第29條工作組對(duì)gdpr下同意的解釋指南

GDPR，在包括同意、數(shù)據(jù)保護(hù)影響評(píng)估、自動(dòng)決策和、隱私實(shí)踐等方面發(fā)生了許多重要變化，為澄清相關(guān)問(wèn)題，第29條工作組（“W29”）——?dú)W洲獨(dú)立的數(shù)據(jù)保護(hù)和隱私——發(fā)布了一系列指南以指導(dǎo)法律實(shí)踐工作。盡管W29對(duì)相關(guān)的指南并不“同意”作為數(shù)據(jù)處理活動(dòng)常見(jiàn)的法律基礎(chǔ)，GDPR對(duì)其作出了新的要求，同時(shí)進(jìn)一步澄清和說(shuō)明了應(yīng)如何獲得有效同意。在解釋GDPR對(duì)“同意”的要求的基礎(chǔ)上，W29較為細(xì)致地闡述了其對(duì)于除了對(duì)有效同意本身的要素進(jìn)行細(xì)化解釋之外，W29還專(zhuān)門(mén)討當(dāng)說(shuō)，W29這份“同意”指南結(jié)合了歐盟現(xiàn)有的條例及W29過(guò)研究歐洲的數(shù)據(jù)保護(hù)機(jī)構(gòu)W29對(duì)GDPR項(xiàng)下各個(gè)的解釋文譯者作為從事數(shù)據(jù)合規(guī)的中國(guó)，在實(shí)務(wù)中常常面對(duì)的就是客 王新銳201711282018410中的個(gè)利保護(hù)，在制定本指南時(shí)亦參考了其他現(xiàn)行指導(dǎo)指南。95/46EC302002/58EC15條中有所描目錄簡(jiǎn) GDPR第4條第（11）款中的同 有效同意的要 自由/自愿作 權(quán)力失 限制條 顆粒 損 具體 知情 對(duì)應(yīng)“知情”內(nèi)容的最低要 如何向數(shù)據(jù)主體提供信 明確表示意 獲得明確的同 獲得有效同意的其他條 展示同 同意的撤 同意和GDPR第6條規(guī)定的其他合法理由的相互關(guān) GDPR中特別關(guān)注的領(lǐng) 兒童（第8條 信息社會(huì)服 直接向兒童提供服 ......................................................................................................兒童的同意和父母的責(zé) 科學(xué)研 數(shù)據(jù)主體的權(quán) 根據(jù)95指令獲得的同 意”的概念進(jìn)行了全面分析。數(shù)據(jù)保護(hù)指令（95指令）和現(xiàn)行的電子隱私指令中所使用的同意的概念如今已經(jīng)發(fā)生了變化。GDPR進(jìn)一步澄清和說(shuō)明了獲得和證明有效同意的要求。本指南重點(diǎn)將關(guān)注這些變化，并提供有意義的GDPR15/2011號(hào)意見(jiàn)的基礎(chǔ)上確立同意的概念。更好地支持個(gè)人數(shù)據(jù)的保護(hù)工作，數(shù)據(jù)主體的權(quán)利。如GDPR第6條所列，同意是處理個(gè)人數(shù)據(jù)的六個(gè)合法基礎(chǔ)之一1。在開(kāi)展涉及果完全符合GDPR的規(guī)定，那么同意就是讓數(shù)據(jù)主體可以控制其有關(guān)的個(gè)人數(shù)據(jù)是否被處理的一種工具。否則，數(shù)據(jù)主體的控制權(quán)就，這種情況下的同意不再是數(shù)據(jù)處理活動(dòng)的合法有效基礎(chǔ)，處理活動(dòng)就會(huì)成為行為2?，F(xiàn)行的第29條工作組關(guān)于同意的意見(jiàn)（以下簡(jiǎn)稱(chēng)“WP29”）中3與新法律框架中GDPR將現(xiàn)行的第29條工作組指南和通用良好慣例件中，WP29拓展并完善了之前關(guān)于特定的意見(jiàn)，包括95指令下的同意，的是數(shù)據(jù)主體同意便不合法的數(shù)據(jù)處理操作。《歐洲基本權(quán)利》第78條強(qiáng)調(diào)了同意的關(guān)鍵作用。此外，獲得同意也不會(huì)否定或以任何方式削弱數(shù)據(jù)控制者應(yīng)遵守GDPR中所規(guī)定的處理原則的義務(wù)，尤其是GDPR第5意，那些與特定處理目的無(wú)關(guān)且根本的數(shù)據(jù)處理活動(dòng)也是不合法的5。同時(shí)，WP29也注意到對(duì)電子隱私指令（2002/58/EC）的。