2020年5月4日,EDPB(European Data Protection Board)发布Guidelines 05/2020 on consent under Regulation 2016/679,对2018年WP29的文件进行了更新。此次更新重点关注“饼干墙”(Cookie Walls)和第16个案例(关于滑动与同意)。

本文仅就案例部分及相应的标题进行了翻译。

来源: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en

3.有效同意的要素

3.1 自由给予

例1:一个用于照片编辑的移动应用要求用户激活GPS定位功能,以使用其服务。该应用程序还告诉用户,它将使用收集到的数据进行行为广告宣传。无论是GPS定位还是在线行为广告,都不是提供照片编辑服务所必需的,也超出了提供核心服务的范围。由于用户在没有同意这些目的的情况下不能使用该应用,因此不能认为该同意是自由给予的。

3.1.1 权力的不平衡

例2:一个地方市政当局正在计划进行道路维修工程。由于道路工程可能会在很长一段时间内影响交通,该市政当局提供机会让市民订阅一个电子邮件列表,以接收关于工程进度和预期延误的最新信息。市政府明确表示,市民没有参与的义务,并要求同意将电子邮件地址用于此目的。不同意的市民不会错过市政府的任何核心服务或行使任何权利,因此,他们可以自由地给予或拒绝同意使用数据。有关道路工程的所有信息也将在市政府网站上公布。

例3:一个拥有土地的个人需要从其所在的地方市政府和所在的省政府获得某些许可证。这两个公共机构在发放许可证时要求提供相同的信息,但没有访问对方的数据库。因此,两者要求的信息是一样的,土地所有者向两个公共机构发送她的详细信息。市政府和省厅要求她同意合并档案,以避免重复的程序和通信。两家公共机构都保证,这是她的选择,如果她决定不同意合并她的资料,许可申请仍将单独处理。土地所有权人可以自由选择同意合并档案的机关进行合并。

例4:某公立学校要求学生同意在印刷的学生杂志上使用他们的照片。在这种情况下,只要学生不会被拒绝接受教育或服务,并可以拒绝使用这些照片,而不会对学生造成任何损害,那么在这种情况下的同意将是一种真正的选择。

例5:一个摄制组要在办公室的某个区域进行拍摄。雇主要求所有坐在该区域的员工同意被拍摄,因为他们可能会出现在视频的背景中。不愿意被拍摄的员工不会受到任何处罚,而是在拍摄期间,在大楼其他地方给他们安排同等的办公桌。

3.1.2 条件性

例6:某银行要求客户同意允许第三方使用其付款资料进行直销。这种处理活动不是履行与客户的合同和提供普通银行账户服务所必需的。如果客户拒绝同意这一处理目的,将导致银行拒绝提供银行服务、关闭银行账户,或视情况增加费用,则不能随意给予同意。

例6a: 一个网站提供商设置了一个脚本,除了要求接受cookie以及关于设置了哪些cookie和数据处理目的的信息外,其他内容将被屏蔽。如果不点击 “接受cookies “按钮,就无法访问内容。由于没有向数据主体提供真正的选择,因此不能自由给予其同意。这并不构成有效的同意,因为服务的提供有赖于数据主体点击 “接受cookies “按钮。接受cookie “按钮。它没有呈现真正的选择。

3.1.3 颗粒度

例7:在同一个同意请求中,零售商要求客户同意使用他们的数据通过电子邮件向他们发送营销信息,并与集团内的其他公司分享他们的信息。这种同意是不细化的,因为这两个不同的目的没有单独的同意,因此该同意是无效的。在这种情况下,需要征得特定的同意才能将联系信息发送给商业合作伙伴。该特定同意将被视为对每个合作伙伴有效(另见第3.3.1节),在收集数据主体同意时,其身份已被提供给数据主体,只要是为了同一目的(在本例中:营销目的)而发送给他们的,该特定同意将被视为有效。

3.1.4 危害性

例8:在下载一个生活方式手机APP时,APP会要求用户同意访问手机的加速度计(accelerometer)。这对于APP的工作来说并不是必要的,但对于希望了解用户的运动和活动水平的控制者来说是很有用的。当用户后来撤销了这一同意后,她发现这个应用现在只能在有限的范围内发挥作用。这是GDPR立法理由第42段中的一个损害的例,这意味着从未有效地获得同意(因此,控制者需要删除所有以这种方式收集的用户运动的个人数据)。

