处理与经营活动无直接关联的信息的同意问题讨论

国家市场监督管理总局于2021年3月15日公布的《网络交易监督管理办法》（以下简称为“办法”），将于2021年5月1日生效实施。根据办法第二条的规定，其规制的网络交易活动为在中华人民共和国境内，通过互联网等信息网络（以下简称通过网络）销售商品或者提供服务的经营活动，包括在网络社交、网络直播等信息网络活动中销售商品或者提供服务的经营活动。
 
办法关于个人信息保护与隐私权保护的条款主要见于第十三条和第十六条，以及第三十一条中涉及到部分个人信息存储的最低时限的问题。从个人信息保护上来说，是对《消费者权益保护法》、《网络安全法》、《电子商务法》的延续和补充，本文中笔者仅从一个小点出发，希望讨论办法中对于收集、使用与经营活动无直接关系的信息同意标准的设定。笔者才疏学浅，文章难免漏洞百出，不足之处还望各位专家雅正。
 
办法在第十三条第二段中对授权同意的描述：网络交易经营者不得采用一次概括授权、默认授权与其他授权捆绑、停止安装使用等方式，强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息。其中就涉及到了同意的标准是否发生了变化。
 
目前我们所说的同意，在《网络安全法》下是没有详细规定同意的标准的，《消费者权益保护法》中也没有过多描述这一部分。按照《个人信息安全规范》的理解，同意可以分为明示同意和默示同意。其中，对于敏感信息的处理一般情况下需要采用明示同意的方式。从《App违法违规收集使用个人信息行为认定办法》中可以见到一些明示同意的规定，例如对App隐私政策的同意不得采用默示同意的方式。
 
办法中提出的同意标准对关于收集与经营活动无直接关系的信息的同意标准做了一些规定：

1. 不得一次性概括授权：授权同意需要具体，而不得概括性同意。
2. 不得默认授权：授权同意需要明示同意。
3. 不得强迫同意：同意需要自由作出。
4. 收集敏感信息：需要逐项同意，即同意需要具体而明确。

 
从立法本身的角度来说，在《民法典》、《网络安全法》中应对同意的标准作出一定的规定，《电子商务法》才能将其援引，办法才能承继和解释，目前办法的做法无疑是在一定范围内对空白的部分在强制性规范的层面进行了规制，但从中国此前的实践做法来说，似乎又有一些困惑：例如App隐私政策必须获取明示同意，但是同意隐私政策本身是否会被视为是对与经营活动无直接关系信息的一次性概括授权？那么此时如何操作？进入网站时会留下cookie的痕迹，追踪信息和类似工具所涉的信息是否有经过明示同意？目前很少有网站会使用cookie声明和cookie横幅，很少有同意的勾选或者点击（当然，不是说这样的做法是合规的），更别提能够自由选择更改网站上的cookie设置的问题，尤其是网站cookie还会细分为必要cookie、功能性cookie、分析性cookie、社交性cookie，此时没有这些同意和更改cookie设置，对于不是必要cookie的部分，是否也会被认为属于概括授权和默认授权？
 
实际上，同意的标准与处理活动是否依赖同意这一合法性基础有一定联系。在《民法典》生效前，在中国的强制性法律中，尤其是《网络安全法》中，并没有详细列举同意的例外情形（当然，即使没有规定其他的合法性基础，法律的规定也是不可违背的，尤其是法律要求收集信息时，是不依赖于同意的），同意基本上属于一个收集个人信息的万能钥匙，导致同意被滥用和形式化。《信息安全技术 个人信息安全规范》（“个人信息安全规范”）中有对同意的例外作出规定，但其不属于国家法律、行政法规和部门规章的规定，也不是强制性国家标准，没有强制实施的效力。
 
在强制性法律规定的合法性基础（legal bases）中缺乏对同意的例外规定时，概括同意、强迫同意、默认同意是有其出现的土壤和环境的，尤其是出于业务效率、用户体验等考虑，很多企业都会考虑概括授权、强迫授权、默示授权的问题。
 
一旦合法性基础中出现了同意的例外，例如为履行与数据主体之间的合同义务所必需，其实这部分信息就不需要再征求同意了，因为有其他更加合理的合法依据（合同），此时即需要区分了履行合同所必需的信息，和履行合同义务下不必需的信息。履行合同义务所必需的信息，在法律上没有明确这一合法性基础的前提下，似乎也无法不同意。当然这部分不属于本文中的讨论范畴，因上述同意标准针对的是与经营活动无直接关联的信息。
 
对于不属于履行合同所必需的信息时，还可理解为是一些特定的附加功能或附加服务，这些附加服务或附加功能本身不是履行与数据主体之间的主合同或主服务协议所必需的，但如果按照《个人信息安全规范》，其实从宽泛理解上，附加功能和附加服务，也会有这部分附加功能和服务的协议，其实也属于在履行与数据主体之间的合同，只是并非基础功能或服务。按照目前的合规要求，落入本文讨论范围：还需要看这些附加服务和附加功能与经营者的一般经营活动直接关联度有多远。例如航空公司提供航空运输服务，所以其一些产品和服务也会围绕或者说，直接关联航司的航空运输服务，例如机票+酒店的服务，或者接送机服务、假期热门航线旅行产品等。但是，目前很多航空公司都会区分主营征收和辅营征收，似乎这些经营活动在航空会相对广泛一些，如果狭义理解这里所说的经营活动直接关联，应该说的是处理目的与航司主营业务（航空运输）的关联，而且如果细化，应该是分别与航司的客运业务还是货运业务的关联。比如很多航司目前在开电商平台卖酒卖手机等，与客运业务其实离得远，实际是其货运物流业务的上游，此时如果收集旅客的信息，这些旅客就会有疑问，尤其是开电商平台的一般是关联公司或子公司，但顶的名头、亮的招牌都还是航司，如果航司收集了旅客的个人信息，传给这些关联公司、子公司用做上述的目的时，理解上就需要取得旅客的额外的同意，且按照办法，不概括、不默示、不强迫授权。
 
从信息处理角度而言，其处理目的与经营活动关联度越差，其信息收集就显得越诡异。例如，举一个不可能出现的极端例子，正常情况下，航空公司不会去收集旅客的腰围尺码的，航司也不会告知旅客说收集尺码是为了给旅客提供更加贴合身材的安全带。因为这个目的是很诡异的了，一般而言，安全带和座位的设计并不是航司设计的，也不是造飞机的公司设计的，而是采购的其他制造座椅的公司的产品。如果真的出现的话，此时需要先考虑的是，处理目的是否超出了必要性？即是否违反目的限制和数据最小化。这部分信息在目的上如果都不合理，是否还能依赖同意来洗白目的？即使数据主体在自由意志下提供了明确、具体、可撤回的同意，超出必要范围时仍然是违法的，违反的是法律规定的个人信息处理的必要性，而不是数据处理活动缺乏合法性基础，当然如果此时同意的标准还不满足办法的规定，也会违规。
 
当然，本文其实只是抛出了问题，具体如何解释上述规定，仍然有赖于监管机关的澄清解释，以及通过具体的监管活动来体现。尤其是在目前《个人信息保护法》（草案）即将第二次审议，其中也对“同意”的标准有所规定，日后如何衔接和配合《个人信息保护法》的规定也有待进一步的观察和理解。