有效同意的要素
输入“/”快速插入内容
有效同意的要素
有效同意的要素
作者
Peter
狠狠补课的数据合规民工
何鲁扬
浙江泽大律师事务所律师
Helen
永远不失追求所爱的天真烂漫,会哭爱笑能言善写的小朋友。
•
关于同意的要件,GDPR与个保法的对比
◦
GDPR同意的四要件:
▪
自由作出
▪
具体的
▪
知情
▪
清晰地通过声明或积极行动,就与其相关的个人数据处理作出的同意
◦
个保法同意的三要件
▪
《个保法》第14条:基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
▪
采用一般要件和特殊要件的表述方式。一般要件为:
•
充分知情;
•
自愿;
•
明确。
▪
相比GDPR,没有“具体”要件。见程啸老师分析:
•
我国《个人信息保护法》第14条没有明确要求个人作出的同意必须是具体的,但从该法的其他规定来看,也可以认为是有此要求的:一方面,《个人信息保护法》第6条要求处理个人信息的目的必须是明确、合理的。“目的的明确”就意味着目的应当是清晰的、具体的,否则难以明确。在基于个人同意处理个人信息中,目的的明确也对应着“同意的明确”。
•
另一方面,《个人信息保护法》第17条要求处理者在处理个人信息前应当以“显著方式”“清晰易懂的语言”“真实、准确、完整地”向个人告知规定的事项。
自由/自愿作出 Free / freely given
基本分析:
◦
自由意味着数据主体能够真正的选择和控制
◦
GDPR规定,如果数据主体没有真正的选择基于被迫去同意或如果不同意,将会承担负面效果,那么该种同意将无效。
◦
一般而言,任何对数据主体施加的不适当的压力或影响,而妨碍数据主体行使其自由意志的因素,均会使该同意无效。
◦
GDPR同时考虑数据主体与控制着者的不平等情形。
▪
举例
•
提供照片编辑服务的APP,要求用户激活GPS定位功能,以便使用服务,还将数据用于广告目的。
•
分析:GPS定位、在线投放广告不是提供照片编辑服务之必须。
•
用户不同意这些目的就无法使用该应用,因此该种同意就不能视为自由作出的
EDPB指南从三个维度分析了Freely given
1.
权力失衡(典型场景:公权力机关、雇主关系)
◦
公共机关不太可能依赖于同意来进行数据处理的合法性基础,因为存在权力不平衡。特殊场景下,公共机关也可以使用同意作为数据处理的合法性基础