例9:数据主体订阅时尚零售商的简讯以获得折扣。零售商要求数据主体同意收集更多关于购物喜好的资料,以便根据其购物记录或自愿填写的问卷,为其提供切合其喜好的优惠。当数据主体其后撤回同意时,他或她会再次收到非个人化的折扣。这并不构成损害,因为这只是损失了数据主体允许的刺激措施。

例10:某时尚杂志在正式上市前,向读者提供购买新的彩妆产品的机会。这些产品很快就会上市销售,但该杂志的读者可以获得这些产品的独家预览。为了享受这一福利,人们必须提供自己的邮寄地址,并同意订阅该杂志的邮寄名单,才能享受到这一福利。邮寄地址是邮寄的必要条件,邮件列表是用来发送化妆品或T恤衫等商品的商业优惠,一年四季都有。公司解释说,邮寄名单上的数据仅用于杂志社自己发送商品和纸质广告,不得与任何其他机构共享。如果读者因此而不愿意透露自己的地址,也不会有任何损害,因为无论如何都可以得到产品。

3.2 具体的

例11:某有线电视网络在用户同意的基础上收集用户的个人数据,根据用户的观看习惯,向他们提供他们可能感兴趣的新电影的个人建议。一段时间后,电视网络决定让第三方根据用户的收视习惯发送(或显示)有针对性的广告。鉴于这种新的目的,需要新的同意。

3.3 告知

3.3.2 如何提供信息

例12:X公司是一家控制者,它收到投诉,称数据主体不清楚他们被要求同意使用数据的目的是什么。该公司认为有必要核实同意请求中的信息是否为数据主体所理解。X公司会组织特定类别客户的自愿测试小组,在向这些测试对象展示其同意信息的更新,然后再对外使用。测试小组的选择尊重独立性原则,并根据确保测试结果具有代表性、无偏见的标准进行选择。小组收到调查问卷,并指出他们对信息的理解,以及他们将如何对这些信息进行打分,以了解相关信息。控制者继续测试,直到小组表示可以理解的信息为止。X起草了一份测试报告,并将其保存下来,以备日后参考。这个例显示了X可能的一种方式,说明数据主体在同意X进行个人数据处理之前,已经收到了明确的信息。

例13:某公司在同意的基础上进行数据处理。该公司使用包含同意请求的分层隐私通知。该公司披露了控制者的所有基本细节和所设想的数据处理活动。然而,该公司没有在通知的第一层信息中说明如何联系到他们的数据保护官。为了具有GDPR第6条要求的法律依据,该控制者获得了有效的 “知情 “同意,即使根据 GDPR 第13(1)(b)条或第14(1)(b)条,数据保护官员的联系方式没有被告知数据主体(在第一信息层),该控制者也获得了有效的 “知情 “同意。

3.4 明确表示意愿

例14:在安装软件时,应用程序要求数据主体同意使用非匿名的崩溃报告来改进软件。在请求同意的同时,会有一个提供必要信息的分层隐私通知。通过主动勾选注明 “我同意”的可选框,用户能够有效地执行 “明确的肯定行为”来同意处理。
例15:只要提供明确的信息,并清楚地表明该动作表示同意某项具体请求(例如,如果你向左划动此条,则表示你同意将信息X用于Y目的,重复该动作以确认),在屏幕上划动该条,在智能摄像头前挥手,顺时针转动智能手机,或以数字八的动作表示同意,都可以成为选项。控制者必须能够证明同意是通过这种方式获得的,而且数据主体必须能够像给予同意一样容易撤回同意。

例16:根据GDOR立法理由第32段,滚动或浏览网页或类似的用户活动等行动在任何情况下都不符合明确和肯定行动的要求:这类行动可能难以与用户的其他活动或互动区分开来,因此也不可能确定已获得明确的同意。此外,在这种情况下,很难为用户提供一种像给予同意一样容易的方式来撤销同意。

