欧盟数据合规之三：知情同意规则和案例

欧盟数据合规之三：知情同意规则和案例

IXCDC

一、理论分析：GDPR 对知情同意原则的规定

01

知情同意原则的内涵

1.同意的要件

欧盟《通用数据保护条例》[1]第 7 条“同意的要件”（ Conditions for consent）列明了同意的4项要件：第一，关于同意的法律地位。第7条第1款规定如处理是基于同意，则控制者应能证明数据主体已经同意处理他或她的个人数据。该条规定即说明同意是数据处理者收集和处理数据的合法性基础之一，实践中数据处理者可在获取数据主体同意的同时对数据主体作出关于同意法律地位的说明或与其作出明确约定。第二，关于同意的呈现方式。第7条第1款规定“如数据主体通过书面声明的方式作出同意，且书面声明涉及其他事项，那么同意应以易于理解且与其他事项显著区别的形式呈现”

2.有效同意的要素

欧盟《通用数据保护条例》第 4 条第11款将同意（consent）定义为“数据主体依照其意愿自由作出的（freely），任何具体的（specific）、知情的（informed）及明确的（unambiguous），同意处理与其有关的个人数据的意思表示。通过声明（statement）或明确的肯定行为(clear affirmative action）作出的这种指示，意味着其同意与他或她有关的个人数据被处理。”。换言之，《通用数据保护条例》所定义的有效同意包括了知情、自愿、具体、明确、和可撤回等要件。而欧盟数据保护委员会(the European Data Protection Board，简称EDPB)于2020年5月4日通过的《关于第2016/679号条例（GDPR）下同意的指南》（Guidelines 05/2020 on consent under Regulation 2016/679）[2]在其第11条指出GDPR第4条第（11）款规定，数据主体的同意是指以下四点：1）自由作出的；2）具体的；3）知情的；4）通过陈述或明确的肯定形式明确表示的关于同意处理与其有关的个人数据的意思表示。

3.同意的形式

根据欧盟《通用数据保护条例》第4条对同意的定义，有效的同意在形式上至少应构成一种明确清晰的意思表示行为。该种意思表示行为既包括口头声明形式，也包括书面表示等行动形式，还可包括其他可以合理推论行为人已经作出同意的行为。

02

直接收集数据的注意事项

1.未成年人个人数据的收集

欧盟《通用数据保护条例》第8条关于信息社会服务适用于儿童同意的条件规定了如下内容：第一，获取儿童同意的要求。第8条第1款规定，对于直接向儿童提供信息社会服务的情况，如果儿童年满16岁，则在适用同意的情况下处理儿童的个人数据是合法的。如果孩子未满16岁，则只有在父母对孩子负有父母责任的人同意或授权的情况下，这种处理才是合法的。第二，关于有效同意的年龄限制。第8条第 1 款规定提供了关于年龄限制的灵活性，成员国可以依法规定较低的年龄，但该年龄不得低于13岁。第三，核实同意的义务。第8条第2款规定，考虑到现有技术，控制者应当作出合理的努力，去核实在此种情况下，父母责任的主体同意或授权。此外，结合欧盟《通用数据保护条例》第58条的规定则可知，在适应同意原则获得数据处理授权的情况下，数据控制者应确保所提供的信息对儿童来说是可理解的。由此，数据控制者在实践中除了应在内容提供获取数据主体知情同意所应提供的信息外，还应特别注意在形式上以清晰易懂的语言向儿童解释其打算如何处理其收集的数据。

2.知情同意原则下数据主体的权利

1)同意的撤回

另一方面，欧盟《通用数据保护条例》第7条“同意的要件”第3款规定：“数据主体有权随时撤回他或她的同意。同意的撤回不应影响在撤回前基于同意作出的合法的数据处理。在作出同意前，数据主体应被告知上述权利。撤回同意应与作出同意同样容易。”可以看到，该条规定赋予了数据主体撤回同意的权利，其在实践中会产生和反对权类似的结果，从而保障数据主体根据其意愿决定数据同意授权情况的权利。在实践中，考虑到同意的撤回在规定中属于同意的要件之一，数据处理者应：1)在收集数据时即以协议或其他方式中明确赋予数据主体的撤回同意的权利；2)；向数据主体提供明确、合理、便捷的撤回同意的渠道，使之规定中满足“撤回同意应与作出同意同样容易”的要求。

2)纠正权、被遗忘权、限制处理权和可移植权

欧盟《通用数据保护条例》第16条、17条、18条、20条和21条分别赋予了数据主体纠正权 (Right to rectification)、被遗忘权（Right to erasure (‘right to be forgotten’)）、限制处理权（Right to restriction of processing）和可移植权（Right to data portability）、反对权(Right to data portability)。若数据处理是基于同意，则数据主体：1）有权在撤回同意后行使纠正权、擦除权、和限制处理权。2)可能可以行使数据可移植性的权利。3）由于关于反对权的规定并不适应，无法行使反对权。同时，从数据处理者的权利义务角度来看，如果某些数据处理活动受到GDPR第18条限制处理权的约束，则可能需要征得数据主体的同意才能解除限制。

