WP29发布新的同意指南2017年12月12日，第29条工作组终于公布了期待已久的《全球数据保护条例》下的同意准则草案。他们确认，GDPR在很大程度上编纂了之前的WP29指南和关于该主题的一般良好实践（包括第15/2011号意见）。这意味着这些指南草案的各个方面可能会与已经熟悉先前指南的组织产生共鸣。WP29还为更新的需求提供指导和最佳实践建议，例如如何证明或撤销同意。重要的是，WP29明确规定，如果未有效获得同意，数据处理活动将是非法的，控制者将被视为违反GDPR第6条（缺乏法律依据）。准则草案的内容可概括如下。1有效同意的条件自由给予权力不平衡：除了一些新的例子外，准则草案在这方面没有提供太多新的信息，因为它们只是确认，物联网的应用，个人和控制者（例如公共当局或雇主）之间的权力不平衡意味着，除特殊情况外，同意通常不是自由的。附加条件：准则草案就如何解释《全球数据保护条例》第7（4）条（该条规定，在评估是否自由给予同意时，"最大限度地考虑"合同/服务的履行是否以同意对该合同/服务不必要的数据处理为条件）。WP29确认，以这种方式捆绑同意是"非常不可取的"，但它也证实，这只会造成无效同意的推定。在特殊情况下，主计长仍然能够确定同意是免费的，尽管它与合同/服务的履行有关。例如，如果向个人提供了一项替代服务，而该服务不涉及超出服务所需范围的数据处理，则会出现这种情况，前提是该服务真正等同于另一项服务（与数据处理许可捆绑在一起的服务）。粒度：WP29还强调了当独立的处理活动受到威胁时，请求个人单独同意的重要性。粒度是确保自由给予同意的关键。具体的WP29指出，"特定"同意需要事先明确定义的特定和有限目的、针对每个不同目的的单独同意（粒度也是满足此要求的关键），以及为每个同意请求定制的信息。WP29还明确警告控制员注意所谓的"功能蔓延"现象，例如逐渐、在幕后、扩大或模糊个人最初同意的目的，这是非法的。见多识广的需要传达的内容：根据WP29，物联网技术，应（至少）告知个人控制者（但不是处理者）的身份、处理的目的、收集的数据类型、是否存在撤销权（以及作为一种良好做法，如何行使该权利），如果没有适当的决策或适当的保障措施，将数据传输给第三国的风险（如适用），以及完全自动化处理（如适用）。知情同意与知情权不同：准则草案明确区分了获得"知情同意"所需的信息（见上文第段）和遵守GDPR第13条和第14条（知情权）所需的信息。后者适用于不考虑合法化处理所使用的法律依据，大数据时代的特点，并且需要更全面的信息。在实践中，这意味着组织可能必须同时提供符合第13条和第14条的隐私政策，以及与同意请求直接相关的额外（更简洁）信息措辞。传达信息：WP29重申，需要确保同意请求清晰易懂，例如，避免使用法律术语，并使术语适合受众。至于如何在实践中实现这一点，大数据难吗，WP29的一个例子提到了使用测试面板来评估和评分基于其清晰度和可理解性水平的同意措辞。WP29还指出，同意信息不应隐藏在条款和条件中，而是应该在文件中清楚地突出，或者在单独的文件中传达。在数字环境下，组织应该考虑使用分层通知和粒度信息。明确表示愿望GDPR的陈述已经包含了"明确的肯定性行为"的实际例子，但是指南草案现在提供了额外的例子，特别是在网络环境下。根据WP29的规定，只要个人清楚地意识到，做出这样的举动就意味着达成一致，那么诸如刷屏、在智能相机前放弃、或转动智能手机等身体动作都能满足要求。WP29还引发了对"点击疲劳"的担忧，例如，当寻求同意的次数过多时，同意机制的实际警告效果会减弱，但将开发解决此问题的方法的任务交给了控制者（WP29提到浏览器设置是一种可能的解决方案）。2明确同意定义：WP29承认GDPR对"定期同意"的标准高于指令，但也确认，当需要"明确同意"时（如敏感数据、自动个人决策和数据传输），需要做出更多努力。准则草案规定，"明确"是指向个人提出同意的方式，并要求和明示声明。实践：虽然WP29认识到收集明确同意的最常见方式是个人的书面和签名声明，但它也确认存在其他方式，如发送电子邮件、上传书面声明的扫描副本或使用数字签名。WP29还建议使用两阶段验证过程，以确保获得有效的明确同意（例如，要求个人回复一封声明"我同意"的电子邮件，然后通过电子邮件或短信向他发送第二个验证链接，以确认同意，也称为双重选择加入）。三。表示同意总体而言，准则草案在如何维护同意证据方面给予了控制人一定的自由裁量权，但警告他们，他们选择的机制不应导致过多的额外数据处理。需要记录的内容：WP29建议同意记录应包含关于如何获得同意、何时获得以及当时向个人提供了哪些信息的信息。例如，在在线环境中，控制器可以保留关于获得同意的会话的信息。仅仅记录网站的配置是不够的。何时删除记录：只要数据处理活动持续，证明同意的义务就存在。一旦处理活动结束，WP29规定同意证明只应保存在遵守法律义务或法律索赔所需的范围内。一旦不再需要用于这些目的，则应删除同意证明。4续签同意书虽然GDPR在这方面保持沉默，WP29认为同意只会持续一段时间，这取决于上下文和个人的期望。当然，当发生新的处理时，或者当当前处理的一个方面发生变化时，控制者必须寻求新的同意来覆盖这个新的/更新的处理。但即使没有任何变化，WP29建议，作为最佳实践，定期更新同意书。5撤回同意撤回方式：WP29在此澄清了一个讨论点，声明GDPR只要求撤回同意的方式"与"用于同意的方式"一样容易"。它不要求同意和撤回的手段相同。然而，实际上，在某些情况下，手段可能必须相同（例如，当通过用户界面收集同意时，个人应能够通过同一用户界面撤回同意）。撤销的影响：WP29强调，一旦撤销同意，控制者必须停止处理，并删除或匿名化数据（除非另有法律依据证明处理数据是合理的）。一旦同意通过无声地迁移到另一个法律依据而被撤回，控制器就不能继续相同的处理活动。6儿童同意书在儿童同意方面，WP29似乎采取了相当合理的立场，在年龄和身份验证机制方面考虑到技术的早期阶段，给出了实际指导和实例。例如，WP29确认，在一个网站上注明不针对18岁以下的个人，就足以避免第8条（在没有相互矛盾的证据的情况下）。WP29还采用了基于风险的方法，要求年龄和父母权威验证机制与处理相关的风险成比例。例如，在低风险的情况下，控制员可以简单地要求孩子们确认他们的出生年份，而家长权威的验证则可以通过电子邮件进行。在高风险的情况下，应该使用更复杂的机制，例如可信的第三方。无论控制员希望使用哪种技术，人工智能怎么样，它必须始终优先考虑收集最少数据量的方法（数据最小化），并不断审查其过程和技术发展。7科研例外背诵33引入了更灵活的