4. 获得明确同意

例17:数据控制者也可以通过提供一个包含 “是 “和 “否 “复选框的明确同意屏幕,从网站访问者那里获得明确的同意,条件是文字上清楚地表明同意,例如 “我在此同意处理我的数据”,而不是 “我很清楚我的数据将被处理”。不言而喻,知情同意的条件以及获得有效同意的其他条件都应该得到满足。

例18:某整形美容诊所征求患者的明确同意,将病历转给专家,专家对患者的病情提出第二种意见。该病历是一个数字文件。鉴于有关信息的特殊性,诊所要求数据主体的电子签名,以获得有效的明确同意,并能够证明已获得明确同意。

例19:一家名为假日航空公司的航空公司为因残疾等原因不能在无人协助的情况下旅行的旅客提供协助旅行服务。一位顾客预订了从阿姆斯特丹飞往布达佩斯的航班,并要求提供旅行辅助服务,以便能够登机。假日航空公司要求她提供有关其健康状况的信息,以便为她安排适当的服务(因此,有多种可能性,例如,在到达登机口处有轮椅,或有助理陪同她从A到B的旅行)。假日航空要求该客户的明确同意处理其健康数据,以安排所需的旅行协助。在同意的基础上处理的数据应该是所要求的服务所必需的。此外,飞往布达佩斯的航班仍然可以在没有旅行协助的情况下使用。请注意,由于这些数据是提供所要求的服务所必需的,因此GDPR第7条第4款不适用。

例20:一家成功的公司专门为户外运动提供定制滑雪和滑雪板护目镜以及其他类型的定制眼镜。该公司的想法是,人们可以在不戴眼镜的情况下佩戴这些眼镜。该公司在一个中心点接受订单,并从整个欧盟各地的单一地点交付产品。为了能够为近视的客户提供定制化的产品,该控制者要求同意使用客户的眼睛状况信息。顾客在网上下单时提供了必要的健康数据,如顾客的处方数据等。如果没有这些数据,就无法提供所要求的定制眼镜。该公司还提供了一系列具有标准化矫正值的护目镜。不希望共享健康数据的客户可以选择标准版的产品。因此,根据第9条的规定,需要得到明确的同意,可视为自由同意。

5.额外的有效同意条件

5.1 证明同意例

21:某医院设立了一个名为X项目的科学研究计划,为此需要真实患者的牙科记录。参与者通过打电话给自愿同意列入可能为此目的而接触的候选人名单的病人招募。控制者在使用其牙科记录时,会征得数据主体的明确同意。同意是在电话中通过记录资料当事人的口头声明来获得的,在此声明中,资料当事人确认同意将其资料用于X项目的目的。

5.2 撤回同意

例22:某音乐节通过在线票务代理销售门票。在每次在线售票时,都需要征得客户的同意,以便将联系信息用于营销目的。为了表示同意,客户可以选择 “否 “或 “是”。控制者会告知客户,他们可以撤销同意。要做到这一点,他们可以在工作日上午8点至下午5点之间免费联系呼叫中心。本例中的控制者不符合GDPR第7(3)条的规定。在这种情况下,撤销同意需要在营业时间内拨打电话,这比通过在线票务供应商24小时开放的在线票务供应商的鼠标点击同意要麻烦得多。

7.GDPR中特别关注的领域

7.1.4 儿童的同意和父母的责任

例23:某在线游戏平台想确保未成年用户只有在父母或监护人同意的情况下才会订阅其服务。控制者按照以下步骤进行操作。第一步:要求用户说明他们是否已满16岁(或其他年龄)。如果用户说明他们未满相应的年龄:第二步:服务告知孩子,在向孩子提供服务前,需要父母或监护人同意或授权处理。用户被要求透露父母或监护人的电子邮件地址。第三步:服务方联系家长或监护人,通过电子邮件取得家长或监护人的同意进行处理,并采取合理的步骤确认该成人有父母的责任。第四步:如果有投诉,平台会采取额外步骤核实用户的年龄。如果平台已经满足了其他同意要求,平台可以通过这些步骤来遵守GDPR第8条的附加标准。

最后修改日期:2020年5月8日

作者

留言

撰写回覆或留言

发布留言必须填写的电子邮件地址不会公开。