第29条工作组对gdpr下同意的解释指南

GDPR，在包括同意、数据保护影响评估、自动决策和、隐私实践等方面发生了许多重要变化，为澄清相关问题，第29条工作组（“W29”）——欧洲独立的数据保护和隐私——发布了一系列指南以指导法律实践工作。尽管W29对相关的指南并不“同意”作为数据处理活动常见的法律基础，GDPR对其作出了新的要求，同时进一步澄清和说明了应如何获得有效同意。在解释GDPR对“同意”的要求的基础上，W29较为细致地阐述了其对于除了对有效同意本身的要素进行细化解释之外，W29还专门讨当说，W29这份“同意”指南结合了欧盟现有的条例及W29过研究欧洲的数据保护机构W29对GDPR项下各个的解释文译者作为从事数据合规的中国，在实务中常常面对的就是客 王新锐201711282018410中的个利保护，在制定本指南时亦参考了其他现行指导指南。95/46EC302002/58EC15条中有所描目录简 GDPR第4条第（11）款中的同 有效同意的要 自由/自愿作 权力失 限制条 颗粒 损 具体 知情 对应“知情”内容的最低要 如何向数据主体提供信 明确表示意 获得明确的同 获得有效同意的其他条 展示同 同意的撤 同意和GDPR第6条规定的其他合法理由的相互关 GDPR中特别关注的领 儿童（第8条 信息社会服 直接向儿童提供服 ......................................................................................................儿童的同意和父母的责 科学研 数据主体的权 根据95指令获得的同 意”的概念进行了全面分析。数据保护指令（95指令）和现行的电子隐私指令中所使用的同意的概念如今已经发生了变化。GDPR进一步澄清和说明了获得和证明有效同意的要求。本指南重点将关注这些变化，并提供有意义的GDPR15/2011号意见的基础上确立同意的概念。更好地支持个人数据的保护工作，数据主体的权利。如GDPR第6条所列，同意是处理个人数据的六个合法基础之一1。在开展涉及果完全符合GDPR的规定，那么同意就是让数据主体可以控制其有关的个人数据是否被处理的一种工具。否则，数据主体的控制权就，这种情况下的同意不再是数据处理活动的合法有效基础，处理活动就会成为行为2。现行的第29条工作组关于同意的意见（以下简称“WP29”）中3与新法律框架中GDPR将现行的第29条工作组指南和通用良好惯例件中，WP29拓展并完善了之前关于特定的意见，包括95指令下的同意，的是数据主体同意便不合法的数据处理操作。《欧洲基本权利》第78条强调了同意的关键作用。此外，获得同意也不会否定或以任何方式削弱数据控制者应遵守GDPR中所规定的处理原则的义务，尤其是GDPR第5意，那些与特定处理目的无关且根本的数据处理活动也是不合法的5。同时，WP29也注意到对电子隐私指令（2002/58/EC）的。电子隐私条例草案中的同意概念也与GDPR中的同意概念相联系6。对于大多数信息或1GDPR第九条列出了对于处理特殊类别数据的可能豁免，其中之一就是数据主体明确同意使用315/2011号意见（WP187）415/2011号意见（WP187），8515/2011号意见（WP187），GDPR，以及包括使用 这些组织可能需要得到电子隐私项下的同意。WP29已经向欧洲者提出至于现行的电子隐私指令，WP29，其对于已的95指令的应被解释为对GDPR的8。对于现行的电子隐私指令中对于同意的也是如此，因为电子隐私条例不会从2018年5月25日起开始生效。根据GDPR第95条的规定，GDPR不应向与在欧盟的公共通信网络里提供公共电子通信服务的处理有WP29，GDPR下关于同意的要求不应被视为一种“额外义务”，而是合法处理的先决条件。