如何遵守GDPR中的「同意」要求？| 互聯網法律觀察

第一章 概述

2018年5月25日即將生效的歐洲《一般數據保護條例》( 「GDPR」)，號稱是當今全球「個人信息保護」領域最為嚴格、管轄範圍最寬、處罰最嚴厲、以及立法水平最高的一部法律。

IBM、微軟、Facebook、阿里、小米、華為等多家海內外數據企業已經針對GDPR開展了自查和規則整改。 中國政府部門也針對在對中國數據企業應對GDPR開展政府調研。

為協助數據安全從業者以及業務涉及國內外個人信息收集的中國企業應對這一全球性的重要法規，北京德和衡律師事務所早在2017年就組建了GDPR的專項法律服務團隊。針對GDPR以及相關實施指南進行深入的調研，與歐盟律師保持密切溝通，第一時間了解海外政策動態，並將GDPR與中國網路安全和數據保護法律以及中國企業的實際需求緊密結合，設計出一套創新法律服務。

針對服務所轄內容，我們整理了本團隊有關GDPR的相關研究文章，具體列表請見文末。

1. 同意的定義

GDPR第4條對數據主體的同意作出了明確定義：數據主體的同意（consent of the data subject），是指數據主體依據其個人意願，自由、明確、知情並清楚地通過陳述或積極行為表示對其個人數據進行處理的同意。

從GDPR的定義來看，同意必須是自由給出的、特定的、知情的、以清晰的聲明或者肯定的行為表明數據主體對於處理其個人數據的明確意願。針對何為「自由、特定、知情」等，GDPR在不同的章節進行了細緻的規定，目前專家學者的討論也相對廣泛，在此不再贅述。

2. 同意是個人數據處理的合法要件之一

同意是個人數據處理的合法要件之一，且一般性的同意允許「默認同意」。

除了「同意」之外，處理數據的合法性條件還包括下述任一情況：

● 出於履行合同必要

● 出於訂立合同前為實施數據主體要求的行為之必要

● 出於履行數據控制者的法定義務的必要

● 出於保護數據主體或其他自然人重大利益之必要

● 出於實施數據控制者經授權職權範圍內許可權之必要

● 出於履行涉及公共利益的職責必要

● 出於追求合法利益目的而進行的必要的數據處理，但該合法利益目的不得與數據主體的基本權利和自由相衝突，且數據主體並非兒童。

第6條 數據處理的合法性( Lawfulness of processing)

1.只有符合以下情況之一的個人數據處理行為才是合法的：

(A) 數據主體已經對基於一個或多個具體目的而處理其個人數據的行為表示同意；

(B) 履行數據主體為一方當事人的合同或在訂立合同前為實施數據主體要求的行為所必要的數據處理；

(C) 為履行數據控制者的法定義務所必要的數據處理；

(D) 為保護數據主體或另一自然人的重大利益所必要的數據處理;

(E) 為履行涉及公共利益的職責或實施已經授予數據控制者的職務許可權所必要的數據處理；

(F) 數據控制者或第三方為追求合法利益目的而進行必要的數據處理,但當該利益與要求對個人數據進行保護的數據主體的基本權利和自由相衝突時,尤其是當該數據主體為兒童時，則不得進行數據處理；

公共權力機構執行任務時實施的數據處理不受第1款(F)項的約束。

3. GDPR中的同意可能同時包含「明確同意」和「一般同意」

歐盟1995年《數據保護指令》（《95令》）是GDPR的前身，GDPR在延續95令的框架的同時，更加細緻和堅實地規定了數據處理方（包含控制者和處理者）的責任及數據主體的權利。但是，在規定「同意」事項時，我們注意到，GDPR中的「同意」可能包含區別於「明確同意」的「默示同意」（一般同意）。

