应提供更多信息。为了制止这种强迫行为，《修订稿III》提出了一些特别要求，例如，要求个人信息控制者不得通过捆绑产品、服务业务功能等方式，强迫个人信息主体提供其本不会申请的业务功能（但因捆绑等而不得不提供）所对应之个人信息。

个人信息控制者在提供业务功能、电子商务服务、新闻信息服务等的过程中，有可能会根据个人信息主体的兴趣、习惯等特征提供个性化的展示结果（例如，一些购物APP会根据用户的浏览历史，推荐或推送特定商品）。在现阶段，相关的展示往往不会通知个人信息主体哪些信息是个性化推送，哪些不是；同时，个人信息控制者较少会主动地向用户提供退出展示或控制展示程度的途径。从用户的角度看，个性化展示的确可以帮助许多人无须费力即可取得其感兴趣的内容，但是，过度的展示也可能会限制用户便利地接触其他类型信息。并且，由于所推送的信息常常会体现用户曾经的网络使用行为（例如，搜索过的内容），以至可能会泄露隐私。针对这些问题，《修订稿III》增加了相关要求，例如，针对电子商务服务，要求个人信息控制者应向个人信息主体提供选项，以使其能够选择不再针对其个人特征而展示商品或服务搜索结果。 

用户数量是评价网络平台运营状态的一项重要指标。除了直接运营收益外，庞大的注册用户数量与注册信息还可以为平台在数据深入开发等方面带来利益。也正是因此，一些平台对于个人信息主体的账户注销故意设置了障碍，或者根本不予提供注销路径。为了指导对账户注销权利的保障，《修订稿III》在《规范》原“个人信息主体注销账户”项下补充了若干操作规范，例如，对于需要人工处理的注销请求，要求信息控制者应在承诺时限内（原则上不超过15天）完成核查与处理。

现行《规范》对于个人信息的委托处理、共享、转让、公开披露等已经列举了较为详细的要求，《修订稿III》在此基础上，作了进一步补充。例如，针对个人信息的“委托处理”，补充了个人信息控制者在发现受托处理信息者不当处理个人信息时，应采取补救措施。针对“个人信息共享、转让”，补充了个人信息控制者应通过合同等方式规定数据接收方的责任与义务。针对“个人信息公开披露”，补充了不得公开披露中国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果之要求；等等。