什么是知情同意规则?
文章摘要:
个人有权撤回同意:同意的撤回是指个人基于告知同意规则,对本人已经作出的同意予以取消的意思表示。
文章摘要2:
知情同意规则(基本规则) 回目录
1.基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。
【解读】同意的作出需满足3个条件:(1)充分知情;(2)自愿;(3)明确(同意必须明确作出)。
2.法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
【解读】《个人信息保护法》第29条规定:“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”
3.重新取得同意:个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
个人有权撤回同意 回目录
同意的撤回是指个人基于告知同意规则,对本人已经作出的同意予以取消的意思表示(实际上为意思表示的撤销)。
1.基于个人同意处理个人信息的,个人有权撤回其同意。
2.个人信息处理者应当提供便捷的撤回同意的方式。
3.同意的撤回不具有溯及力:个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
不同意不影响使用产品和服务 回目录
1.以不得拒绝提供产品或者服务为原则:个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;
2.以可以不提供产品或者服务为例外:处理个人信息属于提供产品或者服务所必需的,可以不提供产品或者服务(如“大数据通信行程卡”)。
个人信息处理者应当告知事项 回目录
1.告知义务履行方式:
(1)告知时间:应当在处理个人信息前;
(2)告知方式:应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知;
(3)变更告知:规定事项发生变更的,应当将变更部分告知个人。
2.告知内容:
(1)个人信息处理者的名称或者姓名和联系方式;
(2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(3)个人行使本法规定权利的方式和程序;
(4)法律、行政法规规定应当告知的其他事项。
【解读】《个人信息保护法》第30条规定:“个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。”
3.个人信息处理者通过制定个人信息处理规则的方式告知规定事项的,处理规则应当公开,并且便于查阅和保存。
4.应当告知例外情形(豁免告知):
(1)基于保密义务的豁免:个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知规定的事项。
A.存在法定的保密义务,个人信息处理者免除告知义务;
B.法律、行政法规规定不需要告知(可以选择不告知)。
(2)基于紧急情况的豁免:紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。
法条链接 回目录
《个人信息保护法》
第十四条【知情同意规则】基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
第十五条【个人有权撤回同意】基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
第十六条【不同意不影响使用产品和服务】个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
第十七条【应当告知的事项】个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
第十八条【应当告知的例外情形】个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。
第二十九条【敏感个人信息特别同意规则】处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
第三十条【敏感个人信息告知义务】个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。
《网络安全法》
第二十二条【网络产品和服务提供者的安全义务】网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
第四十一条【个人信息收集使用规则】网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅关于印发《常见类型移动互联网应用程序必要个人信息范围规定》的通知
第四条 App不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。