众所周知，无论是欧盟个人数据保护95指令还是《通用数据保护条例》GDPR，第29条工作组发布的指导意见最为权威。经过DPO社群中热心同学的努力，第一份第29条工作组的指导意见——《对第2016/679号条例（GDPR）下同意的解释指南》的中文翻译终于出炉了。目前，社群还在翻译其他的指导意见，预计很快完成。在此，把译者前言贴出来。

译者前言

在今年5月份正式生效的《欧洲通用数据保护条例》（“GDPR”）引起了数据合规领域的广泛关注。从欧盟数据保护指令（95指令）到GDPR，在包括同意、数据保护影响评估、自动决策和画像、隐私实践透明度等方面发生了许多重要变化，为澄清相关问题，第29条工作组（“W29”）——欧洲独立的数据保护和隐私咨询机构——发布了一系列指南以指导法律实践工作。尽管W29对相关主题的指南并不具有法律效力，但其为更好地理解、适用GDPR提供了权威的解释思路，值得业界学习借鉴。

“同意”作为数据处理活动常见的法律基础，GDPR对其作出了新的要求，同时进一步澄清和说明了应如何获得有效同意。在解释GDPR对“同意”的要求的基础上，W29较为细致地阐述了其对于GDPR项下“同意”的理解，并针对“自愿作出”、“具体的”、“知情的”，以及“明确的意思表示”等关于有效同意的要件，在结合相关案例后，逐一加以分析。

除了对有效同意本身的要素进行细化解释之外，W29还专门讨论了GDPR中特别关注的领域中与“同意”相关的问题，如数据处理涉及儿童时，数据控制者为获取有效同意应当作出哪些合理的努力，以及在涉及科学研究时，对数据主体披露信息的透明度要求与科学伦理标准之间应如何平衡，W29都做出了更为详尽和有实践意义的指引。

应当说，W29这份“同意”指南结合了欧盟现有的条例及W29过去对相关主题的指南，对GDPR项下同意做出了全面、有据的解释，对于在GDPR刚生效不久、许多问题尚存争议和模糊的现阶段来说，研究欧洲的权威数据保护机构W29对GDPR项下各个主题的解释文件，有利于在实务中更好地理解、学习GDPR的规制机制，为调整数据合规路径提供更好的思路。

译者作为从事数据合规的中国律师，在实务中常常面对的就是客户和监管机构对于“知情同意”在不同场景下有不同理解，甚至互相矛盾。翻译并分享这份指南也是希望和业界同行交流如何在中国的语境下去提出合理的判断标准。因为水平所限，译文难免有不准确或错误之处，欢迎大家指正（请发邮件至rxwang@anlilaw.com）。

                                                                    王新锐 罗为

下载第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译，请点击文末左下角的“阅读原文”。

关于DPO沙龙活动的有关情况，请见：

DPO社群成果

1. 印度《2018个人数据保护法（草案）》全文翻译（中英对照版）（DPO沙龙出品）

2. 巴西《通用数据保护法》全文中文翻译（DPO沙龙出品）

3. 美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）

4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译（DPO沙龙出品）
   

线下沙龙实录见：

1. 数据保护官（DPO）沙龙第一期纪实
   

2. 第二期数据保护官沙龙纪实：个人信息安全影响评估指南
   

3. 第三期数据保护官沙龙纪实：数据出境安全评估

4. 第四期数据保护官沙龙纪实：网络爬虫的法律规制
   

5. 第四期数据保护官沙龙纪实之二：当爬虫遇上法律会有什么风险

线上沙龙见：

1. DPO社群对数据堂事件的精彩点评

2. DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话

3. 用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）

时评见：

1. 数据安全事件时评第一期

2. 数据安全事件时评第二期

3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目：数据可移植性的开源计划

4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

5. 【时事七】美国通过《NIST小企业网络安全法》

6. 【时事八】国际数据流动：欧盟委员会启动对日本的充分性决定流程

7. 【时评九】加州IoT设备网络安全法对物联网法律之影响（附法案翻译）
   

DPO社群成员观点

1. 个人信息委托处理是否需要个人授权？（DPO社群成员观点）
   

2. 企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）

3. GDPR“首张”执行通知盯上AlQ公司的前期后后（DPO社群成员观点）

4. 隐私条款撰写调研报告（DPO社群成员观点）