電子隱私條例草案中的同意概念也與GDPR中的同意概念相聯(lián)系6。對(duì)于大多數(shù)信息或1GDPR第九條列出了對(duì)于處理特殊類(lèi)別數(shù)據(jù)的可能豁免，其中之一就是數(shù)據(jù)主體明確同意使用315/2011號(hào)意見(jiàn)（WP187）415/2011號(hào)意見(jiàn)（WP187），8515/2011號(hào)意見(jiàn)（WP187），GDPR，以及包括使用 這些組織可能需要得到電子隱私項(xiàng)下的同意。WP29已經(jīng)向歐洲者提出至于現(xiàn)行的電子隱私指令，WP29，其對(duì)于已的95指令的應(yīng)被解釋為對(duì)GDPR的8。對(duì)于現(xiàn)行的電子隱私指令中對(duì)于同意的也是如此，因?yàn)殡娮与[私條例不會(huì)從2018年5月25日起開(kāi)始生效。根據(jù)GDPR第95條的規(guī)定，GDPR不應(yīng)向與在歐盟的公共通信網(wǎng)絡(luò)里提供公共電子通信服務(wù)的處理有WP29，GDPR下關(guān)于同意的要求不應(yīng)被視為一種“額外義務(wù)”，而是合法處理的先決條件。因此，在GDPR下獲得有效同意的條件同樣適用于屬于電子隱私此處同意的基本概念與95指令規(guī)定的類(lèi)似，根據(jù)GDPR第6條，同意是處理個(gè)732、33、4243條中就控制者必須采取何種行動(dòng)以遵守同意所GPDR4條第（11）7有關(guān)電子隱私指令（WP240）03/20168GDPR94995指令中將同意定義為：“數(shù)據(jù)主體依照其意愿自愿作出的任何具體的、知情的意思表示，意味著數(shù)據(jù)主體同意其個(gè)人數(shù)據(jù)被處理”，并且此種同意必須是明確地給出，個(gè)人數(shù)據(jù)處理行為才為合法（95指令第7(a)條），關(guān)于同意的適當(dāng)性作為法律基礎(chǔ)的例子，見(jiàn)關(guān)于同意定義的第15/2011號(hào)意見(jiàn)（WP187）。在該意見(jiàn)中，W29就如何區(qū)分同意作為法律基礎(chǔ)的情形和那些依賴合法利益（或以選擇退出）為依據(jù)就足矣或建議采用合同關(guān)系路徑解決的情形提供了意見(jiàn)指南。另見(jiàn)WP第06/2014號(hào)意見(jiàn)，第三段以下就第4條第（11）款的文字表述中要求控制者更改其同意請(qǐng)求/表格的程度進(jìn)行分析，以確保其遵守GDPR。10自由/自愿作出，那么該種同意將無(wú)效12。如果一項(xiàng)同意是被作為條款和條件的一不受損害的情況下或撤回其同意，則該同意將不被視為是自由作出的13。GDPR同時(shí)還考慮了控制者和數(shù)據(jù)主體之間不的情形。在評(píng)估同意是否是自由作出時(shí)，還應(yīng)考慮將同意納入合同或提供第7條第款所述服務(wù)的具體情況。第7條第（4）款是以非詳盡的方式草擬的，其采用了“以及其他（interalia）”一詞，意味著這一規(guī)定可能涉及一系列其他情況。一般[一款用于編輯的應(yīng)用要求用戶激活其GPS定位功能，以便使用其服務(wù)。是投放都不是提供編輯服務(wù)所必需的，并且超出了其所提供的8/2001號(hào)意見(jiàn)（WP48），以及關(guān)于世界反機(jī)構(gòu)（WADA）關(guān)于2/2號(hào)意見(jiàn)（保護(hù)個(gè)人隱私和個(gè)人信息的國(guó)際標(biāo)準(zhǔn)、世界反機(jī)構(gòu)守則的有關(guān)規(guī)定以及世界反機(jī)構(gòu)和（國(guó)家）反組織在體育運(yùn)動(dòng)中使用的范圍內(nèi)的其他隱私問(wèn)題13GDPR42、432011713日通過(guò)的WP2915/2011（WP187）1214GDPR序言43寫(xiě)道：“為確保同意是自愿作出的，在特定情形下，數(shù)據(jù)主體與控制者之間不時(shí)，15GDPR6條，特別是第(1c)和(1e)[例2]一個(gè)地方的市正著手規(guī)劃道路工程。由于道路工程可能在很長(zhǎng)一的任何服務(wù)或行使任何權(quán)利，因此他們能夠自由地同意或同意該種數(shù)據(jù)的使用方式。有關(guān)道路工程的所有信息也將在市的上提供。[例3]一位擁有土地的個(gè)人需要獲得當(dāng)?shù)厥屑笆〉?。