前言

随着移动互联网应用程序（以下简称“App”）在各行各业中的应用趋于广泛，其中蕴含的个人信息保护问题也不断引起企业和用户的关注。其中，企业通过App收集使用个人信息的过程中，取得用户同意是非常重要的一环，需要企业在合规层面予以高度重视。例如，如何取得用户同意，在什么情况下需要取得用户的同意，是否存在某些情况不需要取得用户的同意，对于一些特殊群体和信息如未成年人、生物识别信息、敏感信息等应当如何处理，在取得同意这一问题上需要注意哪些合规问题点等，都值得企业深思熟虑，反复推敲。本文分上下两篇，旨在对企业如何取得用户同意这一问题的合规要点进行梳理和总结，以期对企业通过App收集使用个人信息的合规实务有所助益。

一、关于同意的境内外相关立法

从国外立法动向来看，欧盟的《一般数据保护条例》（General Data Protection Regulation，以下简称“GDPR”）对于数据主体“同意”相关的各方面问题做了非常细致的规定。关于同意的核心条款主要是第6（1）条的（a）点1和第9（2）条的（a）点2。除此之外，第7条（同意的条件）、第8条（信息社会服务中适用儿童同意的条件）、第17条（被遗忘权）、第18条（限制处理权）、第20条（数据携带权）等均有与数据主体同意相关的内容。

从国内立法动向来看，《民法典》、《网络安全法》中均有对于取得同意的相关规定。《民法典》第一千零三十五条规定，处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外。《网络安全法》规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。未经被收集者同意，不得向他人提供个人信息。此外，《信息安全技术 个人信息安全规范》（以下简称“《个人信息安全规范》”）、《网络安全标准实践指南—移动互联网应用程序（App）收集使用个人信息自评估指南》、《儿童个人信息网络保护规定》等法律法规中均对取得同意做出了更为细致的规定。最后，《信息安全技术 个人信息告知同意指南（征求意见稿）》（以下简称“《告知同意指南》”）针对告知同意的规则以及各个场景下的告知同意方法做出了非常详尽的规定，值得企业在制定用户协议和隐私政策时予以参考。

二、同意的定义和类别

根据GDPR第4条，数据主体的“同意”指的是数据主体通过一个声明，或者通过某项清晰的确信行动而自由作出的、充分知悉的、不含混的、表明同意对其相关个人数据进行处理的意愿。

根据中国相关法律法规，同意的类别包括明示同意和授权同意。其中，“明示同意”指的是个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。其中，肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。

而“授权同意”指的是个人信息主体对其个人信息进行特定处理作出明确授权的行为，这既包括通过积极的行为作出授权（即明示同意），也包括通过消极的不作为而作出授权（如信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域）。根据《告知同意指南》，个人信息主体未自行拒绝使用产品或服务，且产品或服务可通过公开可访问的隐私政策等文件了解收集使用个人信息规则的情况也属于授权同意的范畴。

同时，与“同意”密切相关的一个行为是“告知”。个人信息控制者（本文中主要针对收集使用个人信息的企业）在收集个人信息之前，应当将与个人信息处理活动相关信息提供给个人信息主体，使其了解个人信息处理活动的有关规则。这一行为在《告知同意指南》中定义为“告知”。告知是同意的前提，企业在告知时应当遵循告知同意的基本原则，考虑相关要素以及业务的特殊场景要求，确保告知同意过程合法合规。

三、告知同意的基本原则

根据《个人信息安全规范》，个人信息控制者开展个人信息处理活动应遵循合法、正当、必要的原则。根据《告知同意指南》，告知与同意分别有以下基本原则，个人信息控制者在实施告知同意时应当考虑以下基本原则，以保证告知过程和征得同意过程均为切实有效。

四、告知同意需考虑的要素

根据《告知同意指南》，个人信息控制者在实施告知同意时还可以考虑以下五个要素，优化告知同意的方案和机制。

五、取得何种同意及如何取得同意

01明示同意优先、授权同意例外

如前所述同意包括明示同意和授权同意两种类别。根据《告知同意指南》，个人信息控制者在征得个人信息主体同意时，应当优先采用明示同意，确保个人信息主体的意愿表示是在理解收集目的和相关处理规则的基础上自主给出的、具体的、清晰明确的，且尽量避免采取授权同意的机制，因为此类机制可能导致个人信息主体忽略对个人信息处理规则的关注。

在某些条件受限或成本巨大等情况下且经个人信息影响评估后无高风险，才可考虑采用授权同意的模式。这些情况包括以下几种：

02取得明示同意的模式选择

明示同意的模式主要包括以下六种，个人信息控制者可以结合产品或服务的特点，选择上述同意模式中的一种或几种。例如，如果收集个人信息可能对个人信息主体权益造成重大财产损失的，可以在交互式界面执行主动勾选、点击等操作基础上（01），进一步采取电话录音（06）、签字确认（03）等方式。 

六、何种情况下需要取得同意

根据《告知同意指南》，告知同意有四种主要的适用情形，分别是收集使用个人信息时、使用目的变更时、对外提供个人信息时以及其他情形。这四种情况的具体情形如下表所示：

七、取得同意的例外

根据《个人信息安全规范》，在某些情形中，个人信息控制者收集、使用个人信息不必征得个人信息主体的授权同意以及明示同意，即存在一些免于告知同意的情形，具体如下所示：

1. 与个人信息控制者履行法律法规规定的义务相关的；
2. 与国家安全、国防安全直接相关的；
3. 与公共安全、公共卫生、重大公共利益直接相关的；
4. 与刑事侦查、起诉、审判和判决执行等直接相关的；
5. 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的；
6. 所涉及的个人信息是个人信息主体自行向社会公众公开的；
7. 根据个人信息主体要求签订和履行合同4所必需的；
8. 从合法公开披露的信息中收集个人信息的，如合法的新闻报道、政府信息公开等渠道；
9. 维护所提供产品或服务的安全稳定运行所必需的，如发现、处置产品或服务的故障；
10. 个人信息控制者为新闻单位，且其开展合法的新闻报道所必需的；
11. 个人信息控制者为学术研究机构，出于公共利益开展统计或学术研究所必要，且其对外提供学术研究或描述的结果时，对结果中所包含的个人信息进行去标识化处理的。

除此之外，《告知同意指南》中针对收集使用个人信息时、使用目的变更时、对外提供个人信息时免于告知同意的情形做了更为详细的规定，具体请参考该指南第六章的相关内容。

结语

本篇主要阐述了关于同意的境内外相关立法、同意的定义和类别、原则、模式、适用情形以及例外，重点回答了如何取得同意、什么情况下需要取得同意、取得同意的例外这几个关键问题，希望能对企业从原则和基本规则上把握收集使用个人信息时的合规要点有所帮助。对于与App中取得同意相关的具体规则、特殊领域的同意规则、相关的罚则和处罚案例、给企业的合规建议等，我们将在下篇进行详细阐述，敬请期待。