《个人信息保护法》下"单独同意"规则实务操作指南

一、引言

2021年11月1日正式实施的《中华人民共和国个人信息保护法》（以下简称"《个保法》"）确立了个人信息处理活动的基本法律框架，其中"单独同意"规则作为一项重要的制度创新，对企业的个人信息处理活动提出了更高的合规要求。根据《个保法》第十四条、第二十三条、第二十五条、第二十六条、第二十九条、第三十九条等规定，在特定场景下处理个人信息必须取得个人的"单独同意"。本文将从法律条文解读、适用场景分析、实务操作要点和合规建议四个方面，系统解析《个保法》下"单独同意"规则的实务操作。

二、"单独同意"的法律定义与核心要求

2.1 法律定义

《个保法》第十四条第一款规定："基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。"

核心要点：

1. 充分知情：个人信息处理者应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则。
2. 自愿明确：同意必须是个人真实意愿的表达，不能通过欺诈、误导等方式获取。
3. 单独性：同意应当针对特定的个人信息处理活动单独作出，不能与其他事项捆绑。

2.2 与一般同意的区别

根据《个保法》及相关司法解释，"单独同意"与一般同意存在以下区别：

| 比较维度 | 一般同意 | 单独同意 |:---|:---|:---| |:---|:---|:---| | 告知要求 | 通过隐私政策等方式统一告知 | 针对特定处理活动单独告知 | | 同意形式 | 可通过勾选等方式一揽子同意 | 需要针对特定事项单独勾选或确认 | | 撤回难度 | 撤回可能影响多项服务 | 可针对特定处理活动单独撤回 | | 合规成本 | 相对较低 | 相对较高 |

三、需要取得"单独同意"的六大场景

3.1 向其他个人信息处理者提供个人信息（《个保法》第二十三条）

法律条文： "个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。"

实务案例： 某电商平台将用户购物信息提供给��联的金融公司用于信贷评估，必须就"向XX金融公司提供个人信息用于信贷评估"这一事项取得用户的单独同意。

合规要点：

1. 明确告知接收方信息：必须告知具体的接收方名称，不能使用"合作伙伴"等模糊表述。
2. 明确处理目的和方式：需具体说明接收方将如何使用这些信息。
3. 不得捆绑同意：不能将数据共享同意与其他服务条款捆绑。

3.2 公开个人信息（《个保法》第二十五条）

法律条文： "个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。"

实务场景：

• 企业官网展示客户案例时公开客户姓名、职务等信息
• 社交媒体平台默认公开用户位置信息
• 招聘网站公开求职者简历信息

合规建议：

1. 区分公开范围：区分向特定对象公开和向不特定公众公开。
2. 提供撤回机制：个人有权随时撤回同意，个人信息处理者应当提供便捷的撤回渠道。
3. 定期审查：定期审查已公开的个人信息，确保仍在同意有效期内。

3.3 处理敏感个人信息（《个保法》第二十九条）

法律条文： "处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。"

敏感个人信息范围（《个保法》第二十八条）：

• 生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息
• 不满十四周岁未成年人的个人信息

实务操作要点：

1. 强化告知义务：除一般告知事项外，还需告知处理敏感个人信息的必要性以及对个人权益的影响。
2. 严格限制处理目的：只能基于特定目的和充分必要性处理敏感个人信息。
3. 采取严格保护措施：需采取加密、去标识化等严格保护措施。

3.4 在公共场所安装图像采集、个人身份识别设备（《个保法》第二十六条）

法律条文： "在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。"

适用场景：

• 商场、写字楼等场所安装人脸识别门禁
• 零售店铺安装客流分析摄像头
• 办公场所安装考勤打卡设备

合规要求：

1. 显著提示标识：设备安装位置应当设置显著的提示标识，告知收集目的、方式等信息。
2. 目的限制：原则上只能用于维护公共安全，如需用于其他目的必须取得单独同意。
3. 最小必要原则：收集范围应当限于维护公共安全所必需。

3.5 个人信息跨境提供（《个保法》第三十九条）

法律条文： "个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。"

跨境场景：

• 跨国企业将中国员工信息传输至境外总部HR系统
• 跨境电商平台将中国消费者订单信息传输至境外物流系统
• 云服务提供商将数据存储在境外服务器

合规流程：

1. 安全评估前置：通过国家网信部门组织的安全评估或进行个人信息保护认证。
2. 标准合同备案：按照国家网信部门制定的标准合同与境外接收方订立合同。
3. 单独同意获取：在完成前述程序后，向个人告知跨境提供详情并取得单独同意。

3.6 变更个人信息处理目的、方式（《个保法》第十四条）

法律条文： "个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。"

实务意义： 当企业因业务调整需要变更个人信息处理目的或方式时，如将原本用于营销的用户信息改为用于信贷评估，需要重新取得用户的单独同意。

四、"单独同意"的实务操作要点

4.1 同意获取方式设计

4.1.1 界面设计原则

1. 显著区分：单独同意选项应当与一般服务条款显著区分，不能使用预勾选方式。
2. 明确标识：使用清晰的标题和说明文字，如"单独同意：向XX公司提供个人信息用于信贷评估"。
3. 拒绝便利：提供与同意同等便利的拒绝选项，不能设置障碍迫使用户同意。

4.1.2 内容设计要求

1. 具体明确：同意内容应当具体明确，避免使用模糊、概括性语言。
2. 可理解性：使用普通人能够理解的语言，避免专业术语。
3. 完整性：包含《个保法》要求的所有告知事项。

