写在后面：在上一篇文章中，我们引见了企业在GDPR合规任务中的痛点，以及我们希望采取系列文章的方式与各位共同研讨处理成绩的希望。从本期开端，我们将引见关于GDPR的研讨和了解。文章选题并没有遵照GDPR的章节顺序或其他的编排逻辑，每期内容能够比拟随机。为了方便读者阅读，我们不会仅仅将GDPR条文或许WP29各项指引的内容依照字面意思翻译出来，而是希望尽量以我们的了解将GDPR的内容停止“外乡化”和“日常化”。比方我们会运用国际的法律概念“意思表示”，再比方我们运用“企业”指代数据控制者或数据处置者，用“用户”指代数据主体（请To B企业体谅）。

本期文章，我们会着重引见：1.GDPR中“赞同”的轮廓；2.Pu---D---C---Pr模型。

阅读本文能够需求了解的概念定义：

获得GDPR认可的用户“赞同”可不是一件复杂事。而且这还仅仅是普通意义上的“赞同”，不触及儿童、政府机关或许雇佣这样的特殊场景。

我们复杂总结了WP29对“赞同”的要求，感兴味的冤家们可以理解一下。

比方很多公司在提供互联网效劳中，会要求用户赞同其采集一些和效劳没有关系的非必要数据，或把必要数据用于其他目的，假如用户不赞同就回绝提供效劳。我们了解这就是不合理的条件。假定一款查询天气的APP ——X Weather（仅假定举例，不指向任何特定产品），不但运用用户查询的地点播报天气，还要求用户必需赞同把这样的地点信息卖给航空公司去推销机票，否则用户就不能运用软件，这种捆绑就属于不合理的条件。

注：在条款援用上，我们选用瑞栢律师事务所翻译的GDPR的中文条款，详见《欧盟〈普通数据维护条例〉GDPR（汉英对照）》，瑞栢律师事务所译，法律出版社，2018年5月第1版。

选择自在，是说用户既有权回绝赞同，也有权撤销过来曾经作出的赞同，而且外行使上述权益时不应遭到额定的损害。假定X Weather可以依据用户提供的准确地位为用户推送左近发作的新闻，在闪屏图刚完毕后，X Weather就会弹出要求用户赞同提供GPS信息的弹窗。假设用户想撤销对上述提供GPS信息的赞同，则需求联络X Weather的客服；或许一旦用户回绝或许撤销该赞同，X Weather就由全国各大城市天气信息效劳，变为仅提供北京、上海和广州的天气查询。这种状况下，X Weather就没有给用户提供选择自在。

WP29援用了granularity（粒度或许颗粒度）的概念，十分传神。我们假定X Weather要把用户查询的地点信息卖给航空公司，其“赞同”文案如下：

…我们需求运用您查询的地点为您播报该地的天气状况，同时该信息会分享给我们的协作同伴用作商业目的…

两个目的兼并为一个选项，颗粒度不够，不满足GDPR的要求。

WP29要求在获得用户赞同时，至多要披露数据控制者的身份、数据处置的目的、需求搜集和处置的数据类型、赞同的撤销权、能否触及纯自动化决策以及向不被欧盟认可的其他国度停止跨境传输。

首先是言语，不可以运用流畅难懂或许太过专业的表达，该当保证普通人可以看懂。其次，为了让用户更明白本人赞同的内容，该当把赞同的内容和其他内容停止明白的区分。

数据主体的赞同该当是一种明白的声明或一定的行为，而非相似默许勾选的赞同方式。

WP29还有一些其他要求，比方理解用户群体，或许需求满足其他的披露规范，感兴味的读者可以自行查阅。

别慌，虽说GDPR式“赞同”的要求很严，但获得用户的 “赞同”并不是我们处置用户数据的独一根据。实行合同、满足法定义务、维护自然人严重利益、行使公务职权或许企业的合法利益都能够成为处置用户数据的合法根据。

