数据保护官沙龙（DPO Salon）公益出品 官 沙 同意的解释指南》 龙 第 29 条工作组《对第 2016/679 号条例（GDPR）下 护 译者：王少倩、罗为、何杨梅 2018 年 10 月 数 据 保 审校：王新锐、罗为 署名-非商业性使用-禁止演绎 2.5 中国大陆 1 译者序言 在今年 5 月份正式生效的《欧洲通用数据保护条例》 （“GDPR”） 引起了数据合规领域的广泛关注。从欧盟数据保护指令（95 指令）到 龙 GDPR，在包括同意、数据保护影响评估、自动决策和画像、隐私实 践透明度等方面发生了许多重要变化，为澄清相关问题，第 29 条工 沙 作组（“W29”）——欧洲独立的数据保护和隐私咨询机构——发布了 一系列指南以指导法律实践工作。尽管 W29 对相关主题的指南并不 路，值得业界学习借鉴。 官 具有法律效力，但其为更好地理解、适用 GDPR 提供了权威的解释思 护 “同意”作为数据处理活动常见的法律基础，GDPR 对其作出了新 据 保 的要求，同时进一步澄清和说明了应如何获得有效同意。在解释 GDPR 对“同意”的要求的基础上，W29 较为细致地阐述了其对于 GDPR 项下“同意”的理解，并针对“自愿作出”、“具体的”、“知情的”， 以及“明确的意思表示”等关于有效同意的要件，在结合相关案例后， 数 逐一加以分析。 除了对有效同意本身的要素进行细化解释之外，W29 还专门讨 论了 GDPR 中特别关注的领域中与“同意”相关的问题，如数据处理涉 及儿童时，数据控制者为获取有效同意应当作出哪些合理的努力，以 及在涉及科学研究时，对数据主体披露信息的透明度要求与科学伦理 标准之间应如何平衡，W29 都做出了更为详尽和有实践意义的指引。 应当说，W29 这份“同意”指南结合了欧盟现有的条例及 W29 过 2 去对相关主题的指南，对 GDPR 项下同意做出了全面、有据的解释， 对于在 GDPR 刚生效不久、许多问题尚存争议和模糊的现阶段来说， 研究欧洲的权威数据保护机构 W29 对 GDPR 项下各个主题的解释文 件，有利于在实务中更好地理解、学习 GDPR 的规制机制，为调整数 据合规路径提供更好的思路。 龙 译者作为从事数据合规的中国律师，在实务中常常面对的就是客 户和监管机构对于“知情同意”在不同场景下有不同理解，甚至互相矛 沙 盾。翻译并分享这份指南也是希望和业界同行交流如何在中国的语境 下去提出合理的判断标准。因为水平所限，译文难免有不准确或错误 数 据 保 护 官 之处，欢迎大家指正（请发邮件至 [email protected]）。 3 王新锐 罗为 第 29 条工作组对第 2016/679 号条例下同意的解释指南 2017 年 11 月 28 日通过 龙 2018 年 4 月 10 日作最后修改并通过 本工作组据欧洲议会和理事会 1995 年 10 月 24 号的第 95/46/EC 号指令而设， 沙 鉴于该指令第 29 条及 30 条规定及其议事规则，本工作组致力于个人数据处理 数 据 保 护 官 中的个人权利保护，在制定本指南时亦参考了其他现行指导指南。 该工作组是根据第 95/46 / EC 号指令第 29 条设立的，是欧洲独立的数据保护和隐私咨询机 构，其具体职能在第 95/46 / EC 号指令第 30 条和第 2002/58 / EC 号指令第 15 条中有所描 述。 4 目 录 1. 简介........................................................................................................................... 6 2. GDPR 第 4 条第（11）款中的同意 ....................................................................... 7 3. 有效同意的要素....................................................................................................... 7 3.1 自由/自愿作出 ................................................................................................ 8 3.1.1 权力失衡................................................................................................ 8 3.1.2 限制条件.............................................................................................. 10 龙 3.1.3 颗粒度.................................................................................................. 12 3.1.4 损害...................................................................................................... 12 3.2 具体的............................................................................................................ 13 沙 3.3 知情的............................................................................................................ 14 3.3.1 对应“知情”内容的最低要求.............................................................. 15 官 3.3.2 如何向数据主体提供信息.................................................................. 15 3.4 明确表示意愿................................................................................................ 17 4. 获得明确的同意..................................................................................................... 19 护 5. 获得有效同意的其他条件..................................................................................... 21 5.1 展示同意........................................................................................................ 21 5.2 同意的撤回.................................................................................................... 22 据 保 6. 同意和 GDPR 第 6 条规定的其他合法理由的相互关系 ................................... 23 7. GDPR 中特别关注的领域 ..................................................................................... 24 7.1 儿童（第 8 条）............................................................................................ 24 7.1.1 信息社会服务....................................................................................... 25 7.1.2 直接向儿童提供服务.......................................................................... 25 数 7.1.3 年龄...................................................................................................... 25 7.1.4. 儿童的同意和父母的责任................................................................. 26 7.2 科学研究........................................................................................................ 27 7.3 数据主体的权利............................................................................................ 29 8. 根据 95 指令获得的同意....................................................................................... 29 5 1. 简介 本指南对第 2016/679 号条例，即《通用数据保护条例》（以下简称 GDPR）中“同 意”的概念进行了全面分析。数据保护指令（以下简称 95 指令）和现行的电子隐 私指令中