因為，根據95令第7條的規定，同意必須是明確的；但GDPR第6條的表述中刪除了「明確」。與此同時，GDPR第9條第2款規定，特殊類型的數據在獲得數據「明確同意」時，其處理不受相關限制。鑒此，我們理解GDPR中的「同意」在未被要求為「明確同意」時，具有「默示同意」的含義。

當然，若某一項同意被GDPR認定為需要「明確同意」的，則該等同意的標準應符合相關要求，即符合GDPR第7條關於同意的條件，即：

● 同意必須是基於數據主體自由意志作出，且證明責任歸屬於數據控制者；

● 數據主體作出的書面聲明不僅包含同意的，則同意應當與其他事項明顯區分；

● 該書面聲明應使用清楚簡單的語言，且不得違反GDPR的相關規定，否則無效。

第7條 同意的條件

1.當數據處理必須基於數據主體的同意時,數據控制者應當證明數據主體已經對處理其個人數據的行為予以同意。

2.如果數據主體是通過書面聲明的方式表示同意的,而該聲明還涉及其他事項,則同意在形式上應當滿足:明顯區分於其他事項,以明了且易獲取的形式,使用清楚簡單的語言。(該聲明中任何與本條例規定相違背的內容不發生法律約束力)

3.數據主體有權在任何時候撤銷其同意。該撤銷不具有溯及力。在作出同意的意思表示之前,應將上述事項明確告知數據主體。撤銷同意和作出同意應一樣容易。

4.在評估時應當盡最大可能考慮數據主體的同意是否是基於自由意志作出,尤其是在包含服務條款的合同的履行是以數據主體同意其個人數據被處理為條件,而該數據處理又不為履行合同所必要。

第9條 對特殊類型個人數據的處理

1.禁止在個人數據處理中泄露種族或民族起源、政治觀點宗教信仰、哲學信仰、工會成員資格等個人信息,禁止以識別自然人身份為目的對個人基因數據、生物特徵數據的處理,禁止對健康數據、性生活、性取向等相關數據進行處理。

2.上述第1款的規定不適用於以下情況:

(A) 數據主體明確同意數據控制者出於一個或多個特定目的對其個人數據進行處理,但按照歐盟或成員國法律的規定第1款的禁止性規定可能不取決於數據主體同意的除外;

4. GDPR中需要「明確同意」的事項

綜上，我們認為有必要區分GDPR中的「明確同意」和「一般同意」事項，以確保企業獲得了標準不同且合乎GDPR標準的「同意」。經整理GDPR全文，我們列舉了兩種同意的內含事項：

◆ 一般性同意的事項包括：

- 同意在具體目的下處理個人數據；

第6條 數據處理的合法性( Lawfulness of processing)

1.只有符合以下情況之一的個人數據處理行為才是合法的：(A) 數據主體已經對基於一個或多個具體目的而處理其個人數據的行為表示同意；

- 數據收集時的目的在數據處理時發生變化的，需要數據主體同意；

第6條 數據處理的合法性( Lawfulness of processing)

4.當非基於數據收集的目的而進行的數據處理行為沒有依據數據主體的同意或沒有遵守作為民主社會中保障本條例第23條第1款的目標的必要且適當措施的歐盟或成員國法律時,為查明基於該目的所進行的數據處理是否符合最初收集個人數據時的目的,數據控制者尤其應當考慮以下情形:

(A) 意圖實施的後續處理行為的目的與收集個人數據時的目的之間的聯繫;

(B) 個人數據被收集時的情形,尤其是關於數據主體與數據控制者之間的關係;

(C) 個人數據的性質,尤其是所處理的個人數據是否屬於本條例第9條所規定的特殊種類,或所處理的個人數據是否與本條例第10條規定的與刑事定罪與犯罪相關聯；

(D) 意圖實施的後續處理行為會對數據主體造成的可能後果;

