有关GDPR中的“同意”，W29都说了些什么...（中）

翻译：田申

校对：刘笑岑

第29条工作组关于2016/679条例中“同意”的指南

2017年11月28日通过，最后修订于2018年4月10日

上篇请见有关GDPR中的“同意”，W29都说了些什么...（上）

3.2具体明确

第6条第（1）款（a）规定，数据主体的同意必须与“一个或者多个具体明确” 的目的有关，并且保证数据主体对每一个目的都有选择权。同意必须是“具体明确”的，以确保满足数据主体的控制权和透明度要求。GDPR没有改变这一要求，仍然与“知情同意”的要求保持密切相关。同时，还必须符合“颗粒度”的要求，才算是获得了基于“自由”的同意。总而言之，为了遵守“具体明确”要求，控制者必须做到：

（i） 目的说明作为防止功能泛化的保护措施；

（ii） 寻求同意中的颗粒度要求；

（iii）明确将通过同意获得数据处理活动的信息与其他事项的信息分开。

Ad（i）：根据GDPR第5条第（1）款（b）项，获得有效同意需要始终保证预先确定处理活动是具体、明确和基于合法目的的。

在第5（1）（b）条中，在数据主体同意数据收集的初始目的后，需要将同意的具体内容与目的限制理念相结合，作为防止数据处理目的被逐渐扩大或模糊化的保障。这种现象，也称为功能泛化，将可能对数据主体产生风险，因为它可能导致控制者或者第三方不可预见性地使用个人数据并导致数据主体控制权的丧失。

如果控制者依赖于第6条（1）（a），则必须取得数据主体针对特定处理目的的同意。根据目的限制的概念，第5条（1）（b）和第32条，同意可以涵盖不同的处理动作，只要这些处理具有相同的目的。不言而喻，只有当数据主体被明确告知有关其数据使用的预期目的时，才能算作获得了具体的同意。

尽管有关于目的的兼容性的规定，但同意必须是针对特定目的的。数据主体了解并同意：其个人数据处于他们的控制之中，并且仅为特定目的而被处理。如果控制者基于同意处理数据并希望将数据处理用于其他目的，则该控制者需要为此目的寻求额外的同意，除非有其他合法依据更能适用该情形。

    【案例11】

    有线电视网根据用户的同意收集其个人数据，并根据他们的观看习惯向他们提供可能感兴趣新电影的个性化推荐。一段时间后，电视网决定引入第三方根据用户的观看习惯发送（或显示）定向广告。 对于这一新增目的，电视网需要获得新的用户同意。

Ad（ii）：征求同意不仅要精细化以满足“自由给出”的要求，还要满足“特定”的要求。 这意味着，为各种不同目的而寻求同意的控制者应为每个目的提供单独的选择，以保证用户针对特定目的给出特定的同意。

Ad（iii）：最后，控制者应该为每个单独的同意请求提供与每个数据处理目的有关的特定信息，以便于数据主体了解他们所做的不同选择将带来的影响。这样，数据主体才能够给出特定的同意。 这个问题与控制者必须提供明确信息的要求相一致，详见下述3..3。

3.3 告知

GDPR强调了必须符合告知同意的要求。根据GDPR第5条，透明度要求是与公平合法原则密切相关的基本原则之一。在获得他们的同意之前向数据主体提供信息是至关重要的，这使得他们能够知道同意的内容，并基于充分了解而做出决定，例如行使他们撤回同意的权利。 如果控制者不提供易于访问的信息，则用户的控制权变得虚幻，同意也将成为数据处理的无效基础。

不遵守知情同意要求的后果是同意无效且控制者可能违反GDPR第6条。

3.3.1  “告知”同意的最低内容要求

控制者要获得同意，必须告知数据主体某些对其做出选择至关重要的要素。 因此，WP29认为，获得有效同意的告知至少需要包含以下信息：

（i） 数据控制者的身份；

（ii）征得同意的每项数据处理的目的；

（iii）将要收集和使用的数据（类型）；

（iv）撤回同意的权利；

（v）有关根据第22条（2）（c）项使用数据进行自动化决策的信息；

（vi）由于缺乏充分性认定（编者注：GDPR第45条）和第46条所述的适当保障措施而导致的数据跨境传输中可能存在的风险。

关于第（i）和（iii）项，WP29指出，如果存在多个（联合）控制者在寻求获得同意，或者作为数据的接收方或处理方的其他控制者果希望适用最初的同意，则上述这些组织都应当在告知中列明。处理者（Processors）不需要成为征求同意的一部分，但是为了遵守GDPR第13条和第14条，控制者需要提供包括处理者在内的接收者或者接收者类别的完整列表。

