一、GB/T 35273-2020 5.6 标准原文
GB/T 35273-2020 5.6 征得授权同意的例外
条款原文:以下情形中,个人信息控制者收集、使用个人信息不必征得个人信息主体的授权同意:与履行法律法规义务相关;与国家安全、国防安全直接相关;与公共安全、公共卫生、重大公共利益直接相关;与刑事侦查、起诉、审判和判决执行等直接相关;为维护个人信息主体或其他个人生命、财产等重大合法权益且很难得到本人授权同意;个人信息主体自行向社会公众公开;根据个人信息主体要求签订和履行合同所必需;从合法公开披露信息中收集;维护产品或服务安全稳定运行所必需;合法新闻报道所必需;出于公共利益开展统计或学术研究且对外提供结果时已去标识化处理等。
条款原文:以下情形中,个人信息控制者收集、使用个人信息不必征得个人信息主体的授权同意:与履行法律法规义务相关;与国家安全、国防安全直接相关;与公共安全、公共卫生、重大公共利益直接相关;与刑事侦查、起诉、审判和判决执行等直接相关;为维护个人信息主体或其他个人生命、财产等重大合法权益且很难得到本人授权同意;个人信息主体自行向社会公众公开;根据个人信息主体要求签订和履行合同所必需;从合法公开披露信息中收集;维护产品或服务安全稳定运行所必需;合法新闻报道所必需;出于公共利益开展统计或学术研究且对外提供结果时已去标识化处理等。
提示:完整原文请参阅 GB/T 35273-2020 正式文本
引用:5.6不是给组织“少走授权流程”的便利条款,而是对特定紧急、法定、公共利益场景作出的有限例外安排。
二、条款解读说明
2.1 5.6的本质是例外,不是常规替代路径
个人信息保护实践中,很多组织一看到“授权同意的例外”,就容易把它理解成“某些情况下不必做授权,所以可以简化处理”。这是非常危险的。5.6的定位是有限例外,适用前提通常是法律有明确依据、公共利益目标足够强、现实上难以取得同意,或者个人信息已经由主体自行公开。例外的存在,是为了避免制度在特定场景下僵化,并不意味着组织可以把模糊的商业需要包装成例外事由。
2.2 5.6列举的例外事项大致可分为四类
| 例外类别 | 典型条款 | 适用逻辑 | 常见误用 |
|---|---|---|---|
| 法定义务和执法司法 | 履行法定义务、刑事侦查、判决执行等 | 外部强制性要求优先 | 把内部制度要求等同于法律义务 |
| 国家与公共利益 | 国家安全、公共安全、公共卫生、重大公共利益 | 保护更高层级公共利益 | 泛化解释“公共利益” |
| 紧急保护和合同履行 | 维护生命财产安全、根据主体要求签订和履行合同 | 无法或无必要逐项重新征得同意 | 把一般业务便利说成合同必需 |
| 公开信息与研究报道 | 自行公开、合法公开渠道、新闻报道、统计研究 | 信息已有公开基础或存在特定社会价值 | 忽略使用边界和去标识化要求 |
2.3 适用例外条款仍要遵循必要性和比例性
即便落入5.6列举的例外情形,也不意味着可以无限处理个人信息。组织仍应控制处理范围、使用目的、保存期限和访问权限,避免“因为不需要同意,所以可以多收、多用、多留”。例如,为履行法定义务收集信息,应仅限于履责所必需的范围;为维护系统安全稳定运行收集日志,也应仅限于安全所需的数据项和保存期限;为公共利益研究使用个人信息时,对外结果仍需去标识化。也就是说,例外免除的是“事先征得授权同意”的义务,而不是免除其他个人信息保护要求。
2.4 “已公开信息”并不意味着可任意处理
这是5.6最常见的误区之一。无论是个人信息主体自行向社会公众公开的信息,还是从合法公开披露渠道获得的信息,组织都不能据此随意进行与公开场景明显不相称的深度画像、批量聚合、自动化决策或商业转售。标准之所以把这类场景列为例外,是承认其获取方式无需再逐项同意,但并不意味着使用边界被彻底取消。组织仍需遵守目的正当、必要最小和风险可控原则。
2.5 例外条款的适用必须可证明、可解释
实务中,最危险的做法是口头判断“这应该属于例外”,但没有任何法律依据、事实依据和审批留痕。5.6的合规关键在于:组织必须能够说明为什么该场景落入例外、为什么无需同意、为什么处理范围是必要的、为什么没有更低风险替代方案。没有这些证据,一旦发生投诉或审查,例外主张往往站不住脚。
三、实施要点
3.1 建立授权例外适用清单
- 按条款逐项列明组织可能涉及的例外场景及其法律或业务依据。
- 不得使用“其他情况”“平台惯例”等模糊表述代替具体依据。