(E) 存在適當的保障措施,其中可能包括加密措施或假名化機制。

- 數據主體行使限制處理權後再次處理數據

第18條 限制處理權

1.發生以下情形時,數據主體有許可權制數據控制者的處理行為：

(A) 當數據主體對個人數據的準確性提出質疑,數據控制者需要一段時間核實數據的準確性

(B) 數據處理違法、數據主體僅要求限制數據使用而反對清除個人數據;

(C) 當數據控制者基於處理目的不再需要個人數據,但這些個人數據是數據主體提起訴訟或應訴所必要的;

(D) 數據主體可以根據第21條第1款規定行使拒絕權直到確認了控制者的合法理由優於數據主體。

2.除存儲外,在本條第1款規定的數據處理受限制的情況下,僅得在經數據主體同意後處理數據,或為提起訴訟或應訴,或為保護其他自然人、法人權利,或為歐盟或成員國重要公共利益而處理數據。

- 處理小於16歲的兒童數據時，需要獲得監護人的同意或授權；

第8條 信息社會服務中兒童同意的適用條件

1.在向兒童直接提供信息社會服務的情形中適用本條例第6條第1款(A)項的規定時,只有對年齡不小於16周歲的兒童的個人數據進行的處理行為才是合法的。對年齡不滿16周歲的兒童,處理行為只有或至少在獲取了該兒童的監護人的同意或授權時才是合法的。

成員國出於特定目的可以在法律上規定更加低的年齡界限,但是不得低於13周歲。

數據主體行使數據限制處理權後的再次處理數據。

◆ 明確同意事項包括：

- 敏感數據處理（禁止在個人數據處理中泄露種族或民族起源、政治觀點宗教信仰、哲學信仰、工會成員資格等個人信息,禁止以識別自然人身份為目的對個人基因數據、生物特徵數據的處理,禁止對健康數據、性生活、性取向等相關數據進行處理）

第9條 對特殊類型個人數據的處理

1.禁止在個人數據處理中泄露種族或民族起源、政治觀點宗教信仰、哲學信仰、工會成員資格等個人信息,禁止以識別自然人身份為目的對個人基因數據、生物特徵數據的處理,禁止對健康數據、性生活、性取向等相關數據進行處理。

2.上述第1款的規定不適用於以下情況:

(A) 數據主體明確同意數據控制者出於一個或多個特定目的對其個人數據進行處理,但按照歐盟或成員國法律的規定第1款的禁止性規定可能不取決於數據主體同意的除外;

- 當數據被用於數據畫像時；

第22條 自動化的個人自決,包括識別分析( Automated individual decision - making , including profiling )

1.數據主體有權不受僅基於自動化處理行為得出的決定的制約,以避免對個人產生法律影響或與之相類似的顯著影響,該自動化處理包括識別分析。

2.第1款的規定不適用以下決定：

(A) 為締結、履行以數據主體和數據控制者為當事人的合同所必要；

(B) 經數據控制者遵守的歐盟或成員國法律授權,且該法律規定了適當的措施以保障數據主體的權利、自由和合法利益;

(C) 基於數據主體明確同意。

- 個人數據出境時，在缺乏本條例第45條第3款規定的充分保護標準或者缺乏本條例第46條規定的適當保護措施,包括公司約束規則在內時,將個人數據轉移到第三國或國際組織，且數據主體在被告知這種轉移行為由於缺乏充分的保護標準和適當的保護措施可能會對其帶來的風險時，仍作出明確同意的，個人數據方可出境。

第49條 特殊情形下的例外規定

1.在缺乏本條例第45條第3款規定的充分保護標準或者缺乏本條例第46條規定的適當保護措施,包括公司約束規則在內時,將個人數據轉移到第三國或國際組織應當滿足以下條件之一:

(A) 數據主體在被告知這種轉移行為由於缺乏充分的保護標準和適當的保護措施可能會對其帶來的風險後仍明確同意轉移的；

「GDPR」相關文章

GDPR實施倒計時：歐盟委員會發布直接適用指南| 互聯網法律觀察

你的企業需要數據保護專員嗎？

推薦閱讀：