兩個(gè)公共機(jī)構(gòu)和省就合并其征求該個(gè)人的同意，以避免程序和通信上的重復(fù)。兩的向自由地作出同意的表示。[例4]一所公立學(xué)校要求學(xué)生同意在學(xué)生上使用他們的。在這種情況下，體能夠同意其雇主進(jìn)行數(shù)據(jù)處理同時(shí)不會(huì)因該而恐懼或不利影響風(fēng)壓力18。因此，WP29認(rèn)為雇主在征得同意的基礎(chǔ)上處理當(dāng)前或未來(lái)雇員的個(gè)人意（第6條第（1）（a）款）。1916就本例而言，公立學(xué)校是指公立資助的學(xué)?；蛉魏尉邆鋰?guó)家法律規(guī)定的公共機(jī)關(guān)或機(jī)構(gòu)資格的教育設(shè)17GDPR88條，其中強(qiáng)調(diào)了保護(hù)雇員特定利益的必要性，并表明成員國(guó)法律有可能減損其權(quán)益。另見(jiàn)序言155。1815/201112-148/2001號(hào)意見(jiàn)（WP48）10章，關(guān)于工作場(chǎng)所電子通信監(jiān)督的工作文件（WP55）4.2段，以及關(guān)于工作中數(shù)據(jù)處理的第2/2017號(hào)意見(jiàn)（WP249），第6.2段。192/20176-7否同意，都不會(huì)產(chǎn)生任何不利。[一個(gè)攝制組將在某間的某個(gè)部分進(jìn)行拍攝。由于該區(qū)域的員工可能出權(quán)力不平衡不僅限于公權(quán)力和雇主，在其他情況下也可能發(fā)生。正如WP29在幾且即使他/她不同意，也不存在、、脅迫或重大（例如大量額外費(fèi)用）GDPR7條第（4）款對(duì)評(píng)估同意是否是自愿作出的起到了重要作用。GDPR第7條第（4）款表明，在“以及其他”的情形下，將同意與接受條款或條件相“”，或是將提供合同或服務(wù)與同意處理個(gè)人數(shù)據(jù)的請(qǐng)求“打包”在一起，果同意是在上述情形出的，則推定該同意不是自由作出的（序言43）。第7個(gè)人數(shù)據(jù)的服務(wù)合約相。通過(guò)這樣規(guī)定，GDPR可以確保尋求對(duì)處理個(gè)人數(shù)供給控制者處理，則他/她可能會(huì)被提供其所要求的服務(wù)。WP2906/2014號(hào)意見(jiàn)，“履行合同所必需的”一詞需21GDPR7條第（4）款寫(xiě)道：“當(dāng)評(píng)估同意是否是自愿作出時(shí)，應(yīng)盡最大限度地考慮合同的履行包括第7條第(4)款只適用于所要求的數(shù)據(jù)并非履行合同(包括提供服務(wù))所必需的情[銀行請(qǐng)求客戶同意允許第將其付款信息用于直接目的。這種處理活動(dòng)對(duì)必須仔細(xì)限制條件是否發(fā)生。第7條第（4）款表明了當(dāng)一份合同（可能包第7條第（4）款并非以一種方式進(jìn)行解讀，因此可能在某些非常有限的場(chǎng)景下，這種限制條件不會(huì)使同意無(wú)效。然而，序言43中“推定”一詞也清楚地GDPR始終的問(wèn)責(zé)制的一般原則。然而，在適用第7條第（4）款時(shí)，控制者22資訊和例子，請(qǐng)參見(jiàn)WP29于2014年4月9日通過(guò)的第06/2014號(hào)意見(jiàn)，其是關(guān)于數(shù)據(jù)控制者25WP2915/2011號(hào)意見(jiàn)中所述，當(dāng)數(shù)據(jù)主體處是自由作出的推斷（例如在雇傭關(guān)系中，或是數(shù)據(jù)是由公共機(jī)構(gòu)收集的情形）7條第（4）款生效見(jiàn)（WP187），第12-17頁(yè)。對(duì)手可能在之后改變其服務(wù)。因此，該論點(diǎn)下的同意并不符合GDPR的要求。[例7]在同一份同意請(qǐng)求中，零售商要求客戶同意使用其數(shù)據(jù)以通過(guò)電子郵件向他們發(fā)送信息，并與內(nèi)的其他公司共享其詳細(xì)信息。這樣的同意書(shū)不是同意將被視為對(duì)每個(gè)合作伙伴都有效（另見(jiàn)3.3.1節(jié)）。[例8]當(dāng)一個(gè)關(guān)于生活方式的應(yīng)用時(shí)，該應(yīng)用請(qǐng)求用戶同意使用的發(fā)現(xiàn)該應(yīng)用現(xiàn)在只能在有限的范圍內(nèi)起作用。