最后，WP29指出，根据具体情况和场景，可能需要更多信息才能使数据主体真正理解即将开展的处理活动。

3.3.2 如何提供信息

GDPR没有规定满足知情同意要求时进行告知的具体形式。这意味着控制者可以通过各种方式对有效信息进行呈现，例如：通过书面、口头陈述、音频、视频等形式。然而GDPR对知情同意提出了若干要求，主要是第7条第2款以及Recital32。这为信息的清晰度和可获取性提出了更高的标准。

在征求同意时，控制者应确保在任何情况下都使用清晰明了的语言。这意味着对于普通人而言而不仅仅是律师，信息都应该是易于理解的。控制者不可以使用难以理解的长篇隐私政策或者充斥着法律术语的陈述。同意必须是明确的且与其他事项区分开来，并以易于理解和易于获取的形式提供。该要求实质上意味着与就是否同意做出明智决定相关的信息不该隐藏在一般条款中。

控制者应当确保数据主体在容易知晓控制者身份且理解同意内涵的前提下来提供同意。控制者必须清楚地描述征得同意所用于的数据处理目的。

WP29关于透明度的指南中提供了关于信息可获取性的其他具体指导。如果通过电子方式获取同意，则请求必须简明扼要。 使用分层和细化的信息展示形式，不失为同时履行精确完整和可理解性的这两大义务的适当方式。

控制者必须评估向其提供个人数据的受众类型。 例如，如果目标受众包括未成年人，则控制者应确保未成年人可以理解信息。在确定其受众后，控制者必须确定他们应提供哪些信息以及随后如何将这些信息呈现给数据主体。

第7条第（2）款规定了与其他事项有关的预先拟定的书面同意声明。当同意作为合同（合同）的一部分被请求时，同意请求应与其他事项明确区分。如果合同包含许多与同意使用个人数据无关的方面，则应以明确突出的方式或者在单独的文件中处理同意问题。同样，如果通过电子方式要求同意，则同意请求必须是独立的，根据Recital 32，它不能简单地成为条款中的一小段。为了适应小屏幕或者信息空间受限的情况，可以在适当的情况下考虑分层呈现信息的方式，以避免对用户体验或产品设计造成过度干扰。依赖数据主体同意的控制者还必须遵守GDPR第13条和第14条中规定的有关信息提供的义务。 在实践中，遵守信息义务和知情同意的要求可能会需要在许多情况下采用综合方法。但是，本节是基于这样的理解，即使在获得同意的过程中未提及第13条、第14条中的相关要素，也可以存在有效的“知情”同意（这些要点当然应在其他地方提及，例如公司的隐私声明）。WP29已就透明度要求发布了单独的指南。

【案例12】

X公司是一个控制者，收到的投诉是数据主体不清楚他们被要求同意的数据的使用目的。该公司认为有必要验证同意请求中的信息对于数据主体是否可理解。 X组织其客户组成特定类别的自愿测试小组，并在向外展示之前先向这些测试受众呈现有关同意信息的更新内容。小组的组成以独立为原则，并确保结果在具有代表性，无偏见的标准基础上作出。测试组收到一份调查问卷，请他们对这些信息的可理解性进行评分。控制者会持续进行测试，直到测试组认为所提供的信息是可理解的。X公司记录并形成了测试报告并将其保留以供将来参考。此示例显示了X证明了数据主体在同意X的个人数据处理行为之前收到了明确的信息。

【案例13】

公司在同意的基础上进行数据处理。该公司使用包含同意请求的分层隐私声明。该公司披露了控制者的所有基本细节和可能的数据处理活动。但是，该公司在通知的第一个信息层中没有说明如何联系他们的数据保护官。为了符合第6条所述的有效合法依据，即使数据保护官员的联系方式尚未传达给数据主体（在第一个信息层中），根据GDPR第13（1）（b）或14（1）（b）条，该控制者也获得了有效的“知情”同意。

 3.4 意愿的明确表示

GDPR清楚地表明，同意需要来自数据主体的声明或明确的肯定性行为，这意味着它必须总是通过积极的行动或声明来给出。必须是数据主体对特定的处理活动明显表示了同意。

95指令的第2条（h）将同意描述为“数据主体表示同意处理与他有关的个人数据的意愿”。GDPR第4条第（11）款是根据这一定义建立的，根据WP29先前发布的指导，有效的同意需要通过声明或者明确的肯定行动来明确给出。

