2018年5月29日在WP29批准的实施日期前修订GDPR同意是欧洲处理个人数据的六大法律依据之一，受到GDPR的强烈影响。获得有效的"GDPR同意"的要求现在比数据保护指令严格得多。此外，数据主体有权随时撤回其同意，这使其成为控制人相对脆弱的法律基础。WP29于2017年11月发布了关于这个主题的指导方针，我们在这篇博文中对此进行了介绍。以下是2018年4月10日的主要修订版。1有效同意的条件：自由给予-条件限制有效同意的四个标准之一是自由给予同意。WP29确定，如果控制人试图依赖涉及将个人数据用于其他目的的服务的同意，认为其他控制者提供了同等服务，则不能将同意视为自由给予。WP29驳斥了这种做法，解释说，在这种情况下，选择的自由将取决于其他市场参与者的行为，以及单个数据主体是否会发现另一个控制者的服务真正等效。这种失败的论据还意味着控制人有义务监测市场发展，以确保其数据处理活动的同意书持续有效，因为竞争对手可能在稍后阶段改变其服务。2不受损害地拒绝或撤回同意控制人需要证明有可能在无损害的情况下拒绝或撤回同意（陈述42）。WP29增加了三个示例来说明这一要求：示例A：下载生活方式移动应用程序时，该应用程序请求同意访问手机的加速计。这不是应用程序工作所必需的，但对于希望了解用户运动和活动水平的控制器来说，这是很有用的。当用户后来撤销该同意时，她发现该应用程序现在只能在有限的范围内工作。这是序言42中所指的损害示例，这意味着从未有效地获得同意（因此，控制者需要删除以这种方式收集的关于用户移动的所有个人数据）。示例B：一个数据主体订阅了一家时尚零售商的带有普遍折扣的时事通讯。零售商要求数据主体同意收集更多关于购物偏好的数据，以便根据自己的购物历史或自愿填写的问卷，根据自己的喜好定制优惠。当数据主体后来撤销同意时，他或她将再次获得非个性化的时尚折扣。这并不意味着损害，因为只失去了允许的激励。一家时尚杂志在正式发布前为读者提供购买新化妆品的渠道。这些产品将很快上市销售，但本杂志的读者将获得这些产品的独家预览。为了享受这项福利，人们必须提供他们的邮政地址，并同意订阅杂志的邮寄名单。邮寄地址是发货所必需的，邮寄清单用于发送化妆品或服装等产品的全年商业报价。该公司解释说，邮件列表上的数据仅用于杂志本身发送商品和纸质广告，不得与任何其他组织共享。如果读者因为这个原因不想透露他们的地址，这是没有损害的，因为产品将提供给他们无论如何。三。明确表示愿望明确的声明或意愿的表示是有效同意的另一个必要标准。WP29规定，控制者必须避免含糊不清，并且必须确保给予同意的行动可以与其他行动区分开来。因此，仅仅继续正常使用网站并不表示数据主体希望表明他或她同意拟议的处理操作。WP29更新了以下示例：向下滚动或浏览网站将不满足明确和肯定行动的要求。这是因为"继续滚动将构成同意"的警报可能难以区分和/或可能在数据主体快速滚动浏览大量文本且此类操作不够明确时被忽略。尽管这一添加并不是在ePrivacy和Cookie的上下文中进行的（在这种情况下，在网站访问者的设备上存储Cookie需要获得许可），但如果在该上下文中应用，则意味着，在WP29看来，到目前为止，几乎每个网站所有者都使用默示同意方法在访问者的设备上存储cookie（包括通知cookie横幅上的用户继续浏览或向下滚动amount to approve）将不再被接受，当GDPR明年5月生效时。如果DPA和法院能证明这一点，这将对网站所有者产生巨大的实际影响。该问题应在ePrivacy法规中解决，该法规可能要求用户在浏览器级别或网站本身上表达其一般cookie偏好（例如拒绝第三方cookie、接受所有cookie）。由于ePrivacy法规仍在通过立法程序，而且不太可能在未来一年内通过，这将给网站所有者留下一段相对较长的时间，在这段时间内，网站所有者需要获得用户的同意，然后才能在设备上存储cookie。4明确同意在三种情况下，需要明确同意（而不是"定期同意"）：–处理特殊类别的个人数据–具有法律或类似重大影响的自动化个人决策–向第三国传输个人数据（如果没有适当的决定或适当的传输机制可用）WP29解释说，明示同意不一定是书面的。组织也可以通过电话交谈获得明确同意，前提是有关选择的信息是公平、易懂和清楚的，并要求数据主体提供具体的确认（例如按下按钮或提供口头确认）。示例A：数据控制者还可以通过提供包含"是"和"否"复选框的"明确同意"屏幕来获得其网站访问者的明确同意，前提是文本清楚地表明同意，例如："我，特此同意处理我的数据"，而不是"我很清楚，我的数据将毫无疑问，知情同意的条件以及获得有效同意的其他条件都应得到满足。5GDPR第6条中同意与其他合法理由的相互作用如果控制人选择在处理的任何部分依赖同意，他们必须准备尊重该选择，并在个人撤回同意时停止该部分处理。控制人不得以其他合法依据交换同意。例如，在同意有效性遇到问题的情况下，不允许追溯性地利用合法利益基础来证明处理的正当性。由于要求披露控制者在收集个人数据时所依赖的合法依据，控制者必须在收集之前决定适用的法律依据是什么。6儿童同意与父母责任与原始版本的变化在这里意义重大。最初，指南规定，当儿童达到数字同意年龄时（如果国家法律未规定年龄较小，则为16岁），但在更新版本中，当达到数字同意年龄时，儿童可以确认、修改和撤回同意。这意味着，如果儿童不采取任何行动，由父母责任持有人或父母责任持有人授权处理在数字同意年龄之前提供的个人数据的同意，将仍然是有效的处理理由。在实践中，这意味着，如果儿童不采取任何行动，由父母责任持有人或父母责任持有人授权处理在数字同意年龄之前提供的个人数据，将仍然是有效的处理理由。7GDPR前同意如果控制者发现先前根据旧法规获得的同意不符合GDPR同意的标准，则控制者必须采取行动遵守这些标准，例如以符合GDPR的方式更新同意。根据GDPR，在一个合法的基础和另一个之间不可能互换。如果控制者无法以合规的方式更新同意书，并且也无法（作为一次性情况）通过基于不同合法基础的数据处理向GDPR合规性过渡，同时确保持续处理是公平和合理的，则必须停止处理活动。OneTrust的帮助OneTrust有两种解决方案来帮助解决收集和管理同意的挑战。首先，OneTrust为网站所有者提供了一种从网站访问者那里获得cookie同意的机制。网站胜利者可以通过横幅和可定制的访问者偏好中心表达他们的同意。其次，OneTrust提供了统一的同意和偏好管理，它与现有的营销和IT技术相结合，以管理整个许可生命周期。使用OneTrust SDK、REST API或通过批量数据馈送导入，将同意记录并集中存储在OneTrust中。分享这篇文章