這是序言42中所述的損害的一個(gè)[例9]一個(gè)數(shù)據(jù)主體訂閱了一家時(shí)尚零售商的含有一般折扣內(nèi)容的消息，零填寫(xiě)的問(wèn)卷定制推送。當(dāng)數(shù)據(jù)主體之后撤回該同意時(shí)，他/她將收到的[例10]一款時(shí)尚為讀者提供在新化妝產(chǎn)品正式發(fā)布前該產(chǎn)品的。享受這項(xiàng)福利，人們就必須提供他們的郵寄地址，并同意訂閱的郵寄。郵寄地址是寄送產(chǎn)品所必須的，而郵寄是用來(lái)全年發(fā)送化妝品或T恤等產(chǎn)品的商業(yè)報(bào)價(jià)。該公司解釋說(shuō)，郵寄上的數(shù)據(jù)僅用于本身向用戶發(fā)送商品和紙質(zhì)，不會(huì)與任何其他組織共享。27GDPR43寫(xiě)道，在適當(dāng)時(shí)，對(duì)于不同的處理操作需要分別同意。應(yīng)提供細(xì)粒度的同意選項(xiàng)，以允28見(jiàn)有關(guān)目的限制的第3/2013號(hào)意見(jiàn)（WP203），第16頁(yè)，其：“出于這些原因，一個(gè)模糊或于數(shù)據(jù)主體來(lái)說(shuō)有一定的風(fēng)險(xiǎn)，因?yàn)檫@可能會(huì)導(dǎo)致控制者或第在預(yù)期目的之具體的處理目的作出同意。295條第（1）款（b）及序言32，一項(xiàng)同意可以涵蓋不同的數(shù)據(jù)操作，前提是這些操作都出于同一目體應(yīng)在理解他們擁有對(duì)數(shù)據(jù)的控制權(quán)并且其數(shù)據(jù)僅為特定目的被處理的前提下[例11]有線電視網(wǎng)絡(luò)基于用戶的同意收集用戶的個(gè)人數(shù)據(jù)，根據(jù)他們的習(xí)慣向他們推薦其可能感的新。一段時(shí)間后，該電視網(wǎng)絡(luò)希望第能夠2：同意機(jī)制不僅要精細(xì)化以滿足“自由”的要求，還要滿足“特定”要素。這就3：最后，控制者應(yīng)在每個(gè)單獨(dú)的同意請(qǐng)求中提供關(guān)于為每個(gè)目的所需處理的如下文3.3節(jié)所述。GDPR強(qiáng)調(diào)了同意的作出必須基于知情這一要求。根據(jù)GDPR第5條，透明性這主體提供相關(guān)信息，這樣能使數(shù)據(jù)主體在知情的前提出決定，理解他們同意息，那么用戶對(duì)其數(shù)據(jù)的控制就，此時(shí)的同意也將是處理的無(wú)效基礎(chǔ)。不符合知情這一要求的就是同意將是無(wú)效的，并且控制者還可能會(huì)GDPR6統(tǒng)的目的，例如‘改戶體驗(yàn)’、‘目的’、‘IT安全目的’或‘將來(lái)的研究’——如果沒(méi)有其他此，WP29認(rèn)為，獲得有效同意至少需要以下信息：由于缺乏充分性決定和第46條所述的適當(dāng)保障措施，可能存在的數(shù)據(jù)轉(zhuǎn)移就第(i)項(xiàng)和第(iii)項(xiàng)，WP29如果涉及多個(gè)（聯(lián)合）控制者的同意，或者數(shù)據(jù)列出，但要遵守GDPR第13條和14條，控制者仍然需要提供包括數(shù)據(jù)處理者在內(nèi)的數(shù)據(jù)接收者或接收者范疇的完整列表。最后，WP29，根據(jù)實(shí)例的具體情況和背景，可能需要信息才能使數(shù)據(jù)主體真正理解當(dāng)前的處理操作。GDPR并沒(méi)有具體規(guī)定要達(dá)到“知情”要求必須以何種形式向數(shù)據(jù)主體提供信息。這意味者控制者可以以各種方式呈現(xiàn)有效信息，例如可以或口頭，也可以用音頻或。然而，GDPR對(duì)知情同意提出了一定的要求，主要體現(xiàn)在第7條，息應(yīng)該易于被普通人所理解，而不是只有才能看懂?？刂普卟荒苁褂没逎?、30可另見(jiàn)GDPR序言42：“……對(duì)于應(yīng)當(dāng)知情的同意，數(shù)據(jù)主體應(yīng)至少知曉控制者的以及處理個(gè)人31GDPR4233GDPR7條第（3）34GDPR所規(guī)定的目的，另見(jiàn)WP29IV.B節(jié)，20信息。另見(jiàn)WP29關(guān)于同意定義的第15/2011號(hào)意見(jiàn)（WP187），19頁(yè)。第7條第（2）款涉及到的是與其他事項(xiàng)有關(guān)的事先擬訂的同意。