“明确肯定的行为”意味着数据主体必须采取慎重的行动来同意特定的处理。Recital 32对此提出了更多的指导。同意可以通过书面或（记录的）口头陈述表达，包括通过在线获得。

实现“书面陈述”标准最直接的可能是确保数据主体以书写或者向控制者发送电子邮件的方式，说明他/她同意的确切内容。 但是，这通常是不现实的。 书面陈述可以通过多种形式和大小来实现合规。

在不损害现有（国家）合同法的情况下，同意可以通过记录的口头陈述获得，尽管在同意之前必须就相关信息对数据主体作出适当的说明。 根据GDPR，使用预先选中的选择框无效。数据主体的沉默、不作为以及仅仅接受服务，不能被视为主动的选择。

【案例14】

安装软件时，应用程序要求数据主体同意使用非匿名的系统错误报告来改进软件。 伴随着同意请求的还有提供必要信息的分层隐私声明。通过主动勾选“我同意”的可选框，用户能够有效地执行“明确的肯定行为”以表示同意。

控制者还必须注意，不能通过同意合同或者接受服务的一般条款来获得同意。一般条款的一揽子接受不能被视为同意使用个人数据的明确肯定行动。GDPR不允许控制者提供预先勾选好的准入框或退出框这类需要数据主体的主动介入才能干预协议的达成（例如“选择退出框”）。

控制者在通过电子方式请求同意时，同意请求不应对寻求同意的服务在使用上造成不必要的干扰。当侵权或干扰程度较低的模式会导致存在歧义时，则获得数据主体表示同意的积极肯定可能是必要的。因此，为取得有效同意，同意的请求可能有必要在某种程度上以损害使用体验为代价。

但是，在GDPR的要求范围内，控制者可以自由地制定适合其组织的同意流程。 在这方面，物理动作可以被视为符合GDPR的明确肯定行动。

控制者应以数据主体明确的方式设计同意机制。 控制者必须避免含糊其辞，并且必须确保给出同意的行为可以与其他行为区分开来。因此，仅仅继续浏览网站的普通使用行为，并不是一种可以推断数据主体意愿的证明，以表示他或她同意所提出的处理行为。

【案例15】

只要提供了清晰的信息，在屏幕上滑动滚动条，在智能相机前放弃，顺时针转动智能手机或以八字形运动，都可以用作表示同意，这些有显著特征的行动可以表示同意特定请求（例如，如果您向左滑动此栏，则表示您同意将信息X用于目的Y.重复以确认）。 控制者必须能够证明以这种方式获得同意，并且数据主体的撤回同意必须能够像给出同意的那样容易。

【案例16】

向下滚动或者浏览网站将无法满足明确和肯定性行动的要求。这是因为当数据主体快速滚动大量文本并且这样的动作不够明确时，继续滚动可能难以区分滚动行为与确认同意行为，或者使其错过对同意的告知提示。

在数字环境中，许多服务需要个人数据才能运行，因此，数据主体每天都会收到多个同意请求，这些请求需要通过点击和滑动来获得同意。 这可能导致一定程度的点击疲劳：当次数过多时，同意机制的实际警告效果正在减弱。

这将导致不再阅读与同意有关的问题出现。这对数据主体来说是一种特殊风险，因为通常会要求同意的，是那些原则上必须征求同意才能收集的数据，否则便是非法处理的情形。 GDPR要求控制者寻求解决这一问题的方法。

在网络环境中经常提到的一个例子是通过他们的浏览器设置来获得用户的同意。这样的设置应该符合GDPR中有效同意的条件，例如，应当确定控制者，同意应是细化的针对每个可能的目的，，并且要提供相应的信息。

无论如何，在控制者开始处理需要征求同意的个人数据之前，必须保证获得始终同意。 WP29在以前的意见中一直认为应该在处理活动之前同意。尽管GDPR没有在第4条第（11）款中明确规定必须在加工活动之前给予同意，但这显然是隐含的。 第6条第（1）款的标题和第6（1）（a）条中“已给出”的措辞支持了这种解释。从逻辑上讲，第6条和Recital 40规定在开始数据处理之前必须存在有效的合法依据。因此，应在处理活动之前给予同意。 原则上，一旦要求数据主体同意就足够了。 但是，如果获得同意后数据处理的目的发生变化或者拟用于其他目的，控制者确实需要获得新的且特定的同意。

To be continued...