因此，在GDPR下获得有效同意的条件同样适用于属于电子隐私此处同意的基本概念与95指令规定的类似，根据GDPR第6条，同意是处理个732、33、4243条中就控制者必须采取何种行动以遵守同意所GPDR4条第（11）7有关电子隐私指令（WP240）03/20168GDPR94995指令中将同意定义为：“数据主体依照其意愿自愿作出的任何具体的、知情的意思表示，意味着数据主体同意其个人数据被处理”，并且此种同意必须是明确地给出，个人数据处理行为才为合法（95指令第7(a)条），关于同意的适当性作为法律基础的例子，见关于同意定义的第15/2011号意见（WP187）。在该意见中，W29就如何区分同意作为法律基础的情形和那些依赖合法利益（或以选择退出）为依据就足矣或建议采用合同关系路径解决的情形提供了意见指南。另见WP第06/2014号意见，第三段以下就第4条第（11）款的文字表述中要求控制者更改其同意请求/表格的程度进行分析，以确保其遵守GDPR。10自由/自愿作出，那么该种同意将无效12。如果一项同意是被作为条款和条件的一不受损害的情况下或撤回其同意，则该同意将不被视为是自由作出的13。GDPR同时还考虑了控制者和数据主体之间不的情形。在评估同意是否是自由作出时，还应考虑将同意纳入合同或提供第7条第款所述服务的具体情况。第7条第（4）款是以非详尽的方式草拟的，其采用了“以及其他（interalia）”一词，意味着这一规定可能涉及一系列其他情况。一般[一款用于编辑的应用要求用户激活其GPS定位功能，以便使用其服务。是投放都不是提供编辑服务所必需的，并且超出了其所提供的8/2001号意见（WP48），以及关于世界反机构（WADA）关于2/2号意见（保护个人隐私和个人信息的国际标准、世界反机构守则的有关规定以及世界反机构和（国家）反组织在体育运动中使用的范围内的其他隐私问题13GDPR42、432011713日通过的WP2915/2011（WP187）1214GDPR序言43写道：“为确保同意是自愿作出的，在特定情形下，数据主体与控制者之间不时，15GDPR6条，特别是第(1c)和(1e)[例2]一个地方的市正着手规划道路工程。由于道路工程可能在很长一的任何服务或行使任何权利，因此他们能够自由地同意或同意该种数据的使用方式。有关道路工程的所有信息也将在市的上提供。[例3]一位拥有土地的个人需要获得当地市及省的。两个公共机构和省就合并其征求该个人的同意，以避免程序和通信上的重复。两的向自由地作出同意的表示。[例4]一所公立学校要求学生同意在学生上使用他们的。在这种情况下，体能够同意其雇主进行数据处理同时不会因该而恐惧或不利影响风压力18。因此，WP29认为雇主在征得同意的基础上处理当前或未来雇员的个人意（第6条第（1）（a）款）。1916就本例而言，公立学校是指公立资助的学校或任何具备国家法律规定的公共机关或机构资格的教育设17GDPR88条，其中强调了保护雇员特定利益的必要性，并表明成员国法律有可能减损其权益。另见序言155。1815/201112-148/2001号意见（WP48）10章，关于工作场所电子通信监督的工作文件（WP55）4.2段，以及关于工作中数据处理的第2/2017号意见（WP249），第6.2段。192/20176-7否同意，都不会产生任何不利。[一个摄制组将在某间的某个部分进行拍摄。由于该区域的员工可能出权力不平衡不仅限于公权力和雇主，在其他情况下也可能发生。正如WP29在几且即使他/她不同意，也不存在、、胁迫或重大（例如大量额外费用）GDPR7条第（4）款对评估同意是否是自愿作出的起到了重要作用。GDPR第7条第（4）款表明，在“以及其他”的情形下，将同意与接受条款或条件相“”，或是将提供合同或服务与同意处理个人数据的请求“打包”在一起，果同意是在上述情形出的，则推定该同意不是自由作出的（序言43）。第7个人数据的服务合约相。通过这样规定，GDPR可以确保寻求对处理个人数供给控制者处理，则他/她可能会被提供其所要求的服务。WP2906/2014号意见，“履行合同所必需的”一词需21GDPR7条第（4）款写道：“当评估同意是否是自愿作出时，应尽最大限度地考虑合同的履行包括第7条第(4)款只适用于所要求的数据并非履行合同(包括提供服务)所必需的情[银行请求客户同意允许第将其付款信息用于直接目的。