欧洲数据保护委员会(The European Data Protection Board, EDPB)于2020年5月通过《2020年5月关于GDPR下“同意”的指南》(Guidelines 05/2020 on consent under Regulation 2016/679),主要关注了GDPR中的“同意”概念,具体内容包括有效同意的构成要件、同意与其他合法性基础的相互作用,以及在同意问题上GDPR特别关注的领域。

关于欧洲数据保护委员会(EDPB),可参阅:掌握欧盟数据解释大权的EDPB是什么?一文带你了解!

一、引言

从《数据保护指令》和《电子隐私指令》到GDPR,“同意”概念已有所发展,GDPR对获得和证明有效同意的要求作了进一步的澄清和说明。EDPB《2020年5月关于GDPR下“同意”的指南》重点关注了这些变化,并为控制者提供实用的指导。

如GDPR第6条所列,同意是处理个人数据的六个合法依据之一,也是一种使数据主体来控制是否处理其个人数据的工具。同时,获得同意也不会否定或以任何方式减少控制者遵守GDPR所规定的处理原则的义务,特别是GDPR第5条关于公平性、必要性、比例性以及数据质量的规定。即使个人数据的处理是基于数据主体的同意,当一项收集行为对特定的处理目的来说是没有必要或在本质上是不公平的,数据收集行为也是非法的。

关于GDPR与《数据保护指令》和《电子隐私指令》的关系,指南指出,对被废除的《数据保护指令》的引用应被理解为对GDPR的引用,而GDPR获得有效同意的条件同样适用于《电子隐私指令》范围内的情形。

二、关键内容

(一)一般情形:有效同意的构成要件

1. 自由作出

“自由”这一要素意味着数据主体的真正选择和控制,如果数据主体没有真正的选择,而是被迫同意,或者如果不同意将承受负面后果,那么同意将是无效的。

(1)力量的不对等

指南主要强调了公权力机关与普通公民以及雇佣关系两种典型的不对等场景。GDPR序言第43条明确指出,公权力机关很难依靠同意处理数据,因为公权力机关与普通人之间往往存在明显的权力不平等性。雇佣关系亦是如此。

但GDPR并未完全否定在这两种关系下作出自由同意的可能性,若能做到无论是否同意都不会有任何不利后果,同意就是自由的。

(2)附加条件(即捆绑、搭售)

GDPR第7条第4款指出,特别需要考虑将同意与接受合同条款或条件“捆绑”起来,或将提供合同或服务与请求同意处理并非履行该合同或服务所必需的个人数据“搭售”,这些情况被认为是非常不可取的。

对于何为“履行该合同或服务所必需”,指南认为应严格解释,处理必须是为履行与每个数据主体的合同所必需的,且联系必须直接和客观。例如:

❖处理数据主体的地址,以便能够交付在线购买的货物;

❖处理工资信息和银行账户信息,以便支付工资。

并且,控制者不能以数据主体可以选择其他控制者提供的同等服务为由,为同意的自由性作出辩护。

(3)细化同意

当数据处理是为了追求几个目的时,遵守有效同意条件的解决方案在于细化,即把总的目的分开,并为每个目的获得同意。

(4)损害

控制者需要证明拒绝或撤回同意不会造成损害(GDPR序言第42条)。例如,控制者需要证明,撤回同意不会导致数据主体产生任何花费,且不存在欺骗、恐吓、胁迫或数据主体不同意时面临的重大负面后果。

2. 具体的同意

为了遵守“具体的”这一同意要素,控制者必须适用:

(1)目的具体化,防止数据处理的目的逐渐扩大或模糊

(2)同意请求的细化

(3)将获得数据处理活动同意的有关信息与其他事项的信息明确区

3. 知情的同意

(1)对于“知情”的最低内容要求

要获得有效的同意,至少需要以下信息:

❖控制者的身份;

❖征求同意的每项处理的目的;

❖将收集和使用什么类型的数据;

❖存在撤回同意的权利;

❖根据GDPR第22条第2款c项 的规定,在相关情况下,关于使用数据进行自动化决策的信息;

