有关GDPR中的“同意”，W29都说了些什么...（上）

翻译：田申

校对：刘笑岑

第29条工作组关于2016/679条例中“同意”的指南

2017年11月28日通过，最后修订于2018年4月10日

1.介绍

本指南对第2016/679号条例，即《通用数据保护条例》（以下简称GDPR）中的同意概念进行了全面分析。《数据保护指令》（以下简称95指令）和以及现行的《隐私与电子通信指令（2002/58／EC）》（以下简称ePrivacy指令.）中使用的同意概念已经发生了变化。GDPR进一步说明了获得有效同意的具体要求。 本指南重点关注这些变化，提供GDPR在合规实践中的相关指导，并在15/2011意见的基础上建立同意。 数据控制者有义务进行创新，以便在法律范围内找到可以落地的新解决方案，并更好地保护个人数据和数据主体的利益。

根据GDPR第6条规定，同意是处理个人数据的六个合法性基础之一。当启动涉及个人数据的处理活动时，控制者必须认真考虑其处理活动的合法性基础是什么。

一般来说，只有向数据主体提供可以选择接受或拒绝的条款，或者拒绝这些条款不会对他们的利益造成损害时，数据主体的选择才是真实的，其才具有控制权，此时的同意才能成为处理的合法性基础。在征得同意时，控制者有义务评估其是否符合获得有效同意的所有要求。如果切实做到GDPR合规，则同意应当作为一种使数据主体可以控制其个人数据是否被处理的的工具。否则，数据主体的控制权变得虚假，同意将无法成为数据处理的有效基础，这将使得处理活动变成非法。

第29条工作组（以下简称WP29）关于同意的意见与新的法律框架保持一致，GDPR汇集了现有WP29指南和一般良好实践的内容，并且在GDPR下，大多数同意的关键要素保持不变。因此在本指南中，WP29对早期“关于特定主体的意见”进行了拓展，其中也参考95指令下的有关同意的指引，但不是替换它们。

如“15/2011意见”中有关同意的定义所述，征求人们接受数据处理的同意，应遵循严格的要求，因为它涉及数据主体的基本权利，而控制者希望未经数据主体同意从事非法的处理操作。《欧盟基本权利宪章》第7条和第8条强调了同意的关键作用。此外，获得同意并不否定控制者应承担的相关义务，也不代表其可以以任何方式降低遵守GDPR处理原则中规定的其他义务，特别是GDPR第5条关于公平性、必要性和比例性以及数据质量的义务。即使个人数据的处理是基于数据主体的同意，这也不会使与特定处理目无关的数据收集行为合法化，并且从根本上说这也是不公平的。

同时，WP29意识到对 “”ePrivacy指令”的关照。在“ePrivacy条例（草案）”中，同意的概念仍然与GDPR中的同意概念有关。对于大多数进行在线营销、营销电话，以及使用Cookie、应用程序及其他软件等开展在线跟踪的方法，数据控制者可能需要在“ePrivacy条例（草案）”的要求下获取同意。WP29已经向欧洲立法者提供建议和指导，就隐私权的规定提出建议。

对于现行“ePrivacy指令”中的内容，WP29认为对被废止的95年指令的引用应被视为对GDPR的引用。这也适用于在目前的2002/58 / EC指令中的同意，因为“ePrivacy条例（草案）并未在2018年5月25日生效。根据GDPR第95条，在“ePrivacy指令”.规定具有相同目标的具体义务情况下，不得对与公共通信网络中提供公共电子通信服务有关的处理附加额外义务。WP29指出，GDPR下的同意不应被视为“附加义务”，而是合法处理的先决条件。 因此，获得有效同意的GDPR条件适用于属于“ePrivacy指令”范围的情况。

2. GDPR第4条（11）中的同意

GDPR第4条（11）关于“同意”的定义：数据主体通过“自由的、特定的、明确的”陈述或者明确肯定的行为明确表达其同意处理与他（她）有关的个人数据。

同意的基本概念与95指令下的基本概念相同，根据GDPR第6条，同意是进行个人数据处理的合法理由之一。除了第4条（11）中的修订定义外，GDPR第7、32、33、42、43条中为控制者要如何遵守同意要求提供了主要方法指导。

