欧盟《通用数据保护条例》

  1. 同意作为数据处理的合法要件之一

数据主体的同意是合法处理个人数据最常见的要件之一,GDPR 对此作出了新的要求:

首先需注意的是,根据GDPR第6条规定,为合法进行个人数据处理,应已取得数据主体就出于一项或多项具体目的处理其个人数据的同意,或为实现下列目的进行数据处理合理必要:

  • 出于履行数据主体订立的合同之必要;
  • 出于履行数据控制者[1]的法定义务之必要;
  • 出于保护数据主体的重大利益之必要;
  • 出于履行涉及公共利益的职责之必要;
  • 出于数据控制者追求合法利益之必要。

数据控制者在开展任何涉及个人数据处理的活动之前,应首先考虑最适合拟定进行的数据处理的合法依据。通常而言,如果数据主体可基于自由意志接受或拒绝数据处理条款,此时,“同意”可作为适合的合法要件。

  • GDPR施行前取得的同意

GDPR序言第171条规定,“如果数据处理是基于欧盟第95/46/EC号指令下的同意,且作出该同意的形式符合本条例的规定,则数据控制者可在本条例施行之后继续进行数据处理,数据主体不需要再次作出同意。

按照上述规定,如果一家公司在2018年5月25日(GDPR正式施行之日)之前按照GDPR的要求取得特定数据主体的同意,则该公司可以继续合法处理该等数据主体的个人数据。而在其他情况下,该公司则需要再次取得同意。

如果未完全按照GDPR规定取得同意,则该等同意不可作为数据处理的有效要件,因而数据处理活动也不合法。如果如实务中所常见的情况,就开展的多项数据处理业务,公司仅取得一项同意,则这一做法不符合细致程度(Granularity) 要求(参见下方关于细致程度要求的内容)。

如第29条数据保护工作组指引中所述[2],GDPR要求数据主体必须通过“声明或明确肯定的行为”作出同意,因此GDPR施行前取得的默示同意不再有效,如预先勾选的选择框不再是有效的同意。

为遵守GDPR标准,原有的业务运作和IT系统可能需作出改变。例如,应建立方便数据主体随时撤回同意的机制。如果当前关于取得和撤回同意的管理流程未达到GDPR标准,则数据控制者应重新制定相关流程。

在任何情况下,即便取得同意,数据控制者仍应充分遵守GDPR项下关于数据处理的原则,尤其是公平、必要和比例原则及数据质量原则。

下文列出GDPR中关于同意的主要规定,公司应认真审查并评估现有同意(如有)是否需要重新取得。

  • 关于同意的规定

同意应通过明确肯定的行为作出,应为数据主体

  • 依照自由意志作出的;
  • 特定的;
  • 知情的;且
  • 明确的指示,表明其同意处理与其相关的个人数据。

如果数据处理基于主体的同意进行,数据控制者必须能够始终证明,数据主体确实同意处理其个人数据。

如果数据主体未能基于其真实意图或自由意志进行选择,或者无法在不受损害的情况下拒绝或撤回同意(例如,撤回同意不得导致数据主体的任何损失),则不视为依照自由意志作出同意。如果仅在数据主体同意接受直接营销或其他条件的情况下,该主体才能获得某项服务,则也不视为依照自由意志作出同意。

值得注意的是,在双方关系不视为完全对等的情况下,如数据控制者和数据主体是雇佣关系,则处于弱势的一方所作出的同意不太可能是自由作出的。对于这一特殊情况,提出其他数据处理的合法要件(履行雇佣合同和履行雇主的法定或财政义务)则为明智之举。

数据主体应获得下列信息,方为作出知情的同意[3]

  • 数据控制者的身份;
  • 个人数据处理的目的;
  • 收集和使用数据的类别;
  • 拥有撤回同意的权利;
  • 使用数据作出自动化决策相关的信息(如有);
  • 因缺乏充分的决策和适当保护措施而导致的欧盟境外数据传输中的潜在风险。

此外,如果数据控制者有意:

  • 处理特殊类别的个人数据(如表明种族或民族出身、政治观点、宗教/哲学信仰的数据,健康相关数据等);或
  • 出于画像目的进行数据处理,

则必须对同意作出进一步规定,例如,必须作出明示同意。

明示同意应以书面形式作出,包括电子形式,如以电子形式填写表格、发送电子邮件或使用电子签名等。根据GDPR规定,预先勾选的选择框为无效同意。数据主体保持沉默或未作出行动应视为未作选择。

