近年来，随着企业商事制度改革的深入推进，中国政府对市场主体的规制已由“事前审批”全面转向“事中事后监管”。经营者虽由此获得了巨大的市场空间和更为宽松的进入环境，却也切身感受到了政府监管执法力度的不断加大。2018年新一届政府进行了机构改革，在中央层面设立了国家市场监管总局，同时在31个省（市）陆续整合成立市场监管局并下辖执法大队。市场监管部门将对企业运营进行统一的“事中事后监管”，由此开启了市场监管与合规的崭新局面。

      对广大在华运营的企业而言，更为严格的监管执法带来的合规压力是全方位的；其中，从我们既往的实务经验来看，“反垄断与竞争（Antitrust & Competition）”、“数据与隐私保护，以及网络安全（Data Protection & Privacy and Cybersecurity）”和“反商业贿赂（Anti-commercial Bribery）”往往是经营者们最为关注的三个重要领域。我们理解，这既与中国相关法律制度的建立和完善，以及相关执法力度的加大有关，也是企业在到达一定发展阶段后，其内在合规需求驱动的必然结果。

      作者团队在以上三个领域具有丰富的实务经验：

      反垄断与竞争（Antitrust & Competition）：2004年起

      数据与隐私保护,以及网络安全（Data Protection & Privacy and Cybersecurity）：2012年起

      反商业贿赂（Anti-commercial Bribery）：2004年起

      因此，我们计划在未来的一段时间内，陆续撰写并推出“ADA”领域的系列合规文章，主要基于我们的实务经验，并结合客户常见的具体业务场景，给读者带来“接地气”的干货指引。

概要

      1月22日，全国信息安全标准化技术委员会就国家推荐性标准《信息安全技术个人信息告知同意指南》（以下简称“指南”）征求意见，从告知同意的适用情形、告知内容、方式以及同意模式选择、机制设计、变更与撤回等网络运营者在网络环境中进行对个人信息主体就收集、使用、对外提供其个人信息的告知同意方式加以规范。值得关注的是该指南附录部分针对八个现实场景，就告知的内容和告知同意的方式给出了详细建议，可供相应企业进行参考。

本文将结合执法机关正在制定或已经颁布的相关指南或认定办法，以及相关执法，重点就企业在日常运营中会碰到的几个常见问题进行解答。

一 如何正确放置告知？

      实践中，一般在未经律师提示的情况下，企业技术专员可能会出现将隐私政策以及相关收集、使用个人信息声明隐藏于主界面（难以访问）或出现文本无法正常显示的情况。上述情形，一般均可被执法机构认定为未公开收集使用规则的情形。因此，根据该指南的相关规定，我们的建议如下：

二 企业如何保存告知同意的证据？

      根据《网络安全法》第二十一条的规定，网络运营者应按照规定留存相关的网络日志不少于六个月。此外，电商平台经营者应当记录、保存平台上发布的商品和服务信息、交易信息不少于三年。那么，企业应当如何保存告知同意的证据，以及保存哪些证据合适呢？根据该指南的规定，我们认为企业可以参照以下几点进行留存：

• 证据留存情况：应当留存个人信息主体初次选择同意特定个人信息处理活动以及后续变更或撤回同意的证据；

• 证据内容：主要包括时间、事项、目的等；

• 证据留存的方式：不限于日志、个人信息主体授权同意的页面、告知同意的工作流程等；

• 证据留存的时间：个人信息处理活动持续存在时间+处理活动结束后，不应超过履行法律义务、提起或应对诉讼、纠纷的必要限度。

      此外，企业在实践中值得注意的是不应为证据留存而额外收集个人信息。

      在《信息技术安全 个人信息安全规范》征得授权同意的例外，该指南增加了免于告知同意的形象，如（1）所涉及的个人信息是个人信息主体自行向不特定社会公众公开的;（2）与商业或职务行为直接相关的个人信息；（3）用于维护所提供的产品或服务安全、质量和稳定运行以及防范危害运营安全行为所必需的；（4）与个人信息主体求职、就业直接相关的；（5）专为未成年人提供服务的产品或应用，为保障未成年人的合法权益，在充分告知监护人的前提下，可以豁免征求同意；（6）个人信息控制者因被收购、兼并、重组、分拆等主体变更导致向继受者提供或者转移个人信息的情形等。