最后，应当在文件中规定撤回同意的具体条款，确认同意应当是一个可逆的决定，并且在数据主体方面对其决定仍有一定程度的控制。

3.有效同意要件

GDPR第4条（11）规定，数据主体的同意意味着：

-同意需要是自由给出的；

-同意需要是明确的；

-知情的，以及；

-同意需要是明确的表示，明确指出数据主体的意愿，通过声明或者明确的肯定性行动，他或她表示同意处理与他或她有关的个人数据。

在下面的章节中，W29将对GDPR第4条（11）的要求进行分析，用于指导数据控制者如何对其征得同意的请求/形式进行改造，以符合GDPR的要求。

3.1 自由给出

“自由”意味着数据主体具有真正的选择权和控制权。作为一般规则，GDPR规定如果数据主体没有真正的选择权，他们感到不同意将承担负面后果因此被迫作出同意，那么这种“同意”将是无效的。如果同意被捆绑为不可解除的条款和条件的一部分，则推定该“同意”不是自由给出的。因此，如果数据主体无法在不受损害的情况下拒绝或撤回其同意，则同意将被视为是不合理的。GDPR中也考虑到了控制者和数据主体之间存在权力不对等的情况。

在评估同意是否是自由给出时，还应考虑将同意纳入合同或GDPR第7（4）条所述服务的具体情况。。第7条（4）以非“穷尽性”的方式使用了“其他情况”一词，这意味着该条款可能涉及一系列其他情况。一般而言，任何对数据主体施加不当压力或者影响因素（可能以多种不同的方式表现出来）可能妨碍数据主体行使其自由意志的，应认为该同意无效。

【案例1】

一个用于照片编辑的APP要求用户开启GPS定位以使用其服务。该APP还告诉用户，他们将使用收集到的数据用于行为广告目的。无论是地理定位，还是在线行为广告都不是提供照片编辑服务所必需的，超越了其核心服务的范围。由于用户不能在不同意这些目的的情况下使用该APP，所以不能认为这里的同意是自由给出的。

3.1.1 权力不对等

GDPR的Recital43清楚地表明，公权力机关可以（轻松地）通过征得同意的方式处理数据，因为只要控制者是一个公权力机关，控制者和数据主体之间的关系往往呈现出明显的权力不平衡。多数情况表明，数据主体对控制者的数据处理（术语）接受与否，不具备现实的选择能力。WP29认为，其他合法性基础原则上更适用于公权力机构的数据处理活动。

在不影响这些一般性考虑的情况下，GDPR并未完全排除使用同意作为公权力机关处理数据的合法依据。 以下示例表明，在某些情况下使用同意可能是适当的。

【案例2】

市政当局正在计划道路养护工程。由于道路工程可能会在很长一段时间里造成对交通的影响，市政府为市民提供了订阅电子邮件列表的机会，以获得对工程进度和预期延误的更新。市政当局明确表示，（市民）没有义务参与，且获取同意后仅在特定目的下使用电子邮件地址。不同意的公民也不会错过市政府的任何核心服务或影响其他任何权利的行使，因此，市民们能够针对该使用数据的行为自由地给予或拒绝同意。所有有关道路工程的信息也将在市政府网站上公布。

【案例3】

拥有土地的个人需要获得当地市政当局和省政府的某些许可。 两个公共机构都需要相同的信息来发放许可证，但不会访问彼此的数据库。 因此，两者都要求提供相同的信息，土地所有者向两个公共机构发送她的详细信息。 市政当局和省政府要求她同意合并档案，以避免造成程序和通信的重复。 两个公共机构都确保这个同意的是可选的，如果申请主体不同意合并她的数据，许可请求仍将被单独处理。因此，土地所有者能够针对当局合并申请的目的自由地给出同意。

【案例4】

公立学校要求学生同意在印刷的学生杂志上使用他们的照片。只要学生不会被剥夺教育或者相关服务，拒绝使用这些照片不造成任何损害，这些情况下的同意将是一个真正的选择。

就业环境中也出现了权力失衡。由于雇主/雇员关系的依赖性，数据主体不太可能拒绝雇主要求同意对其数据的处理，而不必担心由于拒绝而产生的有害影响或真正的风险。雇员不太可能对雇主提出的要求同意的请求作出有选择的自由应对而不感到任何压力，类似的场景例如工作场所的监控系统，或填写评估表格等。因此，WP29认为雇主基于同意处理当前或未来雇员的个人数据是有问题的，因为它不太可能自由地给出。雇主和雇员之间的关系性质决定了，对于大多数此类数据的处理工作，合法依据不能也不应该是雇员的同意（第6条第（1）款（a））。

当然，这并不意味着雇主永远不能依赖同意作为处理的合法基础。有某些情况下，雇主也可能证明同意实际上是雇员自由作出的。由于雇主与员工之间的权力不平衡，雇员只能在特殊情况下可以自由地给出有选择的同意，即：当他们不同意时，将不会产生任何不良后果。

