EDPB | 《对第2016/679号条例（GDPR）下同意的解释指南v1》中文翻译（DPO社群出品）

编者按：

译者序言

2020年5月4日，欧洲数据保护委员会（“EDPB”）通过了《对第2016/679号条例（GDPR）下同意的解释指南（2020年5月版）》（以下简称“EDPB同意指南”），该指南是对第29条工作组（“WP29”）于2018年4月通过的对GDPR的同意指南（以下简称“WP29同意指南”）的更新版本。 

EDPB是依据《通用数据保护条例》（“GDPR”）设立的一个独立的欧洲机构，致力于确保在整个欧盟范围内一致地适用GDPR，并促进欧盟数据保护机构之间的合作。EDPB可以通过通用性指南来澄清欧洲数据保护法规的条款，从而使欧盟利益相关者对其权利和义务有一致的解释。GDPR还授权EDPB对国家监管机构做出具有约束力的决定，以确保对GDPR一致的适用。而“同意”作为数据处理活动常见的法律基础，GDPR对其作出了新的要求，同时澄清和说明了应如何获得有效同意。因此，EDPB同意指南对GDPR下“同意”的界定提供了权威的解释思路，对数据控制者进行GDPR合规有重要意义。

EDPB同意指南较为细致地阐述了对于GDPR项下“同意”的理解，并针对“自愿作出”、“具体的”、“知情的”，以及“明确的意思表示”等关于有效同意的要件，在结合相关案例后，逐一加以分析。该同意指南还讨论了GDPR中特别关注的领域中与“同意”相关的问题，如儿童的数据处理以及科学研究时对数据的处理。EDPB的此次更新是在认可WP29同意指南并保留了其整体框架的基础上进行的。相较于WP29同意指南，EDPB的更新主要针对以下两个问题进行了进一步的澄清：1. 数据主体在与所谓的“Cookie墙”进行交互时所提供的同意的有效性；2. 数据主体滚动页面操作是否为有效的同意。

针对第一点，由于GDPR强调数据主体应当自由作出同意的选择，因此数据控制者不应对“同意”设置限制条件。在使用Cookie技术的场景下，如果数据控制者在网站中放置一个脚本，该脚本阻止用户访问网站内容，只有当用户点击“接受Cookie”才能继续访问，那么在此种情况下，用户点击“接受Cookie”的行为不构成有效的同意，因为数据控制者没有提供真正的选择。

针对第二点，数据主体的同意需要其作出“明确肯定的行为”或声明。而如果仅仅是滚动或滑动网页此类操作行为，很难与用户的普通操作或交互行为区分，并不满足“明确肯定的行为”的要求。

EDPB同意指南在吸收WP29同意指南的基础上，对GDPR项下的同意做出了全面、有据的解释，有利于在实务中更好地理解、学习GDPR的规制机制，为调整数据合规路径提供更好的思路。

我们于2018年10月翻译了WP29同意指南的第一版【见：第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)】，在数据合规实务中感到对业务有非常大的指导作用，也对国内的相关立法和学术研究工作有一定参考价值。此次在原译文的基础上根据EDPB同意指南进行了更新，欢迎大家指正，并一起深入讨论。（王新锐 罗为）

数据保护官（DPO）社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时，DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月，DPO社群举行了第一次线下沙龙。沙龙每月一期，集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下：

人脸识别系列文章

1. 欧盟基本权利局“人脸识别技术”报告中文翻译（DPO社群出品）
   

2. 法国数据保护局（CNIL）关于人脸识别报告的中译文（DPO社群出品）
   

3. 零售门店使用人脸识别技术的主要法律问题（DPO社群成员观点）
   

4. 人脸识别技术的规制框架（PPT+讲稿）
   

5. 人脸识别技术运用的六大场景及法律规制框架的适配（DPO社群成员观点）
   

6. 解读世界首例警方使用人脸识别技术合法性判决（DPO社群成员观点）
   

7. 人脸识别技术的法律规制研究初探（DPO社群成员观点）

8. 美国联邦隐私保护立法草案研究（四）：“生物识别信息”

9. 美国华盛顿州人脸识别服务法案中文翻译（DPO社群出品）

美国联邦隐私保护立法草案研究

1. 美国联邦隐私保护立法草案研究（一）：“行为个性化”