二、 实务探讨：爬虫行为真的不可取吗

01

爬虫行为的性质

爬虫行为各数据行为主体对爬虫技术的使用行为。由于“技术中立”的基本原则，爬虫技术作为一种中性的自动化数据收集技术手段，其本身不为法律所禁止。但如果爬虫技术被不当使用，则可能产生侵犯公民隐私权和财产权、构成不正当竞争和影响网络运营者正常开展业务等不良影响。因此，爬虫行为需要受到规制，各数据行为主体使用爬虫技术应在既有规制的范围内依据规范进行。

02

爬虫行为的边界

1.爬虫行为的内容边界

爬虫可以收集公开且未被禁止采集的信息。此处的公开应理解为无具体的特定的传播对象对不特定对象开放的，未被禁止采集应理解为未设置包含不可爬取范围的Robots协议、未作出反爬声明或未采取反爬技术措施等明示或默示的表示禁止收集的意思表示。一定程度上可以认为，此类禁止收集的明示或默示的意思表示即表示数据主体拒绝同意其数据被采集。

2.爬虫行为的技术边界

规范爬虫行为除了为其设定内容边界还应设定技术边界。目前欧盟《通用数据保护条例》尚未存在关于爬虫行为的技术边界的规定，但我国国内已有相关规定。例如，我国国家互联网信息办公室于2019年5月28日发布的《数据安全管理办法（征求意见稿）》第十六条规定确立了使用自动化手段（包括爬虫）收集数据不得妨碍他人网站正常运行的原则，并明确了严重影响网站运行的具体判断标准。[3]

三、 案例延伸：Facebook“数据门”

01

简要背景

2013年，剑桥大学研究人员Aleksandr Kogan在Facebook平台上创建了一个个性测验应用，用户在使用该应用前需同意该应用收集其包括账号、点赞情况和好友关系在内的个人数据及其好友的个人数据。同时该应用也向Facebook公司申请通过Facebook平台连接该应用以获取使用这则应用的用户的数据，且其获取的数据将仅仅用做学术用途。同时，他通过Facebook平台收集用户的朋友的个人数据，并将以上数据出售给了剑桥商业分析公司。2014年，Facebook公司不再允许第三方应用获取用户好友的数据并要Kogan和剑桥公司删除数据并提交证明；但Kogan和剑桥商业分析公司在声明已删除数据后仍保留了数据，Facebook公司也未对其删除情况进行核查或检验。而后剑桥商业分析公司将这些数据用于向美国选民投放定向信息以引导和影响美国大选中选民的行为，从而影响美国大选结果。在该新闻被披露后Facebook平台的行为引起大量关注和激烈讨论，股价也猛然大跌约10%。该一系列事件被媒体称为Facebook“数据门”。

02

探讨评析: Facebook“数据门”后使用开放接口应注意什么

1.从开放接口处收集个人数据时的信息提供义务

开放接口使用者应根据欧盟《通用数据保护条例》第14条“并非从数据主体处获取的个人数据的提供”(Information to be provided where personal data have not been obtained from the data subject)的5款规定向数据主体提供需提供的信息以完成规定的信息提供义务。

2.在开放接口提供者的权限下进行数据收集和处理

欧盟《通用数据保护条例》第29条“并非从数据主体处获取的个人数据的提供”(Information to be provided where personal data have not been obtained from the data subject)规定：“有权访问个人数据的处理者以及在控制者或处理者的权限下作为的任何人，除控制者指令外不得处理那些数据，除非联盟或成员国法律允许这么做”。开放接口使用者应根据该规定在在，进行数据收集和处理行为前获取开放接口提供者的授权，并根据所获权限进行数据收集和处理。

3.使用接口前应获取开放接口提供者的事前授权

欧盟《通用数据保护条例》第28条“处理者”（ Processor）有明确规定“如果未经控制者特别的或一般的事先书面授权，该控制者不能引入另一个控制者参与。”因此，为履行该规定设定的义务，开放接口使用者应在使用开放接口前获得根据开放接口提供者特别的或一般的事前书面授权方可合法使用该开放接口。

参考文献：

[1] 参见：https://gdpr-info.eu/

[2]参见：https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en

[3]《数据安全管理办法（征求意见稿）》第十六条规定：网络运营者采取自动化手段访问收集网站数据，不得妨碍网站正常运行；此类行为严重影响网站运行，如自动化访问收集流量超过网站日均流量三分之一，网站要求停止自动化访问收集时，应当停止。参见：http://www.cac.gov.cn/2019-05/28/c_1124546022.htm。