【案例5】

电影摄制组将在办公室的某个地方拍摄电影。雇主要求所有坐在该区域的员工同意拍摄，因为他们可能出现在视频的背景中。那些不想被拍摄的人不会以任何方式受到惩罚，而只是在拍摄期间坐在其他相同标准的工位上。

权力不对等不限于公权力机关和雇主的场景中，也可能发生在其他情况下。

正如WP29在多个意见中强调的，只有当数据主体能够进行真正的选择，并且不存在欺骗、恐吓、胁迫等情形时，同意才是有效的，或者如果他/她，不会因不同意而面临重大负面后果（例如大量额外费用）的风险。在有强迫、压力或者不能自由表达意志的情况下，同意都是不自由给出的。

3.1.2 限定条件

为了评估同意是否自愿给出的，GDPR第7（4）发挥着重要的作用。

GDPR第7条（4）指出，“捆绑”式同意或者将合同或服务的提供与处理个人数据的同意请求“捆绑”在一起，而这些数据对履行该合同或服务而言不是必需的，这种做法都是非常不可取的。如果在这种情况下征得同意，则推定同意不是自由给出的（recital 43）。第7条（4）旨在确保个人数据处理的目的不被隐瞒，也不与无需提供这些个人数据的服务合同捆绑在一起。GDPR这样规定，是在确保处理基于同意的个人数据不能直接或间接地成为合同的反向履行。。处理个人数据的两个合法基础，即同意和合同不能混同及模糊处理。

强迫同意使用个人数据的行为，完全限制了数据主体的选择，并阻碍了自由同意的给出。GDPR旨在保护基本权利，个人对其个人数据的控制是必不可少的，可以毫无疑问地推断出，在履行合同或者提供服务时，如果征得同意处理的个人数据是不必要的，则不能作为为履行合同或者提供服务的目的而进行强制性同意。

因此，当数据控制者将寻求同意与履行合同捆绑时，则不希望将其个人数据提供给控制者的数据主体就会承担被拒绝服务的风险。

为了评估这种捆绑或者捆绑的情况是否发生，重要的是确定合同的范围以及履行合同所需的数据。根据WP29  06/2014意见，“履行合同所必需”一词需要严格解释。数据处理行为必须出于履行与每个单独数据主体合同所必要。 例如，处理数据主体的地址，以便可以配送在线购买的商品，或者处理信用卡详细信息以便于实现支付目的。在就业方面，诸如处理工资信息和银行账户细节，以便支付工资这类理由是被允许的。在处理数据和执行合同的目的之间需要有直接和客观的联系。

如果控制者试图处理实际履行合同中所必需的个人数据，则无需通过同意来获得合法依据。

第7条（4）仅适用于履行合同（包括提供服务）所不需要的数据，并且该合同的履行取决于在同意的基础上获得这些数据。相反，如果数据处理行为系履行合同（包括提供服务）所必需，则第7条（4）不适用。

【案例6】

银行要求客户同意允许第三方将其付款细节用于直接营销目的。此处理活动对于履行与客户的合同和提供普通银行账户服务都不是必需的。如果客户拒绝同意依照此目的处理数据，将导致被银行拒绝服务、关闭账户或者根据情况增加费用，则此处所获得的同意不是自由给出的。

立法者选择为非基于自由作出的同意设置了限定条件，这表明对于这种情况必须仔细审查。第7条（4）中的“最大限度考虑（utmost account）”一词表明，当控制者基于履行合同（包括提供服务）而寻求数据处理的同意时，需要特别谨慎。

由于第7条（4）虽未采取绝对化的表述方式，但这种不会导致同意无效的条件在解释空间上将会非常有限。无论如何，Recital 43中的“推定”一词已清楚地表明，例外情况是非常少的。

无论如何，第7条（4）的举证责任在控制者身上。这一具体规则也反映了整个GDPR的问责制的一般原则。 但是，当第7条（4）适用时，控制者将更难以证明数据主体是自由地给出同意。

如果数据主体能够在同一控制者提供的一项服务（包括同意将个人数据用于其他目的）和另一项的同等服务（不包括同意将数据用于其他目的）之间进行选择，控制者可以抗辩说已经给予数据主体真正的选择。只要控制者有可能是出于履行合同或者提供服务之目的而非基于同意等处理数据，则意味着这不再是一个有条件的服务。然而，这两种服务都需要做到真正等同。