GDPR第六条规则，当且仅当以下所列各项中至多有一项取得满足的情形下，数据处置方为合法：

1.数据主体赞同为一个或多个特定目的而处置其团体数据；

2.数据处置是为实行数据主体作为一方的合同所必需，或许数据处置是在订立一项合同前为根据数据主体的要求采取特定行为所必需；

3.数据处置是为实行控制者所担负的法律义务所必需；

4.数据处置是为维护数据主体或另一自然人的严重利益所必需；

5.数据处置是为执行公共利益范畴的义务所必需或是为行使控制者被赋予的公务职权所必需；

6.数据处置是为完成控制者或许第三方所追求的合法利益所必需，但数据主体所享有的、需求维护其团体数据的利益、根本权益和自在优先于上述合法利益的除外，尤其在数据主体为儿童的情形下。

能够有人问，既然“赞同”这么严厉，那我们为什么还要以赞同作为处置数据的合法根据？由于从可操作性和理论经历来看，“赞同”依然是最可行和平安的。

比方以实行合同为目的采集数据，企业需求严厉界定为实行合同而必要采集数据的内涵，运用数据的目的也仅能限制在实行合同和提供效劳上；以实行法定义务为目的采集数据，需求确定法定义务的规范、数据的范围和数据处置的合感性。

像Admob在其网站上的声明：

Under the Google EU User Consent Policy, you must make certain disclosures to your users in the European Economic Area (EEA) and obtain their consent to use cookies or other local storage, where legally required, and to use personal data (s本着网络面前人人平等的原则，提倡所有人共同协作，编写一部完整而完善的百科全书，让知识在一定的技术规则和文化脉络下得以不断组合和拓展。 uch as AdID) to serve ads. This policy reflects the requirements of the EU ePrivacy Directive and the General Data Protection Regulation (GDPR).

因而我们不可无视“赞同”的重要。

此外，我们常常说，GDPR合规任务需求更新和维护。关于用户的“赞同”异样需求更新。除了GDPR要求的周期性更新外，当业务变化时，也能够需求用户重新赞同。

假如你不理解什么状况下的业务变化需求更新用户赞同，可以参考以下的模型：

我们简称其为Pu---D---C---Pr模型，代表因一定目的需求的一定数据经用户赞同后停止了一系列处置。

当Pu和C发作变化，也就是处置目的变化的或许用户撤销了之前的赞同，我们都需求变卦或许重新获得用户赞同。

D，也就是需求的数据，假如增加，我们了解不需求用户重新赞同，最合规的做法是告诉用户；假如添加，则需求重新获得用户赞同。

Pr，也就是处置方式上发作了变化，我们需求分状况讨论。假定用户之前赞同的数据处置目的是P1，企业变化处置方式的目的是P2，假如P1和P2是兼容的，不需求用户的重新赞同，只需求告诉用户发生的变化和P1 P2兼容的缘由。假如P1和P2是不兼容的，那么需求获得用户重新的赞同。怎样判别能否兼容，我们的了解是，规范是P2能否在一个普通用户赞同P1时的合理预期中，需求思索的要素包括P1 和P2的关联、企业和用户的关系、处置方式变化会发生的影响，以及企业已有的数据维护机制，比方采用的加密技术或许数据库的构建方式。

以上是我们对GDPR语境下“赞同”机制的复杂剖析，假如您对本文中的观念有任何意见，请发送至邮箱：apusresearch@apusapps.com。

我们等待您的反应。

APUS研讨院｜GDPR实战指南（一）写给出海的同伴：GDPR，一个可以讨论的话题。

APUS研讨院｜GDPR实战指南（三）全球首例GDPR案件剖析。

APUS研讨院｜GDPR实战指南（四）浅谈企业GDPR合规中的项目管理。

引见：APUS研讨院，努力于研讨数据合规的前沿成绩，继续跟进高新行业的合规热点和静态。