这种处理活动对必须仔细限制条件是否发生。第7条第（4）款表明了当一份合同（可能包第7条第（4）款并非以一种方式进行解读，因此可能在某些非常有限的场景下，这种限制条件不会使同意无效。然而，序言43中“推定”一词也清楚地GDPR始终的问责制的一般原则。然而，在适用第7条第（4）款时，控制者22资讯和例子，请参见WP29于2014年4月9日通过的第06/2014号意见，其是关于数据控制者25WP2915/2011号意见中所述，当数据主体处是自由作出的推断（例如在雇佣关系中，或是数据是由公共机构收集的情形）7条第（4）款生效见（WP187），第12-17页。对手可能在之后改变其服务。因此，该论点下的同意并不符合GDPR的要求。[例7]在同一份同意请求中，零售商要求客户同意使用其数据以通过电子邮件向他们发送信息，并与内的其他公司共享其详细信息。这样的同意书不是同意将被视为对每个合作伙伴都有效（另见3.3.1节）。[例8]当一个关于生活方式的应用时，该应用请求用户同意使用的发现该应用现在只能在有限的范围内起作用。这是序言42中所述的损害的一个[例9]一个数据主体订阅了一家时尚零售商的含有一般折扣内容的消息，零填写的问卷定制推送。当数据主体之后撤回该同意时，他/她将收到的[例10]一款时尚为读者提供在新化妆产品正式发布前该产品的。享受这项福利，人们就必须提供他们的邮寄地址，并同意订阅的邮寄。邮寄地址是寄送产品所必须的，而邮寄是用来全年发送化妆品或T恤等产品的商业报价。该公司解释说，邮寄上的数据仅用于本身向用户发送商品和纸质，不会与任何其他组织共享。27GDPR43写道，在适当时，对于不同的处理操作需要分别同意。应提供细粒度的同意选项，以允28见有关目的限制的第3/2013号意见（WP203），第16页，其：“出于这些原因，一个模糊或于数据主体来说有一定的风险，因为这可能会导致控制者或第在预期目的之具体的处理目的作出同意。295条第（1）款（b）及序言32，一项同意可以涵盖不同的数据操作，前提是这些操作都出于同一目体应在理解他们拥有对数据的控制权并且其数据仅为特定目的被处理的前提下[例11]有线电视网络基于用户的同意收集用户的个人数据，根据他们的习惯向他们推荐其可能感的新。一段时间后，该电视网络希望第能够2：同意机制不仅要精细化以满足“自由”的要求，还要满足“特定”要素。这就3：最后，控制者应在每个单独的同意请求中提供关于为每个目的所需处理的如下文3.3节所述。GDPR强调了同意的作出必须基于知情这一要求。根据GDPR第5条，透明性这主体提供相关信息，这样能使数据主体在知情的前提出决定，理解他们同意息，那么用户对其数据的控制就，此时的同意也将是处理的无效基础。不符合知情这一要求的就是同意将是无效的，并且控制者还可能会GDPR6统的目的，例如‘改户体验’、‘目的’、‘IT安全目的’或‘将来的研究’——如果没有其他此，WP29认为，获得有效同意至少需要以下信息：由于缺乏充分性决定和第46条所述的适当保障措施，可能存在的数据转移就第(i)项和第(iii)项，WP29如果涉及多个（联合）控制者的同意，或者数据列出，但要遵守GDPR第13条和14条，控制者仍然需要提供包括数据处理者在内的数据接收者或接收者范畴的完整列表。最后，WP29，根据实例的具体情况和背景，可能需要信息才能使数据主体真正理解当前的处理操作。GDPR并没有具体规定要达到“知情”要求必须以何种形式向数据主体提供信息。这意味者控制者可以以各种方式呈现有效信息，例如可以或口头，也可以用音频或。然而，GDPR对知情同意提出了一定的要求，主要体现在第7条，息应该易于被普通人所理解，而不是只有才能看懂。控制者不能使用晦涩、30可另见GDPR序言42：“……对于应当知情的同意，数据主体应至少知晓控制者的以及处理个人31GDPR4233GDPR7条第（3）34GDPR所规定的目的，另见WP29IV.B节，20信息。另见WP29关于同意定义的第15/2011号意见（WP187），19页。