- 将例外清单作为业务部门和法务、安全共同适用的判断工具。
3.2 强化例外适用前的审查和审批
- 对拟不经授权同意开展的处理活动进行法律依据、必要性、比例性和风险审查。
- 高风险场景应经法务、合规或个人信息保护负责人审核。
- 对临时紧急场景应在事后补充留痕和复盘。
3.3 即使适用例外,也要控制处理边界
- 限定处理目的、字段范围、访问权限、保存时间和共享对象。
- 对公开信息和研究类场景尤其要控制汇聚、扩散和二次利用风险。
- 避免把例外场景转化为日常批量化处理通道。
3.4 做好例外适用的外部说明准备
- 面对用户、监管或审计时,应能解释不征得同意的依据和边界。
- 对新闻报道、学术研究、公共利益等场景,准备相应证明材料。
- 将例外场景纳入5.5个人信息保护政策或相关公开说明的适当表达中。
3.5 建立复盘和退出机制
- 例外基础消失后,应立即恢复正常授权规则或停止处理。
- 对紧急场景和临时场景进行事后复盘,避免被长期常态化使用。
- 定期检查业务部门是否扩大解释例外条款。
四、常用工具与实施方法
| 工具/方法 | 适用场景 | 实施重点 | 关键输出 |
|---|---|---|---|
| 例外适用判断表 | 例外场景识别 | 明确条款依据、事实基础和适用边界 | 判断记录 |
| 必要性与比例性审查 | 高风险处理活动 | 控制处理范围和替代方案 | 审查意见 |
| 法务合规会签机制 | 例外审批 | 避免业务单方面扩大解释 | 审批记录 |
| 公开信息使用边界审查 | 公开来源数据利用 | 防止超目的汇聚和再利用 | 边界说明 |
| 事后复盘机制 | 紧急或临时例外场景 | 检查例外适用是否合理及是否需退出 | 复盘报告 |
注意:5.6最大的风险,不是不会用例外,而是把例外当成授权规则的“方便绕行通道”。
五、典型案例
案例1:把营销需求误解释为合同履行必需
- 背景:某平台在用户下单后,未经额外授权推送大量营销信息,主张“属于合同履行相关”。
- 问题:订单履行与营销推广并非同一处理目的,营销很难被认定为合同履行所必需。
- 改进:将营销行为与履约通知明确区分,履约类处理适用必要范围,营销类处理回归正常授权路径。
案例2:研究项目使用公开信息但未控制二次传播
- 背景:某研究项目从公开网络信息中收集大量个人信息进行分析。
- 问题:虽然来源属于公开信息,但对外展示结果时保留了可识别特征,风险较高。
- 改进:在输出阶段做去标识化处理,并限制原始数据访问范围和保存期限。
案例3:系统安全日志采集被无限扩大
- 背景:组织以“保障系统安全”为由,长期收集超出安全必要范围的大量行为数据。
- 问题:安全稳定运行例外不能替代一般业务分析和精细化运营。
- 改进:重新界定安全日志字段、保存期限和使用目的,超出安全范围的处理另行走授权和必要性评估。
六、成文信息管理要求
5.6要求组织能够证明其适用例外条款具有事实和法律依据,因此相关判断和控制证据必须完整保留。
- 建议保留的成文信息
- 例外适用判断记录及法律依据说明
- 必要性、比例性审查和审批记录
- 公开信息来源证明和研究使用边界说明
- 紧急处理、事后复盘和退出记录
- 例外场景下的数据范围、保存和访问控制记录
- 管理要求
- 记录应能说明为何属于例外、为何无需同意以及为何处理边界适当。
- 高风险例外场景应具备专门审批或会签痕迹。
- 文档和证据应与实际处理行为一一对应,避免“纸面例外、实际扩张”。
七、常见误区及踩坑提醒
| 误区 | 常见表现 | 正确做法 |
|---|---|---|
| 例外可以宽泛解释 | 把任何业务便利都包装成无需同意 | 严格限于标准列举和可证明场景 |
| 例外免除了全部合规义务 | 认为无需同意后就可无限处理 | 仍需遵守必要、最小、可控原则 |
| 公开信息可随意用 | 公开信息被批量汇聚和深度画像 | 控制处理边界并关注使用场景适配性 |
| 安全稳定运行是万能理由 | 用安全名义收集与安全无关的数据 | 限定为真正与安全运行直接相关的处理 |
| 不留例外判断证据 | 只能口头解释为何没征同意 | 建立判断、审批和复盘记录链 |
警告:5.6一旦被业务部门无限扩大解释,个人信息保护体系会从“例外审慎适用”迅速滑向“默认不需同意”的高风险状态。
小结:5.6允许组织在特定法定、紧急和公共利益场景下不经授权同意处理个人信息,但前提是例外适用必须严格、克制、可证明,并始终受必要性和比例性约束。