GDPR对同意作出的另一具体要求为,向未满16周岁的儿童提供信息社会服务,应取得有父母责任的父母或监护人的同意。欧盟各成员国可以规定更低的法定年龄标准,但不得低于13周岁。

如果数据主体通过书面声明的方式作出同意,且书面声明涉及其他事项,则应使用明确且易于理解的语言(指对一般人而非只针对律师通俗易懂)并使用如下方式向数据主体提出同意请求:

  • -与其他事项显著区别;且
  • -清晰并易使用的形式。

数据主体有权随时撤回其同意,且数据控制者应履行相关告知义务。撤回同意应与作出同意一样简便(如,在线勾选)。在任何情况下,撤回同意均不影响此前基于该等同意所进行的数据处理的合法性。

应注意的是,数据控制者不得将同意替换成其他合法要件。例如,不允许在同意失效的情况下,事后提出合法利益这一要件以证明数据处理的合法性。数据控制者应在开始收集数据前确定适用的合法要件,并在收集数据时向数据主体作出相关披露。

  • 同意的细致程度要求

GDPR序言第43条规定,适当时,对于不同的数据处理业务,应分别取得同意。应建立细致的同意取得机制,尤其要满足“自由作出”和“特定同意”这两方面要求。同意的细致程度可简单概括为,数据主体能够明确其同意的事项:他们必须拥有选择权,并可以控制从数据控制者处接收的内容。将针对各类活动的同意捆绑到一个勾选栏的做法不可接受。

尽管出于直接营销的目的处理个人数据,尤其是在数据控制者和数据主体之间存在合同关系时[4],可视为基于合法利益的要件进行数据处理(GDPR序言第47条),但大多数情况下,数据控制者为营销目的处理个人数据时仍需取得数据主体的特定同意。

需要取得针对不同目的的同意时,数据控制者应针对每一目的分别提供相关选择,以便用户能就不同目的作出特定同意。

例如,为进行下列事项,应分别取得数据主体的特定同意:

  • 数据控制者出于直接营销的目的,为(通过电子邮件、短信、彩信、传真、邮件、电话等)发送新闻稿和商业通讯处理个人数据;
  • 数据控制者出于数据主体画像和提供个性化服务的目的处理个人数据;
  • 数据控制者出于直接营销的目的,将数据主体的个人数据传输至第三方,再由第三方发送新闻稿和商业通讯;
  • 数据控制者将数据主体的个人数据传输至第三方,再由第三方进行数据主体画像和提供个性化服务。

根据GDPR第21条规定,如果出于直接营销目的处理个人数据,数据主体有权随时拒绝为该等营销活动处理与其相关的个人数据,包括与该等直接营销相关的数据主体画像。如果数据主体拒绝出于直接营销目的进行数据处理,则数据控制者不得继续出于该等目的处理个人数据。

  • 数据可携权 (Portability)

基于同意进行数据处理产生的一个后果是数据主体将取得GDPR第20条项下的数据可携权,即数据主体有权从控制者处以结构化、常用和可机读的格式获取其向控制者提供的个人数据。

如技术条件允许,数据主体可要求控制者将原本收集的个人数据直接传输给另一控制者。

显然,这一权利的行使将严重影响基于客户数据的商业用途开展业务的公司。


[1]“数据控制者”指单独或者与他人共同确定处理个人数据的目的和方式的自然人或法人、公共机关、代理机构或者其他机构。

[2] 2017年11月28日通过的欧盟第2016/679号条例项下的同意指引,第30页。第29条工作组是指由欧盟各成员国的数据保护监管机构、欧洲数据保护监管局和欧盟委员会指派的代表组成的核心监管机构。2018年5月25日起,工作组由欧洲数据保护委员会 (European Data Protection Board) 取代。

[3] 第29条工作组-同意指引中述明。

[4] 例如,数据控制者向其现有的客户发送电子邮件通讯,以推广其自有或类似性质的产品或服务(参见第29条工作组第15/2011号关于同意定义的意见书)

Stefania Lucchetti

Pietro Boccaccini