“同意”有效性概述
同意是数据合规中最重要的个人信息处理合法性基础之一。然而,企业作为数据控制者,往往并不明确何种情况下可以基于数据主体的同意处理个人信息,以及在此过程中需要满足哪些具体的法律要求。
同意缺失或同意无效可能引发重大法律风险与经济损失,因此以合法方式获取用户同意至关重要。

“同意”作为个人信息处理的合法性基础
《通用数据保护条例》(GDPR)第6条第1款第a项规定,同意是六种数据处理的法律依据之一。该规定源于信息自决权原则:每个人原则上都应有权自主决定其个人数据由谁使用以及用于何种目的。然而,实践中,只有在《通用数据保护条例》第6条规定的其他法律依据均不适用时,才应选择“同意”作为合法依据。如果个人数据的处理是为了履行合同(第b项)、履行法定义务(第c项)或基于合法利益(第f项),则无需取得用户同意。
“同意”的典型应用场景包括:
- 发送订阅消息或个性化广告,
- 使用追踪与分析工具,
- 发布个人照片和视频资料。
有效“同意”的构成要件
《通用数据保护条例》在第4条第11项中将“同意”定义为:“任何自由、具体、知情和毫不含糊的表示数据主体意愿的行为,通过声明或明确的肯定行动……”
因此,有效同意应同时满足以下四个条件:
1、自愿
首先,同意必须出于数据主体真实且自由的意思表示。数据主体有权拒绝或撤回同意,且不会造成任何不利后果。因此,《通用数据保护条例》第7条第4款规定了“捆绑同意原则”,要求提供服务不得以获取与合同履行无关的同意为前提。此外,以下情形也可能影响同意的自愿性:具有误导性的表述、默认勾选、信息过量,以及通过视觉设计刻意引导用户作出同意。
2、知情
有效同意要求向数据主体就数据处理做出了全面且通俗易懂的通知。数据处理有关信息必须易于获取、内容完整且语言表述清晰,尤其应使当事人能够识别由谁处理数据以及处理数据的具体目的。根据欧洲数据保护委员会关于同意的现行指南,还须向当事人说明所处理数据的类型、撤回权以及可能涉及的自动化决策和向第三国传输数据等信息。上述信息可以通过隐私声明告知数据主体,但需对该隐私声明作出清晰、明确的指引。
3、具体
同意应针对具体的数据处理目,避免使用笼统或范围过于宽泛的表述。如涉及多个处理目的,原则上应针对每一目的分别取得同意。仅在各目的之间具有极为紧密的实质性关联,且无法合理地进行单独征求同意的情况下,方可例外合并。
4、明确的肯定性行为
同意必须通过数据主体作出的明确意思表示以及其积极行为(“Opt-In”)。《通用数据保护条例》 并未对同意的形式作出严格限制。同意既可以采用书面形式,也可以通过电子方式作出,例如勾选复选框或点击按钮、选择相关技术设置以及其他积极行为(例如口头表示)。沉默、预先勾选的复选框(“Opt-Out”)或单纯的不作为,例如继续使用某项服务,均不构成有效同意。同样,仅将同意条款纳入一般使用条款之中而未进行单独明确提示的,也不足以构成有效同意。
根据《通用数据保护条例》第 7 条第 1 款,数据控制者必须能够证明其已取得有效同意。因此,所采用的同意获取方式应被存档与记录。
特殊情形
在特殊情形下,对同意的要求会更为严格。
1、处理特殊种类的个人信息
根据《通用数据保护条例》第9条的规定,处理特殊种类的数据原则上须取得数当事人的”明示”同意(详见下文)。
2、自动化决策
如果自动化决策(《通用数据保护条例》第22条)拟以当事人同意作为法律依据,则同样需要取得当事人的“明示同意”。
3、员工数据
根据德国《联邦数据保护法》(BDSG)第26条第2款的规定,同意原则上应以书面形式作出,除非因特殊情况而导致其他形式更为适当。鉴于雇佣关系具备从属性,雇员在劳动关系框架下作出的同意通常会受到较为严格的审查。因此,同意仅在例外情况下才会被认定为有效:一是雇员能够因相关数据处理获得法律上或经济上的利益,二是劳资双方在该数据处理事项上具有一致利益。
4、未成年人数据
数据保护法赋予了未成年人特殊保护。相较于成年人,未成年人通常更难充分理解个人数据处理所涉及的风险以及自身所享有的权利。对于信息网络服务相关的数据处理活动,《通用数据保护条例》第8条对未成年人的同意作出了特别规定。只有在未成年人达到法定最低年龄,或其监护人已明确表示同意的情况下,其同意方可被认定为有效。在德国,法定最低年龄为16周岁。对于其他类型的数据处理活动,《通用数据保护条例》并未明确规定统一的年龄限制。相关立法声明表示,涉及未成年人的数据处理活动应当以清晰、易懂且符合其理解能力的语言进行说明,以确保未成年人能够充分理解相关处理活动及其可能带来的影响。
5、科研数据
在科学研究领域,如果具体处理目的在数据收集时尚未确定,当事人的同意也可以作为概括性的授权。但处理活动的范围必须具备可识别性,以确保当事人能够对其个人数据的处理形成合理预期。
明示“同意”
明示“同意”要求数据主体作出清晰、毫无歧义的意思表示。仅凭沉默、不作为或默示行为,原则上不足以构成有效的明确同意。此外,隐私声明本身也应当明确具体,尤其应就数据处理的具体目的以及所涉个人数据的敏感程度,作出清楚、准确且充分的说明。
“同意”的撤回
撤回权是“同意”这一法律基础所对应的重要保障机制。根据《通用数据保护条例》第7条第3款,数据主体有权随时撤回其已作出的同意,且无需说明理由。撤回仅对未来发生效力。
在取得同意之前,控制者应向数据主体明确告知其享有撤回同意的权利。此外,撤回同意的程序必须与作出同意一样简便,不得被不合理地复杂化。原则上,数据主体应能够通过与授权时相同或同等便捷的方式撤回同意,例如通过点击按钮、发送电子邮件或在用户账户中使用相应功能。需要注意的是,在撤回生效之前已经基于该同意进行的数据处理,仍具有合法性;但自撤回之时起,后续数据处理活动不得继续以该同意作为法律依据。
“同意”的有效期
《通用数据保护条例》并未规定同意的有效期限。因此,只要数据主体未撤回同意、数据处理目的等相关情况未发生实质性变化,该同意则持续有效。然而,同意也具备时效性。例如,当同意在较长时间内未被实际使用,且数据主体已无法合理预期其个人数据仍会基于该同意被处理时,原有同意可能不再有效。德国地方法院也通过判例证实了这一观点。
因此,在使用同意作为法律依据之前,原则上应先审查该同意是否仍然有效、是否符合当前的数据处理情形。建议在同意声明中注明:该同意原则上持续有效,直至数据主体撤回为止。
结语
同意是一个具有较高法律要求的数据保护工具,其有效性在很大程度上取决于对法律基础的准确判断、透明清晰的设计以及持续规范的落实。在实践中,同意不应被视为当然适用的“标准解决方案”,而应结合具体的数据处理场景进行审慎评估与有针对性的使用。
致电请求
不想填写冗长的表格?没问题!留下您的姓名和电话——我们会尽快与您联系!