當(dāng)控基于數(shù)據(jù)主體同意的控制者還要履行第13條和14條所規(guī)定的分別提供信息的理解，即即使并未在獲得同意的過(guò)程中提及第13和14條所規(guī)定的所有要素“知情”同意。WP29已就要求發(fā)布了單獨(dú)的指南[X公司是一個(gè)數(shù)據(jù)控制者，其曾接到，稱(chēng)數(shù)據(jù)主體不清楚他們被要求同意的易于理解。X公司組織了特定類(lèi)別客戶的自愿測(cè)試小組，并在向外部發(fā)布前向這合理的方式去證明數(shù)據(jù)主體在同意X公司處理其個(gè)人數(shù)據(jù)時(shí)已經(jīng)收到了37GDPR4條第（11）7條第（2）釋為準(zhǔn)）和第6條（條款的無(wú)效，只有在仍然合理的情況下合同才繼續(xù)存在，否則整個(gè)合同無(wú)[公司沒(méi)有在通知的第一信息層說(shuō)明如何聯(lián)系他們的數(shù)據(jù)保護(hù)官。根據(jù)GDPR第13條第（1）款（b）14條第（1）款（b）項(xiàng)，為獲取第6條所規(guī)定的有效法律基礎(chǔ)，即使數(shù)據(jù)保護(hù)的尚未傳達(dá)給數(shù)據(jù)主體（在第一個(gè)信息主動(dòng)的動(dòng)作或來(lái)實(shí)現(xiàn)。數(shù)據(jù)主體同意特定的處理行為必須是明顯無(wú)疑的。95指令第2條第（h）項(xiàng)將同意界定為“表明數(shù)據(jù)主體同意處理與其有關(guān)的個(gè)人數(shù)據(jù)的意愿”。GDPR第4條第（11）款在此定義的基礎(chǔ)上，根據(jù)WP29先前發(fā)來(lái)符合GDPR。[例14]安裝軟件時(shí)，應(yīng)用程序要求數(shù)據(jù)主體同意使用非報(bào)告來(lái)改進(jìn)軟件。提供必要信息的分層隱私的同時(shí)還伴隨著同意請(qǐng)求。通過(guò)主動(dòng)勾選“我40注意，當(dāng)從分層隱私的第一信息層中看控制者的或處理目的不明顯時(shí)（并且位于其他子層41見(jiàn)220105-106WP29就同意所采納的意見(jiàn)所，有效的同意需要使用對(duì)數(shù)據(jù)主體的同意的機(jī)制，同時(shí)明確——在環(huán)境據(jù)的明確肯定行為。GDPR不允許控制者采用預(yù)先勾選的選擇框或選擇退出下的服務(wù)造成不必要的干擾。43但當(dāng)較輕微的侵?jǐn)_或打擾的做導(dǎo)致模棱兩該方面，身體行動(dòng)可以被視為符合GDPR的明確肯定的行為。于服務(wù)的一般意義上的使用并不足以被推定為數(shù)據(jù)主體同意所[[據(jù)主體在快速滾動(dòng)大量文本時(shí)，繼續(xù)滾動(dòng)將構(gòu)成同意這一警示很難區(qū)分，并且/因?yàn)榭刂普咚?qǐng)求同意的通常是那些同意即的行為。GDPR則將解決該 43GDPR32之前的意見(jiàn)中也一直認(rèn)為同意應(yīng)該在處理活動(dòng)之前作出。44盡管GDPR沒(méi)有在第4條第（11）款中明確規(guī)定必須在處理活動(dòng)之前給予同意，但這顯然就是其66條第（1）款“已經(jīng)給出”該種解釋。這種解釋在邏輯上遵循了第6條以及序言40的規(guī)定，即在開(kāi)始數(shù)據(jù)49條關(guān)于在缺乏充分保障的情況下向第三國(guó)或國(guó)際組織傳輸數(shù)據(jù)的規(guī)定45以及第22條關(guān)于自動(dòng)化個(gè)人決策（包括用戶的便消除所有將來(lái)可能的產(chǎn)生疑問(wèn)和可能缺乏的情況。47有需要明確有效同意的情況時(shí)都必須有簽署的。例如，在數(shù)字或線上的45根據(jù)GDPR第49條第（1）款（a）項(xiàng)，明確的同意可以解除向沒(méi)有充分的數(shù)據(jù)保的國(guó)家轉(zhuǎn)讓數(shù)據(jù)的禁令。還需要注意的是對(duì)199510249指令（WP114）26（1）條的解釋文件，其中WP29已表示同意定期或持續(xù)進(jìn)行的數(shù)據(jù)轉(zhuǎn)讓是不適當(dāng)?shù)摹?6在第22條中，GDPR引入了一些條款來(lái)保護(hù)數(shù)據(jù)主體免受僅基于自動(dòng)化處理(包括用戶)的決策影GDPR第22條第（2）款（c）項(xiàng)明確，在數(shù)據(jù)主體明確同意的情況下，控制者可以進(jìn)行可能對(duì)個(gè)人產(chǎn)生重大影響的自動(dòng)決策，包括。