      值得企业注意的是，在企业招聘场景下，如用人单位收集个人信息主体投递的包含姓名、联系电话、学历背景、工作经验等个人信息的简历时，不需要向个人信息主体告知，但在使用上述个人信息时仅限于招聘场景。

四 如用户无法变更或撤回同意企业应当怎么做？

      实践中，用户的某项授权同意的变更或撤回可能导致整个核心业务功能的无法使用的情形，而事实上在PISS中仅要求个人信息控制者授予用户变更和撤回同意的权利，但并没有规定例外情况。

而该指南明确了如个人信息主体无法变更或撤回，个人信息控制者需向个人信息主体解释造成这种情况的原因。因此，如需要电话或邮件进行变更或撤回同意时，在无法变更或撤回的情况下，企业必须真实准确、具体明确、清晰易懂地向个人信息主体表达解释造成的原因。

五 如何满足儿童个人信息的告知同意？

      根据《儿童个人信息网络保护规定》的规定，收集、使用、转移、披露儿童个人信息的，应当以显著、清晰的方式告知儿童监护人，并征得儿童监护人的同意。那么企业在收集儿童个人信息时，除了制定儿童版本的隐私政策外，如何确保该告知同意是充分的呢？

按照该指南，企业还应当核验儿童和监护人身份。如该企业运营的主要受众群体非儿童，则可采用弹窗等方式询问个人信息主体是否为儿童，如受众群体是儿童的，应当采用验证强度较高的方式进行核验，例如要求输入身份证号码等。对其监护人的核验措施包括短信验证、电话验证、邮箱验证、超链接验证等，以确保真正获得监护人授权。

六 SDK采集个人信息应由宿主App向用户代为告知

      绝大多数App为了提高开发效率，可能会将某项功能交给第三方来开发，第三方服务提供商将服务封装为SDK供开发者使用。一些SDK仅作为功能性SDK存在，所采集的个人信息全部为宿主App控制；但有些也具备收集用户个人信息的能力。随着App个人信息保护治理工作的深入推进，与App存在密切联系的第三方SDK收集个人信息问题也逐渐进入各方视野。目前，第三方SDK监管是近期执法监管的重点。

      根据该指南，只要SDK采集个人信息，就需要先向宿主App告知所采集的个人信息类型及采集使用的目的、范围等，然后由宿主App在SDK收集个人信息前向个人信息主体告知并应征得其同意。因此，我们建议：

• 如SDK未事先向宿主App运营者告知收集、使用个人信息情况的，宿主App运营者应采取相应技术措施和检测系统防止第三方SDK收集个人信息；

• 如SDK事先向宿主App运营者告知收集、使用个人信息情况的，宿主App运营者应采取相应检测措施防止第三方SDK收集无关个人信息，并之与签订相关协议对收集、使用个人信息情况进行约定。

七 人脸识别如何正确告知？

      目前，人脸识别已经被学校、商场、品牌门店等公共场合广泛应用，但往往在使用人脸识别收集个人信息主体脸部信息时并未向个人信息主体告知。

      根据该指南，对于在商场或品牌门店放置人脸识别技术应用于收集人脸等个人敏感信息的商家，我们建议：

• 在摄像头安装处、导购导引、支付柜台显著处张贴告知，并应当明确标识信息采集设备的性质和目的并征得信息主体或其合法监护人的授权同意，依据法律法规和相关约定的情况除外。如涉及刷脸登陆、刷脸支付的，还需为信息主体提供其他登陆或支付的路径和方式；

• 可在产品PC 端、移动端与公共场所的问讯处、柜台、管理办公室等处同时提供完整隐私政策或条款文本，供个人信息主体需要时查阅；

• 如收集人脸信息仅用于与设备本地已存储的人脸信息进行比对或者只进行本地处理而没有回传服务器的，不需要向客户告知。