第7条第（2）款涉及到的是与其他事项有关的事先拟订的同意。当控基于数据主体同意的控制者还要履行第13条和14条所规定的分别提供信息的理解，即即使并未在获得同意的过程中提及第13和14条所规定的所有要素“知情”同意。WP29已就要求发布了单独的指南[X公司是一个数据控制者，其曾接到，称数据主体不清楚他们被要求同意的易于理解。X公司组织了特定类别客户的自愿测试小组，并在向外部发布前向这合理的方式去证明数据主体在同意X公司处理其个人数据时已经收到了37GDPR4条第（11）7条第（2）释为准）和第6条（条款的无效，只有在仍然合理的情况下合同才继续存在，否则整个合同无[公司没有在通知的第一信息层说明如何联系他们的数据保护官。根据GDPR第13条第（1）款（b）14条第（1）款（b）项，为获取第6条所规定的有效法律基础，即使数据保护的尚未传达给数据主体（在第一个信息主动的动作或来实现。数据主体同意特定的处理行为必须是明显无疑的。95指令第2条第（h）项将同意界定为“表明数据主体同意处理与其有关的个人数据的意愿”。GDPR第4条第（11）款在此定义的基础上，根据WP29先前发来符合GDPR。[例14]安装软件时，应用程序要求数据主体同意使用非报告来改进软件。提供必要信息的分层隐私的同时还伴随着同意请求。通过主动勾选“我40注意，当从分层隐私的第一信息层中看控制者的或处理目的不明显时（并且位于其他子层41见220105-106WP29就同意所采纳的意见所，有效的同意需要使用对数据主体的同意的机制，同时明确——在环境据的明确肯定行为。GDPR不允许控制者采用预先勾选的选择框或选择退出下的服务造成不必要的干扰。43但当较轻微的侵扰或打扰的做导致模棱两该方面，身体行动可以被视为符合GDPR的明确肯定的行为。于服务的一般意义上的使用并不足以被推定为数据主体同意所[[据主体在快速滚动大量文本时，继续滚动将构成同意这一警示很难区分，并且/因为控制者所请求同意的通常是那些同意即的行为。GDPR则将解决该 43GDPR32之前的意见中也一直认为同意应该在处理活动之前作出。44尽管GDPR没有在第4条第（11）款中明确规定必须在处理活动之前给予同意，但这显然就是其66条第（1）款“已经给出”该种解释。这种解释在逻辑上遵循了第6条以及序言40的规定，即在开始数据49条关于在缺乏充分保障的情况下向第三国或国际组织传输数据的规定45以及第22条关于自动化个人决策（包括用户的便消除所有将来可能的产生疑问和可能缺乏的情况。47有需要明确有效同意的情况时都必须有签署的。例如，在数字或线上的45根据GDPR第49条第（1）款（a）项，明确的同意可以解除向没有充分的数据保的国家转让数据的禁令。还需要注意的是对199510249指令（WP114）26（1）条的解释文件，其中WP29已表示同意定期或持续进行的数据转让是不适当的。46在第22条中，GDPR引入了一些条款来保护数据主体免受仅基于自动化处理(包括用户)的决策影GDPR第22条第（2）款（c）项明确，在数据主体明确同意的情况下，控制者可以进行可能对个人产生重大影响的自动决策，包括。WP29就此问题制定了单独的指导原则：WP292017年10月3日就第2016/679号条例（WP251）的自动决策和用户指南。47WP2915/2011号意见（WP187）25签名的扫描文档或使用电子签名来发布所要求的。理论上，使用口头也足够明确以获得有效明确的同意，但是，控制者可能难以证明记录该时有效控制者也可以通过会话的方式获得明确的同意，前提是有关该种选择的信息[例17]数据控制者还可以通过在其屏幕上显示包含“是”和“否”选项的复选框，[例18]一家整容手术诊所想要寻求明确的同意以将其医疗记录披露给一位同意使用该数据，则控制者会要求数据主体发送一封包含“我同意”的的电子邮点击该或使用才能确认同意。第9条第（2）款不承认“履行合同所必需的”是一般情形下处理特殊数据类[安排一个助手陪她从A到B旅行。）