WP29认为，如果控制者辩称在其服务之间存在如下选择：包括同意将个人数据用于其他目的，以及由另一控制者提供等同服务，则不能认为同意是自由给出的。在这种情况下，选择的自由将取决于其他市场参与者的行为以及数据主体是否会发现其他控制者的服务真正等同。 此外，这意味着控制者有义务持续关注市场的发展情况，以确保其数据处理活动的同意继续有效，因为竞争对手可能会在后期改变其服务内容。 因此，提出此类抗辩意味着这里的同意不符合GDPR。

3.1.3 颗粒度

服务可能涉及用于多个目的的多个处理操作。 在这种情况下，数据主体应该可以自由选择他们接受的目的，而不必一揽子同意多个处理目的。 根据GDPR，在特定情况下，提供服务可能需要征得多个同意。

GDPR recital 43规定，如果获得同意的过程/程序不允许数据主体就个人数据处理操作分别给出单独的同意（例如，仅用于某些处理操作而不用于其他操作），则推定同意不是自由给出的，尽管可能在个案中可能是适当的。recital 32 规定“同意应涵盖为相同目的而进行的所有处理活动。当处理有多个目的时，应对所有处理目的给予同意。”

如果控制者将若干目的混为一谈，并且未试图为每个目的寻求单独的同意，则这种同意将被认为是缺乏自由给出的基础。 这种颗粒度与具体的同意需求密切相关，如下文第3.2节所述。当基于多种目的而进行数据处理时，遵守有效同意条件的解决方案在于颗粒度，即分离这些目的并获得每个目的的单独同意。

【案例7】

在同一个同意请求中，零售商要求其客户同意使用其数据通过电子邮件向其发送营销，并与其集团内的其他公司共享其邮箱信息。因为这两个单独的目的没有分别获得单独的同意，因此该同意由于缺乏详述的颗粒度而将被认定无效。在这种情况下，应取得包含具体内容的同意，以便将联系方式发送给商业合作伙伴。这种明确的同意将被视为对每个合作伙伴都有效（另见第3.3.1节），其身份在收集同意时已经提供给数据主体，只要发送给他们是基于同样的处理目的（在这个例子中是营销目的）。

3.1.4 损害

控制者需要证明拒绝或撤回同意而不会造成数据主体的损害（Recital 42）。 例如，控制者需要证明撤回同意不会导致数据主体花费任何费用，也不会导致任何明显的不利后果。

如果数据主体不同意，其他负面的例子包括欺骗，恐吓，胁迫或者重大负面后果。控制者应该能够证明数据主体关于是否同意，有一个自由或真实的选择，并有可能撤回同意而不受损害。

如果控制者能够证明在提供服务中可以撤回同意，并且不会因此带来任何负面后果，例如，没有以为降低服务水平而损害用户，这可能表明同意是自由给出的。GDPR并不否定任何（促使用户提供个人信息的）激励措施，但控制者有责任证明在所有情况下，数据主体仍然可以自由地给出同意。

【案例8】

下载某生活类移动应用程序时，该应用程序会要求数据主体同意访问手机的加速计。 这对于应用程序来说不是必需的，但是对于希望更多地了解其用户的活动情况的控制者来说，它是有用的。当用户稍后撤销该同意时，她发现该应用程序的功能受到了限制。这是一个关于Recital 42损害规定的示例，它意味着控制者从未得到有效的同意（因此，控制者需要删除所有以此种方式收集到的关于用户活动情况的个人数据）。

【案例9】

数据主体订阅时尚零售商的有关折扣信息的资讯。零售商要求数据主体同意收集更多关于其购物偏好的数据，以根据购物历史或者主动填写的调查问卷为其定制优惠。当数据主体后来撤销同意时，他或她将再次收到非个性化的时尚折扣。这并不构成损害，因为只是被允许采取的激励措施被取消了。

【案例10】

时尚杂志为读者提供了在正式上架前购买新款化妆品的途径。这些产品很快就会上市销售，但本杂志的读者可以对这些产品进行独家预览。为了享受这项福利，人们必须提供他们的邮寄地址并同意订阅杂志的邮件列表。邮寄地址是寄送所必需的，邮寄名单用于发送全年化妆品或T恤等商品的商业报价。该公司解释说，邮件列表上的数据仅用于发送与杂志有关的商品和纸质广告，不与任何其他组织共享。如果读者因此原因不想透露他们的地址，则不会产生任何损害，因为无论如何他们都有机会获得这些商品。

To be continued...