4.2 同意记录与证明

4.2.1 记录要素

企业应当记录并保存以下同意证据：

• 同意时间戳
• 同意内容文本
• 用户身份标识
• 同意界面截图或日志
• 同意方式（点击、勾选等）

4.2.2 保存期限

根据《个保法》规定，同意记录应当保存至个人信息处理活动终止后三年。

4.3 同意撤回机制

4.3.1 撤回渠道

企业应当提供便捷的同意撤回渠道，包括：

• 在线撤回功能
• 客服电话撤回
• 邮件撤回
• 线下书面撤回

4.3.2 撤回处理

收到撤回请求后，企业应当：

1. 及时响应：在15个工作日内处理撤回请求。
2. 停止处理：立即停止基于该同意的个人信息处理活动。
3. 通知关联方：如已向其他处理者提供个人信息，应当通知其停止处理。
4. 删除或匿名化：在合理期限内删除或匿名化相关个人信息。

五、合规风险与法律责任

5.1 行政处罚风险

根据《个保法》第六十六条规定，违反"单独同意"规则可能面临以下行政处罚：

1. 责令改正，给予警告，没收违法所得
2. 对违法处理个人信息的应用程序，责令暂停或者终止提供服务
3. 拒不改正的，并处一百万元以下罚款
4. 对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款

情节严重的情形：

• 处理敏感个人信息未取得单独同��
• 违法跨境提供个人信息
• 侵害众多个人权益

严重后果处罚：

• 五千万元以下或者上一年度营业额百分之五以下罚款
• 责令暂停相关业务或者停业整顿、吊销相关业务许可或者营业执照
• 对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人

5.2 民事赔偿责任

根据《个保法》第六十九条规定，处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

赔偿范围：

• 实际损失
• 个人信息处理者因此获得的利益
• 法院根据实际情况确定的赔偿数额

5.3 刑事风险

情节严重的个人信息违法行为可能涉嫌以下刑事犯罪：

1. 侵犯公民个人信息罪（《刑法》第二百五十三条之一）
2. 拒不履行信息网络安全管理义务罪（《刑法》第二百八十六条之一）

六、企业合规建议

6.1 建立"单独同意"管理制度

1. 制定专门规程：制定《个人信息单独同意管理规程》，明确各部门职责。
2. 设计标准流程：设计从场景识别、界面设计、同意获取到记录保存的全流程标准操作程序。
3. 定期培训：对产品、技术、运营等相关人员进行定期培训。

6.2 实施技术保障措施

1. 同意管理平台：建立统一的同意管理平台，实现同意记录的统一存储和管理。
2. 用户偏好中心：建立用户个人信息偏好中心，允许用户查看、管理、撤回各项同意。
3. 自动化监控：通过技术手段监控个人信息处理活动是否符合同意范围。

6.3 开展合规审计与评估

1. 定期合规审计：每半年开展一次个人信息保护合规审计，重点检查"单独同意"执行情况。
2. 影响评估：在处理敏感个人信息、进行个人信息跨境提供等高风险活动前，开展个人信息保护影响评估。
3. 第三方评估：必要时聘请专业律师事务所、会计师事务所等第三方机构进行合规评估。

6.4 应对监管检查准备

1. 文档准备：准备完整的同意记录、管理制度、培训记录等文档。
2. 应急预案：制定个人信息安全事件应急预案，明确报告和处置流程。
3. 沟通机制：建立与监管部门的常态化沟通机制。

七、典型案例分析

7.1 案例一：某电商平台数据共享违规案

基本案情： 某电商平台在用户注册时，通过隐私政策一揽子获取用户同意，将用户购物信息共享给多家第三方用于营销推广，未就每项数据共享活动取得单独同意。

监管认定： 监管部门认定该平台违反《个保法》第二十三条规定，未履行单独同意义务。

处罚结果： 责令改正，罚款80万元，对直接负责的主管人员罚款8万元。

合规启示： 数据共享必须针对每个接收方和处理目的取得单独同意，不能通过隐私政策一揽子获取。

7.2 案例二：某社交平台人脸识别功能违规案

基本案情： 某社交平台在用户上传照片时，默认开启人脸识别功能用于标签建议，未取得用户单独同意。

监管认定： 监管部门认定人脸信息属于敏感个人信息，平台处理该信息未取得单独同意，违反《个保法》第二十九条规定。

处罚结果： 责令暂停人脸识别功能，罚款50万元。

合规启示： 处理敏感个人信息必须取得单独同意，且应当提供明确的开启/关闭选项。

7.3 案例三：某跨国企业数据出境违规案

基本案情： 某跨国企业将中国员工个人信息传输至境外总部HR系统，仅通过员工手册告知，未取得员工单独同意。

监管认定： 监管部门认定该企业违反《个保法》第三十九条规定，未履行个人信息跨境提供的单独同意义务。

处罚结果： 责令停止数据出境，限期整改，罚款100万元。

合规启示： 个人信息跨境提供必须完成安全评估、标准合同等前置程序，并取得个人单独同意。

八、结语

《个保法》确立的"单独同意"规则是企业个人信息保护合规的核心要求之一。随着监管执法的不断加强，企业必须高度重视"单独同意"规则的合规实施。建议企业从制度建设、技术保障、人员培训、合规审计等多个维度构建完善的"单独同意"合规体系，确保个人信息处理活动的合法合规，防范法律风险，保护个人权益，促进数字经济健康发展。

---

需要个人信息保护合规咨询？预约测绘，帮你制定数据合规方案。

本文内容基于现行法律法规，仅供参考。