重点解读

本条规定了个人信息处理者在基于同意处理个人信息的情形下取得同意的方式。

就一般情形而言，个人信息处理者需要依据《个人信息保护法》第七条的规定向个人明示个人信息处理规则，在确保个人充分知情的基础上，由个人自愿作出明确的意思表示。

就特殊情形而言，若法律或行政法规明确规定在某些场景下处理个人信息应当取得个人单独同意或者书面同意的，则个人信息处理者应当遵守相应的规定。《个人信息保护法》第二十三条、第二十五条、第二十六条、第二十九条、第三十九条规定了需要单独同意的五种情形，分别是“向第三方提供其处理的个人信息”“公开其处理的个人信息”“对外提供个人图像、个人身份特征信息”“基于个人同意处理敏感个人信息的”以及“向中国境外提供个人信息”。

同时，本条第二款要求个人信息处理者在“处理目的、处理方式和处理的个人信息种类发生变更”的情形下，需要重新取得个人信息主体的同意。鉴于个人信息主体是否同意个人信息处理主要是基于对处理目的、处理方式和处理的个人信息的种类的认识并在此基础上作出的判断，当处理目的、方式和信息种类发生变更时，原有的同意亦自然失效。此时要求个人信息处理者重新取得个人同意，亦是对信息主体权利的尊重。

实务要点

1.同意应当如何作出

本条明确，同意应在个人充分知情的前提下自愿、明确作出。实务中，对于基于用户同意处理用户个人信息的情形，一般宜以弹窗等形式引导用户阅读《个人信息保护政策》等个人信息授权文本，通过《个人信息保护政策》主动向用户充分说明处理个人信息的规则，并由用户以手动点击确认、手动勾选同意等“主动性”动作作出同意。

2.重新取得用户同意应当如何实现

本条明确，在个人信息的处理目的、方式和处理的个人信息种类发生变更的情形下，应当重新取得个人同意。就重新取得同意而言，一般在相关处理行为对应的业务功能发生变更时，通过重新弹窗等形式要求用户重新作出同意。

案例解析

*案情介绍

2019年4月，郭某与其妻子向某野生动物世界购买了双人年卡，并以微信支付方式向该野生动物世界交付卡费1360元。根据购卡时的合同约定，郭某与其妻子可以使用指纹识别的方式入园。购卡后，郭某与其妻子留下姓名、身份证号码、电话号码等信息并录入指纹，该野生动物世界还拍摄了郭某及其妻子的照片，在未经二人同意的情况下，通过照片获取了人脸识别信息。

2019年7月，野生动物世界以提高游客入园的通行效率为由，决定将入园方式从指纹识别入园调整为人脸识别入园，并向包括郭某在内的年卡用户发送了短信通知，随后便停用了指纹识别的闸机。对此，郭某认为，野生动物世界与其签订的原合同约定以“指纹识别”作为入园方式，现在野生动物世界擅自将入园方式变更为“人脸识别”，属于违反合同约定。故郭某将野生动物世界诉至法院，要求其作出赔偿，并删除已经收集的个人信息。

一审法院经审理认为，首先，野生动物世界通过单方通知的形式对合同进行了变更，改变了合同约定的履行方式，客观上增加了郭某履行合同的负担，违反了合同的约定，因此应当承担违约责任并赔偿郭某的损失。其次，根据原合同约定，野生动物世界将采取指纹识别的方式入园，就这一服务而言，野生动物世界收集郭某及其妻子的人脸识别信息并无必要，加之野生动物世界在收集时并未获得郭某及其妻子的同意，而是私自从郭某及其妻子的照片上获取了二人的人脸识别信息，故郭某有权要求野生动物世界删除已经收集的人脸识别信息。最后，就其他已经收集的个人信息（如指纹信息等），因为野生动物世界在收集前已经取得了郭某的同意，故该收集行为合法有效，郭某请求删除相关信息，法律依据不足。

最终，一审法院判决野生动物世界删除人脸识别信息并赔偿郭某相应的损失，但是无需删除其他已经收集的个人信息。

郭某不服一审法院的最后一项认定，提出上诉。二审法院经审理后认为，虽然郭某办理指纹识别年卡时对收集指纹等个人信息表示同意，选择权并未受到限制或侵害，但鉴于野生动物世界停止使用指纹识别闸机，致使原约定的入园服务方式无法实现，故二审法院最终在一审判决的基础上增判野生动物世界删除郭某办理指纹识别年卡时提交的指纹识别信息等个人信息。

*法律解析

本案中，野生动物世界拍摄郭某及其妻子照片的目的实际是进行人脸识别，但是该野生动物世界却刻意向二人隐瞒了这一点，在野生动物世界未明示该收集行为的情况下，郭某及其妻子同意拍摄照片并不能被当然解释为同意提供人脸识别信息。因此，野生动物世界获取人脸识别信息的行为实质上并未取得二人的同意。

在《个人信息保护法》正式生效后，如个人信息处理者使用此类未经当事人同意而收集的个人信息甚至有可能直接违反关于个人信息的保护规定并遭致相应的处罚。因此，未经个人同意，不合法地收集个人信息对于处理者而言可谓得不偿失。

关联法条

《网络安全法》第四十一条。