❖由于缺乏GDPR第46条所述的充分性决定和适当的保障措施,数据传输可能存在的风险。

(2)如何提供信息

在寻求同意时,控制者应确保使用晰和朴素的语言。这意味着信息应该是普通人而不仅仅是律师容易理解的。控制者不能使用难以理解的冗长的隐私政策或充满法律术语的声明。同意必须是明确的,可与其他事项区分开来,并以可理解和容易获得的形式提供。为了实现简明完整和易于理解的双重目标,信息分层和细化是一个恰当的解决方式。

控制者必须评估向其组织提供个人数据的主体是何种类型。例如,如果目标受众包括未成年的数据主体,控制者应确保信息对未成年人来说是可以理解的。

4. 不含糊的意思表示

GDPR第4条第11款阐明有效的同意需要通过声明或明确的肯定行为来明确表示。“明确的肯定行为”是指数据主体必须采取积极的行动来同意特定的处理。这意味着使用预先勾选的选择加入是无效的。数据主体的沉默或不作为,以及仅仅选择继续接受服务不能被视为积极的选择行为。

控制者还必须注意,不能通过同意合同或接受服务的一般条款和条件这样的动作来获得同意。对一般条款和条件的一揽子接受不能被看作是同意使用个人数据的明确肯定行为。

在任何情况下,同意必须在控制者开始处理个人数据前获得。原则上,只需征求一次数据主体的同意即可。然而,如果在获得同意之后,数据处理的目的发生了变化,或者计划了一个额外的目的,控制者需要获得新的和具体的同意。

(二)特殊情形:获得明确同意

在某些情况下,如果出现严重的数据保护风险,此时,个人对其数据的高度控制被认为是适当的,则需要明确的同意。根据GDPR,在第9条关于特殊类别数据处理、第49条关于没有充分保障措施的情况下向第三国或国际组织传输数据,以及第22条关于自动化个人决策(包括进行用户画像)等规定中,明确同意发挥重要作用。

明确一词是指数据主体表达同意的方式。具体方式包括在书面声明中确认同意、填写电子表格、发送电子邮件、上传签名扫描件或电子签名、电话交谈等。

(三)获得有效同意的其他要件

1. 证明同意存在

在GDPR第7条第1款中,GDPR明确列出了控制者证明数据主体同意的明确义务。

控制者必须就获得数据主体的有效同意以及控制者自身所建立的同意机制负责。例如,在在线情况下,控制者可以保留表示同意的会话信息、会话时体现同意工作流程的文件,以及当时向数据主体展示的信息副本。仅仅证明相关网站的配置正确是不够的。

2. 同意的撤回

控制者必须确保数据主体可以像做出同意一样方便地在任何给定的时间撤回同意。并且,数据控制者必须在同意被作出之前告知数据主体其享有撤回同意的权利,并告知数据主体如何行使其权利。

一般来说,如果同意被撤销,所有基于同意并在撤销同意之前发生的数据处理操作(并且符合GDPR)仍然是合法的,然而,控制者必须停止相关的处理行动

一旦同意被撤销,并且没有其他目的可以为继续保留数据提供合法性依据,控制者就有义务删除在同意基础上处理的数据。若控制者想变更处理的合法性依据,则应根据信息告知要求通知数据主体

(四)GDPR中的特别关注领域

1. 儿童(GDPR第8条)

GDPR第8条第1款规定,如果以同意作为合法性依据,并且是直接向儿童提供信息社会服务,在儿童满16岁的情况下处理儿童的个人数据是合法的。如果儿童未满16岁,只有在儿童监护人做出同意或授权的情况下,处理才是合法的。关于有效同意的年龄限制,GDPR提供了一定的灵活性,成员国可以通过法律规定一个较低的年龄,但这个年龄不能低于13岁

(1)“信息社会服务”

信息社会服务包括在线缔结或传输的合同或其他服务。如果一项服务由两个经济上互相独立的部分构成:其中一个是在线部分,如在缔结合同或与产品或服务有关的信息(包括营销活动)时,提出和接受要约,这个部分被定义为信息社会服务;另一个部分是货物的实际交付或分配,它不包括在信息社会服务的概念中。在线提供服务属于GDPR第8条中“信息社会服务”一词的范围。

