在即將于11月1日生效的《個(gè)人信息保護(hù)法》第13條中，除了“同意”以外，還首次明確了多種個(gè)人信息處理的合法性基礎(chǔ)：

　　為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需

　　按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需

　　為履行法定職責(zé)或者法定義務(wù)所必需

　　為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件

　　緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需

　　為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個(gè)人信息

　　依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息

　　法律、行政法規(guī)規(guī)定的其他情形

　　另外值得留意的是，在《個(gè)人信息保護(hù)法》中還提出了“單獨(dú)同意”（seprate consent）的概念，而在GDPR等外國(guó)的法律法規(guī)中并沒(méi)有這一概念。根據(jù)《個(gè)人信息保護(hù)法》，“單獨(dú)同意”適用于五個(gè)場(chǎng)景：

　　個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息

　　公開(kāi)個(gè)人信息

　　公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，用于維護(hù)公共安全以外目的收集個(gè)人圖像、身份識(shí)別信息

　　處理敏感個(gè)人信息

　　向境外提供個(gè)人信息

　　因?yàn)槭且粋€(gè)嶄新的概念，所以“單獨(dú)同意”在實(shí)踐中如何落地、能否豁免存在相當(dāng)?shù)牟淮_定性。

　　單獨(dú)同意比普通的同意更難獲得，需要單獨(dú)的意思表示，因此很多場(chǎng)景下獲取單獨(dú)同意非常困難。進(jìn)而問(wèn)題來(lái)了：如果不基于“同意”處理個(gè)人信息，那么在特定的五個(gè)場(chǎng)景下，是否還需要獲取單獨(dú)同意？

　　假設(shè)個(gè)人信息處理是為了應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，如因?yàn)榉揽匾咔榈男枰占彰?、身份證號(hào)、行程等信息，但行蹤軌跡是敏感個(gè)人信息，《個(gè)人信息保護(hù)法》第29條要求處理敏感個(gè)人信息需要單獨(dú)同意。

　　有很多觀點(diǎn)認(rèn)為如果不基于同意處理個(gè)人信息，那么也無(wú)需獲取單獨(dú)同意。比如程嘯教授認(rèn)為：

　　處理敏感的個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意，當(dāng)然是指那些基于個(gè)人同意處理敏感的個(gè)人信息的情形，至于依據(jù)法律、行政法規(guī)的規(guī)定無(wú)需個(gè)人同意即可處理個(gè)人信息的情形，則不適用?！?/p>

　　程嘯：《個(gè)人信息保護(hù)法理解與適用》，中國(guó)法制出版社2021年版，頁(yè)273

　　也有律師持同樣的觀點(diǎn)：

　　當(dāng)且僅當(dāng)處理數(shù)據(jù)的合法性事由是基于同意的時(shí)候，有五個(gè)場(chǎng)景是需要獲得“單獨(dú)同意”的。

　　孟潔律師團(tuán)隊(duì)，公眾號(hào)：M姐 數(shù)據(jù)合規(guī)評(píng)論

　　Step 6 | 一天一步帶你落地《個(gè)人信息保護(hù)法》

　　但我認(rèn)為這種觀點(diǎn)在實(shí)踐中是有風(fēng)險(xiǎn)的。對(duì)比《個(gè)人信息保護(hù)法（草案二次審議稿）》與《個(gè)人信息保護(hù)法》：

　　《個(gè)人信息保護(hù)法（草案二次審議稿）》

　　《個(gè)人信息保護(hù)法》

　　基于個(gè)人同意處理敏感個(gè)人信息的，個(gè)人信息處理者應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。……（第30條）

　　處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意；……（第29條）

　　在正式通過(guò)的《個(gè)人信息保護(hù)法》中專門刪除了“基于個(gè)人同意處理敏感個(gè)人信息”作為獲取單獨(dú)同意的前提條件。

　　此外，也需要重點(diǎn)討論“同意”與“單獨(dú)同意”的關(guān)系。如果我們僅認(rèn)為“單獨(dú)同意”是“同意”的子集，那么根據(jù)《個(gè)人信息保護(hù)法》第13條第2款很容易得出非基于“同意”處理個(gè)人信息，就不再需要“同意”了，當(dāng)然也不需要單獨(dú)同意。

　　但問(wèn)題在于，“單獨(dú)同意”并不單純是“同意”的子集，而是一種更高標(biāo)準(zhǔn)的“同意”。需要在更加立體的視角來(lái)觀察：

　　當(dāng)《個(gè)人信息保護(hù)法》因?yàn)榫邆淦渌戏ㄐ曰A(chǔ)而豁免“同意”之時(shí)，并不意味著“單獨(dú)同意”也被一并豁免掉。也就是說(shuō)，“單獨(dú)同意”的并不能夠因?yàn)榛凇巴狻币酝獾姆苫A(chǔ)就豁免掉。無(wú)論何種個(gè)人信息處理的法律基礎(chǔ)，“單獨(dú)同意”在相關(guān)場(chǎng)景下可能都是必需的。

　　另外，在合規(guī)實(shí)踐的角度，保守一些給意見(jiàn)總是不會(huì)犯錯(cuò)（雖然可能有礙業(yè)務(wù)的開(kāi)展）。尤其是在法律條文沒(méi)有對(duì)豁免“單獨(dú)同意”點(diǎn)頭的時(shí)候，不宜對(duì)法律進(jìn)行太過(guò)寬泛的解釋。

　　作為一名數(shù)據(jù)法律業(yè)務(wù)的律師，我當(dāng)然希望機(jī)構(gòu)能有更為便捷的合規(guī)路徑，但這樣的捷徑未必能夠達(dá)到法律監(jiān)管的要求，更會(huì)讓冒險(xiǎn)實(shí)踐者承擔(dān)更高的風(fēng)險(xiǎn)。大量實(shí)踐已經(jīng)表明，《個(gè)人信息保護(hù)法》不是一部可以輕易達(dá)到合規(guī)及格線的法律，需要對(duì)業(yè)務(wù)進(jìn)行全面的梳理和反思，甚至需要對(duì)業(yè)務(wù)模式進(jìn)行重大調(diào)整。

　　而本文僅是拋磚引玉，以上個(gè)人觀點(diǎn)也不一定經(jīng)得起推敲，權(quán)當(dāng)是記錄一些思考。