WP29就此問(wèn)題制定了單獨(dú)的指導(dǎo)原則：WP292017年10月3日就第2016/679號(hào)條例（WP251）的自動(dòng)決策和用戶指南。47WP2915/2011號(hào)意見(jiàn)（WP187）25簽名的掃描文檔或使用電子簽名來(lái)發(fā)布所要求的。理論上，使用口頭也足夠明確以獲得有效明確的同意，但是，控制者可能難以證明記錄該時(shí)有效控制者也可以通過(guò)會(huì)話的方式獲得明確的同意，前提是有關(guān)該種選擇的信息[例17]數(shù)據(jù)控制者還可以通過(guò)在其屏幕上顯示包含“是”和“否”選項(xiàng)的復(fù)選框，[例18]一家整容手術(shù)診所想要尋求明確的同意以將其醫(yī)療記錄披露給一位同意使用該數(shù)據(jù)，則控制者會(huì)要求數(shù)據(jù)主體發(fā)送一封包含“我同意”的的電子郵點(diǎn)擊該或使用才能確認(rèn)同意。第9條第（2）款不承認(rèn)“履行合同所必需的”是一般情形下處理特殊數(shù)據(jù)類(lèi)[安排一個(gè)助手陪她從A到B旅行。）航空公司要求處理該顧客健康數(shù)據(jù)的明確48本例并不影響歐洲議會(huì)和理事會(huì)于2014年7月23日作出的關(guān)于內(nèi)部市場(chǎng)電子的電子識(shí)別和信任服務(wù)的第910/2014號(hào)歐盟。[例20]信息?？蛻粼谙掠唵螘r(shí)會(huì)提供必要的健康數(shù)據(jù)，例如他們的處方數(shù)據(jù)。沒(méi)有這些數(shù)據(jù)，公司就不可能提供客戶所要求的定制眼鏡。該公司還提供具有標(biāo)準(zhǔn)矯在該種情況下就需要根據(jù)第9條獲得明確同意，且該種同意可以被視為是自由地7GDPR8條和第9條。關(guān)于對(duì)展示有效同意和撤回同意的額外要求的解釋指南如下所述。在第7條第（1）款中，GDPR清晰地規(guī)定了控制者展示數(shù)據(jù)主體同意的明確義務(wù)。根據(jù)第7條第（1）款，該證明義務(wù)將由控制者承擔(dān)。GDPR并沒(méi)有規(guī)定這應(yīng)按照第17條第(3)款(b)項(xiàng)和(e)項(xiàng)的規(guī)定，保留同意證明的時(shí)間不得超過(guò)遵的副本。僅參考個(gè)別的相關(guān)可行配置（correctconfiguration）是不夠的。[例21]一家醫(yī)院設(shè)立了一個(gè)名為“X計(jì)劃”的科研項(xiàng)目，該項(xiàng)目需要真實(shí)的牙科記錄。該項(xiàng)目的參與者是通過(guò)向一些打招募而來(lái)的，這些之前的同意，以使用他們的牙科記錄?？刂普咴谥腥〉猛獾姆椒ㄊ?，記錄數(shù)據(jù)主體的口頭，該口頭中就包含了數(shù)據(jù)主體確認(rèn)同意將其資料用于X計(jì)在GDPR中，同意的撤回占有重要地位。在GDPR中關(guān)于撤回同意的規(guī)定和序言可以被看作是對(duì)WP29意見(jiàn)書(shū)中對(duì)該問(wèn)題的現(xiàn)有解釋的編纂。50GDPR第7條第（3）款規(guī)定，控制者必須確保數(shù)據(jù)主體可以像作出同意一樣容[例22]某場(chǎng)音樂(lè)節(jié)通過(guò)票務(wù)銷(xiāo)售門(mén)票。每次售票時(shí)，都會(huì)請(qǐng)求顧至下午5點(diǎn)免費(fèi)聯(lián)系服務(wù)中心。本例中的控制者的行為就不符合GDPR第7條第（3）款。在這種情況下撤回同意需要在工作時(shí)間打，這比通過(guò)售票49WP2950WP29在其關(guān)于知情同意的意見(jiàn)(15/2011號(hào)意見(jiàn)(wp187)的第5/2005號(hào)意見(jiàn)（WP115），第7頁(yè)）51見(jiàn)WP29關(guān)于FEDMA在直接中使用個(gè)人數(shù)據(jù)的歐洲行為守則的第4/2010號(hào)意見(jiàn)（WP174），以及（24小時(shí)開(kāi)放）第3.1節(jié)所述，控制者必須按照GDPR第7條第（3）款的規(guī)定，在數(shù)據(jù)主體實(shí)前進(jìn)行的數(shù)據(jù)處理操作——前提是符合GDPR的相應(yīng)規(guī)定——仍然合法，然而步）處理該數(shù)據(jù)，則控制者必須刪除相關(guān)數(shù)據(jù)。