航空公司要求处理该顾客健康数据的明确48本例并不影响欧洲议会和理事会于2014年7月23日作出的关于内部市场电子的电子识别和信任服务的第910/2014号欧盟。[例20]信息。客户在下订单时会提供必要的健康数据，例如他们的处方数据。没有这些数据，公司就不可能提供客户所要求的定制眼镜。该公司还提供具有标准矫在该种情况下就需要根据第9条获得明确同意，且该种同意可以被视为是自由地7GDPR8条和第9条。关于对展示有效同意和撤回同意的额外要求的解释指南如下所述。在第7条第（1）款中，GDPR清晰地规定了控制者展示数据主体同意的明确义务。根据第7条第（1）款，该证明义务将由控制者承担。GDPR并没有规定这应按照第17条第(3)款(b)项和(e)项的规定，保留同意证明的时间不得超过遵的副本。仅参考个别的相关可行配置（correctconfiguration）是不够的。[例21]一家医院设立了一个名为“X计划”的科研项目，该项目需要真实的牙科记录。该项目的参与者是通过向一些打招募而来的，这些之前的同意，以使用他们的牙科记录。控制者在中取得同意的方法是，记录数据主体的口头，该口头中就包含了数据主体确认同意将其资料用于X计在GDPR中，同意的撤回占有重要地位。在GDPR中关于撤回同意的规定和序言可以被看作是对WP29意见书中对该问题的现有解释的编纂。50GDPR第7条第（3）款规定，控制者必须确保数据主体可以像作出同意一样容[例22]某场音乐节通过票务销售门票。每次售票时，都会请求顾至下午5点免费联系服务中心。本例中的控制者的行为就不符合GDPR第7条第（3）款。在这种情况下撤回同意需要在工作时间打，这比通过售票49WP2950WP29在其关于知情同意的意见(15/2011号意见(wp187)的第5/2005号意见（WP115），第7页）51见WP29关于FEDMA在直接中使用个人数据的欧洲行为守则的第4/2010号意见（WP174），以及（24小时开放）第3.1节所述，控制者必须按照GDPR第7条第（3）款的规定，在数据主体实前进行的数据处理操作——前提是符合GDPR的相应规定——仍然合法，然而步）处理该数据，则控制者必须删除相关数据。53删除在同意基础上处理的数据。54除第17条第（1）款（b）涵盖的这种情基础的任何变更都必须按照第13条和第14条的要求以及透明性的一般原则，第6条规定了合法处理个人数据的条件，并描述了控制者可依赖的六个法律基52GDPR序言39，提到该第13条和第14条，“应使人们了解与处理个人数据有关的风险、规53GDPR17条第（1）款（b）项和第（3）55GDPR176556GDPR5条第（1）款（e）基础，这对数据主体是根本的。儿童（第8条儿童在信息社会服务方面的数据保护水平。提高保护原因在序言38中详细说明了：“…他们可能不太了解相关的风险、、保障措施以及他们在处理个人数据方面的权利”，序言38还写道“尤其是，这种特定保护应适用于为或创建收集有关的个人数据。”“尤其”一词表明了这种特定的保护不限于和第8条第（1）款写道，在适用同意的情况下，对于直接向儿童提供的信息社会服务，在儿童的至少为16岁时，处理该儿童的个人数据应当是合法的。如果儿童未满16岁，则只有在对其负有父母责任的人所的范围内或作出同意时，此类处理才是合法的。58关于有效同意的 限制，GDPR提供了灵活性，成员国可以通过法律规定较低的，但该 不能低于13岁。语言向儿童解释其准备如何处理收集的数据。59如果是应该征求父母同意的情从上文可以清楚看出，第8条只适用于符合下列条件的情况处理活动与直接向儿童提供信息社会服务有关。6058不影响成员国法律降低限制的可能性的情况，见第8条第（1）款59GDPR58条重申了该义务，其写道，在适当的情况下，控制者应确保所提供的信息对儿童来说是可离提供的任何服务。出于此定义的目的：(i)‘远距离’是指提供服务时双方不同时在场；(ii)12000/31号指令的序言18。为确定GDPR中“信息社会服务”一词的范围，GDPR第4条第（25）2015/1535在评估该定义的范围时，WP29也参考了欧洲（ECJ）的判例法。