2. 美国联邦隐私保护立法草案研究（二）：“个人敏感信息”

3. 美国联邦隐私保护立法草案研究（三）：“个人敏感信息”的保护规则

4. 美国联邦隐私保护立法草案研究（四）：“生物识别信息”

传染病疫情防控与个人信息保护系列文章

1. 传染病疫情防控与个人信息保护初探之一：个人信息的性质
   

2. 传染病疫情防控与个人信息保护初探之二：同意的例外

3. 传染病疫情防控与个人信息保护初探之三：数据技术的应用路径

4. 传染病疫情防控与个人信息保护初探之四：接触追踪的数据共享安全规范

5. 传染病疫情防控与个人信息保护初探之五：电信数据的安全规范

6. 传染病疫情防控与个人信息保护初探之六：GDPR框架下的公共卫生数据共享

7. 传染病疫情防控与个人信息保护初探之七：美国公共卫生机构的数据调取权力

8. 传染病疫情防控与个人信息保护初探之完结篇：解读中央网信办通知

9. 欧盟国家和英国的数据保护部门对疫情防控的官方意见汇总（DPO社群出品）

10. 美国疫情防控中的关键基础设施的识别和认定（DPO社群出品）

11. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见（DPO社群出品）

12. 欧委会关于新冠疫情中利用移动数据和应用官方建议的全文翻译（DPO沙龙出品） 

13. 漫画图解苹果和谷歌联手开发的接触追踪应用的基本原理  

14. 澳门关于疫情防控中进出场所人员个人资料保护的通告

15. 疫情防控常态化中的接触追踪：中国方案

16. 欧委会“支持抗击新冠疫情的APP的数据保护指引”全文翻译（DPO社群出品）

17. 来自欧洲的接触追踪协议（ROBERT Protocol）的基本原理：漫画图解

18. 英国信息专员对苹果谷歌接触追踪项目的官方意见：全文翻译（DPO社群出品）

19. 三百名学者关于接触追踪APP的联合声明

20. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南：全文翻译（DPO沙龙出品）

21. 新冠疫情防控常态化下的个人信息保护工作的思考和建议 

22. 韩国利用ICT抗疫经验总结：接触追踪部分（中文翻译）

23. 全文翻译 | 欧盟新冠肺炎“接触追踪”APP 共同工具箱（DPO沙龙出品）

个人数据与域外国家安全审查系列文章

1. 个人数据与域外国家安全审查初探（一）：美欧概览

2. 个人数据与域外国家安全审查初探（二）：CFIUS实施条例详解

3. 个人数据与域外国家安全审查初探（三）：从美国《确保ICT技术与服务供应链安全》        

4. 个人数据与域外国家安全审查初探（四）：从美国《2019年安全与可信通信网络法案》看

5. 个人数据与域外国家安全审查初探（五）：禁止中国公司对StayNTouch的收购

6. 个人数据与域外国家安全审查初探（六）：《2019国家安全和个人数据保护法案》

7. 个人数据与域外国家安全审查初探（七）：美国众议院荒唐的决议草案

8. 个人数据与域外国家安全审查初探（八）：《2020安全的5G和未来通信》法案

9. 个人数据与域外国家安全审查初探（九）：澳大利亚《协助和访问法》

10. 美国司法部狙击中国内幕（Inside DOJ's nationwide effort to take on China）

11. 美国司法部“中国计划”的概况介绍

美国电信行业涉及外国参与的安全审查系列文章

1. 美国电信行业涉及外国参与的安全审查（一）：基本制度介绍

2. 美国电信行业涉及外国参与的安全审查（二）：国际性的第214节授权

3. 美国电信行业涉及外国参与的安全审查（三）：建立外国参与安全审查的行政令

4. 美国电信行业涉及外国参与的安全审查（四）：FCC对中国企业的陈述理由令

中国的网络安全审查系列文章：

1. 网络安全审查制度利刃出鞘

2. 对《网络安全审查办法（征求意见稿）》的几点观察

3. 网络安全审查制度吹响了向网络安全强国迈进的号角

4. 我国网络安全审查制度走向前台

5. 网络安全审查的中欧比较：以5G为例