53刪除在同意基礎(chǔ)上處理的數(shù)據(jù)。54除第17條第（1）款（b）涵蓋的這種情基礎(chǔ)的任何變更都必須按照第13條和第14條的要求以及透明性的一般原則，第6條規(guī)定了合法處理個(gè)人數(shù)據(jù)的條件，并描述了控制者可依賴的六個(gè)法律基52GDPR序言39，提到該第13條和第14條，“應(yīng)使人們了解與處理個(gè)人數(shù)據(jù)有關(guān)的風(fēng)險(xiǎn)、規(guī)53GDPR17條第（1）款（b）項(xiàng)和第（3）55GDPR176556GDPR5條第（1）款（e）基礎(chǔ)，這對(duì)數(shù)據(jù)主體是根本的。兒童（第8條兒童在信息社會(huì)服務(wù)方面的數(shù)據(jù)保護(hù)水平。提高保護(hù)原因在序言38中詳細(xì)說(shuō)明了：“…他們可能不太了解相關(guān)的風(fēng)險(xiǎn)、、保障措施以及他們?cè)谔幚韨€(gè)人數(shù)據(jù)方面的權(quán)利”，序言38還寫(xiě)道“尤其是，這種特定保護(hù)應(yīng)適用于為或創(chuàng)建收集有關(guān)的個(gè)人數(shù)據(jù)?！薄坝绕洹币辉~表明了這種特定的保護(hù)不限于和第8條第（1）款寫(xiě)道，在適用同意的情況下，對(duì)于直接向兒童提供的信息社會(huì)服務(wù)，在兒童的至少為16歲時(shí)，處理該兒童的個(gè)人數(shù)據(jù)應(yīng)當(dāng)是合法的。如果兒童未滿16歲，則只有在對(duì)其負(fù)有父母責(zé)任的人所的范圍內(nèi)或作出同意時(shí)，此類(lèi)處理才是合法的。58關(guān)于有效同意的 限制，GDPR提供了靈活性，成員國(guó)可以通過(guò)法律規(guī)定較低的，但該 不能低于13歲。語(yǔ)言向兒童解釋其準(zhǔn)備如何處理收集的數(shù)據(jù)。59如果是應(yīng)該征求父母同意的情從上文可以清楚看出，第8條只適用于符合下列條件的情況處理活動(dòng)與直接向兒童提供信息社會(huì)服務(wù)有關(guān)。6058不影響成員國(guó)法律降低限制的可能性的情況，見(jiàn)第8條第（1）款59GDPR58條重申了該義務(wù)，其寫(xiě)道，在適當(dāng)?shù)那闆r下，控制者應(yīng)確保所提供的信息對(duì)兒童來(lái)說(shuō)是可離提供的任何服務(wù)。出于此定義的目的：(i)‘遠(yuǎn)距離’是指提供服務(wù)時(shí)雙方不同時(shí)在場(chǎng)；(ii)12000/31號(hào)指令的序言18。為確定GDPR中“信息社會(huì)服務(wù)”一詞的范圍，GDPR第4條第（25）2015/1535在評(píng)估該定義的范圍時(shí)，WP29也參考了歐洲（ECJ）的判例法。62歐洲法社會(huì)信息服務(wù)的定義中。提供服務(wù)屬于第8條GDPR中“信息社會(huì)服務(wù)”一“直接向兒童提供服務(wù)”一詞表明第8條旨在適用于某些而非所有的信息社會(huì)服務(wù)僅向已滿18歲的人提供，且這種表示未被其他削弱（例如的內(nèi)容或計(jì)劃），那么該服務(wù)不能被認(rèn)為是“直接向兒童提供的服務(wù)”，因而第8GDPR規(guī)定，“成員國(guó)可以通過(guò)法律規(guī)定適用于這些目的的較低，但不得低于13歲?！笨刂普弑仨毩私膺@些不同的國(guó)家法律，同時(shí)考慮到其服務(wù)所針對(duì)的公眾。應(yīng)該特別的是，提供服務(wù)的數(shù)據(jù)控制者不能僅依據(jù)符合其主要機(jī)構(gòu)如果用戶他們已超過(guò)同意的，則控制者可以進(jìn)行適當(dāng)?shù)臋z查以驗(yàn)證此是否為真。雖然GDPR中沒(méi)有明確規(guī)定控制者需要進(jìn)行合理的努力來(lái)驗(yàn)證，但這是暗含其中的，因?yàn)槿绻麅和谄洳粔虼蟮侥艽硭麄冏约禾嵘儆?8歲?！币?jiàn)大會(huì)1989年11月20日第44/25號(hào)決議（“兒童權(quán)利公約”）62見(jiàn)歐洲，2010年12月2日案例C-108/09，（Ker-Optika），第22和28段。