62欧洲法社会信息服务的定义中。提供服务属于第8条GDPR中“信息社会服务”一“直接向儿童提供服务”一词表明第8条旨在适用于某些而非所有的信息社会服务仅向已满18岁的人提供，且这种表示未被其他削弱（例如的内容或计划），那么该服务不能被认为是“直接向儿童提供的服务”，因而第8GDPR规定，“成员国可以通过法律规定适用于这些目的的较低，但不得低于13岁。”控制者必须了解这些不同的国家法律，同时考虑到其服务所针对的公众。应该特别的是，提供服务的数据控制者不能仅依据符合其主要机构如果用户他们已超过同意的，则控制者可以进行适当的检查以验证此是否为真。虽然GDPR中没有明确规定控制者需要进行合理的努力来验证，但这是暗含其中的，因为如果儿童在其不够大到能代表他们自己提少于18岁。”见大会1989年11月20日第44/25号决议（“儿童权利公约”）62见欧洲，2010年12月2日案例C-108/09，（Ker-Optika），第22和28段。关于“综合服务”，WP29还提到案例C-434/15（AsociacionProfesionalEliteTaxivUberSystemsSpainSL）第40段，其，供有效同意时就作出同意，将会使数据处理如果用户其低于能作出同意的，那么控制者无需进一步的检查当的。63疑问，控制者应在特定情况下其核查机制，并考虑是否需关于负有父母责任者的，GDPR没有就具体如何收集父母同意或确定是否有权为该行为做具体的规定。65因此，WP29建议采用比例法（proportionateapproach），以符合GDPR第8条第（2）款及第5条第（1）款（c）在验证用户足以提供其自己的同意方面，以及在验证代表儿童作出同意的人了。相反，在高风险的情况下，要求的证明可能是比较适当的，这样控制者就能够根据GDPR第7条第（1）款核查和保留相关信息。66可信的第提供[例23]某游戏平台想要确保其未成年用户仅在其父母或监护人的同意下订第一步：要求用户说明他们是低于还是超过16岁（或其他适用的足以作出同意的），如果用户其低于该，则：或。这时需要要求该用户披露其一方父母或监护人的邮箱地址。64WP205/2009号意见（WP163）65WP29，负有父母责任者并非总是儿童自然意义上的父母，而且父母责任可以由多方当事人承担，66例如，可以通过银行的方式要求父母或监护人向控制者支付0.01欧元，在描述中做一个简短确止对没有银行账户的人造成不适当的。第四步：，应采取其他措施来核实订阅者的。如果经务这一方面，其已经为确保获取有效同意作出了合理的努力。第8条第（2）款意是由对儿童负有父母责任者作出或的。”WP29也承认，在某些情况下，验证具有一定的性（例如，提供自己的同意 同意的后，根据第7条第必须要的是，根据序言38，在直接向儿童提供预防类服务或咨询类服务的供的儿童保护服务不需要事先得到父母的。最后，GDPR规定，有关未成年人父母要求的规则不应有违“成员国的一般合同法，如有关的合同的有效性、成立或效力的规则”。因此，对使用关律要求可以同时适用，且GDPR并不负责解决各国合同法有关法律规定的协调中并未对“科学研究”一词进行定义。序言159写道“就本条例而言，用于科学研67此外，数据主体应该第17条规定的被遗忘权，这尤其与在数据主体还是儿童时就给予的同意相关，见序言63。据保的背景下，后一种形式的同意可被视为额外的保障。68同时，在用于研89条第(1)款的要求，且处理活动是公平、合法、透明的，并符合数据。对于一开始不能确定科学研究项目中数据处理目的的情况，序言33允许考虑到GDPR第9条就特殊类别数据的处理所规定的严格条件，WP29，当在明确同意的基础上处理特殊类别的数据时，采用序言33所述的灵活的方法将会受到更严格的解释并需要进行更高标准的。将GDPR作为一套整体的来看时，不能将其解释为数据控制者在向数合可适用的科学研究标准目的“应根据本条适当保障数据主体的权利和自由。”数据最小化、化和68GDPR16169第6条第（1）款（c）项也适用于部分法律特别要求的加工操作，如根据