(2)“直接面向儿童提供”

如果信息社会服务提供者向潜在用户明确表示,它只向18岁或以上的人提供服务,并且没有其他不利的证据(如网站内容或营销计划),那么该服务将不被视为“直接面向儿童提供”,GDPR第8条将不适用。

(3)年龄

控制者必须考虑到其服务所针对的公众,并了解不同国家的法律。尤其应该注意的是,提供跨境服务的控制者不能只遵守其主要机构所在地的成员国的法律,而是可能需要遵守其提供信息社会服务的每个成员国的相关国家法律。

控制者将被期望作出合理的努力来核实用户已超过能够做出有效同意的年龄,而且核实措施应与处理活动的性质和风险相称。在一些低风险的情况下,要求服务的新用户披露他们的出生年份或填写表格说明他们是(不是)未达年龄标准的儿童,可能是合适的。

(4)儿童的同意和监护人责任

欧洲数据保护委员会建议根据GDPR第8条第2款和 GDPR 第5条第1款c项(数据最小化)采取相称的方法。一个相称的方法可能是获得数量尽可能有限的信息,如父母或监护人的联系信息。

一旦数据主体达到数字服务同意所要求的年龄,由父母或由监护人授权处理儿童个人数据的同意可以得到确认、修改或撤回。如果儿童不采取任何行动,由父母或者监护人在儿童达到数字服务要求的年龄之前,作出处理个人数据的授权,仍是处理的有效合法性依据

在直接向儿童提供预防或咨询服务的情况下,不需要得到父母或监护人的同意。例如,通过在线聊天方式向儿童提供的儿童保护服务,不需要事先得到父母的授权。

2. 科学研究

“科学研究”是指根据相关部门的方法和道德标准符合良好做法建立的研究项目。

当被视为一个整体时,GDPR不允许控制者绕过为特定目的征求数据主体同意这一关键原则。原则上,科学研究项目只有在明确描述目的的情况下,才能以同意作为合法性依据纳入个人数据。对于一开始就不能明确数据处理目的的科学研究项目,GDPR序言第33段规定了一项例外,允许在更概括的层面上描述该目的。

当研究的情况不允许特定的同意时,透明度是一种额外的保障。随着研究项目的进展,控制者会定期提供有关目的的信息,缺乏具体目的的情况也能有所改善,由此,随着时间的推移,同意将尽可能地具体。在数据主体作出同意之前,有一个全面的研究计划可供其参考,也可以帮助弥补缺乏目的特定性的不足。

重要的是要记住,当同意作为处理数据的合法性依据时,数据主体必须有可能撤回该同意

(五)《数据保护指令》(95/46/EC指令)下获得的同意

对于控制者来说,重要的是在2018年5月25日之前详细审查当前的工作流程和记录,以确保现有的同意符合GDPR的标准。在实践中,GDPR提高了实施同意机制的门槛,并引入了一些新的要求,要求控制者改变同意机制,而不是仅仅重写隐私政策。

如果控制者发现之前根据旧法规获得的同意将不符合GDPR同意的标准,那么控制者必须采取行动来遵守这些标准,例如以符合GDPR的方式更新同意。如果控制者无法以合规的方式更新同意,也无法通过将数据处理活动变更为其他合法性依据,并同时确保继续处理是公平的和正当的,以遵守GDPR规定(如一次性项目),那么处理活动必须停止。

三、结语

EDPB针对GDPR中“同意”这一核心概念,为数据控制者提供了一份详尽的合规指南。一般情形下有效的同意包含自由作出、具体、知情、不含糊的意思表示四项要件。而在特殊情况下,控制者则需要获得明确的同意。此外,控制者的证明责任以及同意的撤回也是同意的核心问题。在对儿童的数据保护中,控制者需要遵守GDPR第8条的规定。在科学研究场景中,尽管可以在更概括的层面上描述目标,但仍需注意透明度的要求,并保证数据主体能够撤回同意。

翻译:张逸潇

审校:荆文琦、李晓菁、朱利

编辑:张逸潇

审核:胡梦云、崔巍

声明:本文来自网络西东,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。