關(guān)于“綜合服務(wù)”，WP29還提到案例C-434/15（AsociacionProfesionalEliteTaxivUberSystemsSpainSL）第40段，其，供有效同意時(shí)就作出同意，將會(huì)使數(shù)據(jù)處理如果用戶其低于能作出同意的，那么控制者無(wú)需進(jìn)一步的檢查當(dāng)?shù)摹?3疑問(wèn)，控制者應(yīng)在特定情況下其核查機(jī)制，并考慮是否需關(guān)于負(fù)有父母責(zé)任者的，GDPR沒(méi)有就具體如何收集父母同意或確定是否有權(quán)為該行為做具體的規(guī)定。65因此，WP29建議采用比例法（proportionateapproach），以符合GDPR第8條第（2）款及第5條第（1）款（c）在驗(yàn)證用戶足以提供其自己的同意方面，以及在驗(yàn)證代表兒童作出同意的人了。相反，在高風(fēng)險(xiǎn)的情況下，要求的證明可能是比較適當(dāng)?shù)?，這樣控制者就能夠根據(jù)GDPR第7條第（1）款核查和保留相關(guān)信息。66可信的第提供[例23]某游戲平臺(tái)想要確保其未成年用戶僅在其父母或監(jiān)護(hù)人的同意下訂第一步：要求用戶說(shuō)明他們是低于還是超過(guò)16歲（或其他適用的足以作出同意的），如果用戶其低于該，則：或。這時(shí)需要要求該用戶披露其一方父母或監(jiān)護(hù)人的郵箱地址。64WP205/2009號(hào)意見(jiàn)（WP163）65WP29，負(fù)有父母責(zé)任者并非總是兒童自然意義上的父母，而且父母責(zé)任可以由多方當(dāng)事人承擔(dān)，66例如，可以通過(guò)銀行的方式要求父母或監(jiān)護(hù)人向控制者支付0.01歐元，在描述中做一個(gè)簡(jiǎn)短確止對(duì)沒(méi)有銀行賬戶的人造成不適當(dāng)?shù)?。第四步：，?yīng)采取其他措施來(lái)核實(shí)訂閱者的。如果經(jīng)務(wù)這一方面，其已經(jīng)為確保獲取有效同意作出了合理的努力。第8條第（2）款意是由對(duì)兒童負(fù)有父母責(zé)任者作出或的?！盬P29也承認(rèn)，在某些情況下，驗(yàn)證具有一定的性（例如，提供自己的同意 同意的后，根據(jù)第7條第必須要的是，根據(jù)序言38，在直接向兒童提供預(yù)防類(lèi)服務(wù)或咨詢類(lèi)服務(wù)的供的兒童保護(hù)服務(wù)不需要事先得到父母的。最后，GDPR規(guī)定，有關(guān)未成年人父母要求的規(guī)則不應(yīng)有違“成員國(guó)的一般合同法，如有關(guān)的合同的有效性、成立或效力的規(guī)則”。因此，對(duì)使用關(guān)律要求可以同時(shí)適用，且GDPR并不負(fù)責(zé)解決各國(guó)合同法有關(guān)法律規(guī)定的協(xié)調(diào)中并未對(duì)“科學(xué)研究”一詞進(jìn)行定義。序言159寫(xiě)道“就本條例而言，用于科學(xué)研67此外，數(shù)據(jù)主體應(yīng)該第17條規(guī)定的被遺忘權(quán)，這尤其與在數(shù)據(jù)主體還是兒童時(shí)就給予的同意相關(guān)，見(jiàn)序言63。據(jù)保的背景下，后一種形式的同意可被視為額外的保障。68同時(shí)，在用于研89條第(1)款的要求，且處理活動(dòng)是公平、合法、透明的，并符合數(shù)據(jù)。對(duì)于一開(kāi)始不能確定科學(xué)研究項(xiàng)目中數(shù)據(jù)處理目的的情況，序言33允許考慮到GDPR第9條就特殊類(lèi)別數(shù)據(jù)的處理所規(guī)定的嚴(yán)格條件，WP29，當(dāng)在明確同意的基礎(chǔ)上處理特殊類(lèi)別的數(shù)據(jù)時(shí)，采用序言33所述的靈活的方法將會(huì)受到更嚴(yán)格的解釋并需要進(jìn)行更高標(biāo)準(zhǔn)的。將GDPR作為一套整體的來(lái)看時(shí)，不能將其解釋為數(shù)據(jù)控制者在向數(shù)合可適用的科學(xué)研究標(biāo)準(zhǔn)目的“應(yīng)根據(jù)本條適當(dāng)保障數(shù)據(jù)主體的權(quán)利和自由?！睌?shù)據(jù)最小化、化和68GDPR16169第6條第（1）款（c）項(xiàng)也適用于部分法律特別要求的加工操作，如根據(jù)