2018年生效的GDPR法令，像一把利剑，悬在每个互联网企业的头顶。很多企业低估了数据保护和网络风险对企业声誉造成的损害。互联网商家开展活动，离不开对数据主体（用户）信息的获取，数据处理源于自然人“同意”时，应确保“同意”的作出符合GDPR。在严格的GDPR条例下，企业获取数据主体（用户）的“同意”，要怎样做才算是合规？这是一个困扰很多企业的问题，今天，就让我们一起学习了解下吧。

“同意”在GDPR中扮演什么角色？

要使处理在GDPR下合法，您需要确定（并记录）您合法的处理依据。GDPR列出了六个合法的法律基础，同意就是其中之一。（其他为：合同、法律义务、数据主体的重要利益、公共利益和第6条第（1）款所述的合法利益。）

如果您想处理特殊类别（敏感）个人数据，您还需要应用第9条第（2）款中的一个条件。“明确同意”是使特殊类别数据使用合法化的一种选择。“同意”也可以使限制性处理合法化，明确的 “同意”可以使自动决策（包括剖析）合法化，或者在没有足够保障的情况下私营部门组织进行海外转移。

如果您依赖“同意”，这将影响个人的权利。例如，他们将有权擦除（也称为“被遗忘的权利”）和数据可移植性权利。虽然个人无权反对基于“同意”处理的情况，但他们有权撤销“同意”- 这实际上是作为停止处理的权利。

GDPR规定除非法律明确允许或数据主体同意处理，否则通常禁止处理个人数据。有效法律“同意”效力的基本要求见GDPR第7条，并在第32条中作了进一步规定—— “同意”必须是自由的，具体的，知情的和明确的。

即根据GDPR的规定，数据处理需要基于“同意”，数据主体需要同意他人处理自己的个人数据，也就是未经数据主体的“同意”，不得收集任何个人数据。

获得同意权有什么好处？

根据符合GDPR标准的同意处理个人数据意味着为个人提供真正的选择并持续控制您如何使用他们的数据，并确保您的组织透明和负责。

实现这一目标被视为良好客户服务的关键：它将人置于关系的中心，并有助于建立客户对企业的信心和信任。可以提高企业的声誉，提高客户的参与度，并有利于开发新产品。这是企业在竞争中脱颖而出的一种方式。

必须在自愿的基础上给予“同意”

GDPR规定，为了获得自由“同意”，必须在自愿的基础上给予“同意”。要素“free”意味着数据主体的真实选择。任何可能影响该选择结果的不适当压力或影响因素都会导致 “同意”无效。

之所以这样规定，是因为法律文本考虑了数据控制者和数据主体之间的某种不平衡关系。例如，在雇主 - 雇员关系中：雇员可能担心他拒绝“同意”可能对他的雇佣关系产生严重的负面影响，因此“同意”只能是在少数特殊情况下处理的合法依据。

“同意”的条件

1、处理是基于“同意”时，则数据控制者应能够证明数据主体已同意其对个人数据进行处理。

2、如果数据主体是通过书面声明的方式表示同意，且该声明还涉及到其他事项，对“同意”的请求应以与其他事项明确区别、清晰且方便获取的形式，用清晰且简明的语言呈现。该声明中任何构成违反本条例的部分应不具有约束力。

3、数据主体有权随时撤回其“同意”。“同意”的撤回不影响撤回前基于“同意”进行的数据处理的合法性。在做出“同意”之前，数据主体应被告知前述权利。撤回“同意”和做出同意应一样容易。

4、当评估“同意”是否是自由做出时，应尽最大可能考量，包括但不限于，合同的履行，服务的提供，依赖于对履行合同非必要的个人数据处理的“同意”。

另外，企业为了获得通知和明确的“同意”，必须至少通知数据主体数据控制者的身份、将处理的数据类型、如何使用以及处理操作的目的，以防“功能潜变”(功能潜变:function creep，这是指获取信息的原来目的被悄悄地、不知不觉地扩大到包括未获得参与者知情和自愿的同意)。还必须告知数据主体他/她是否有权随时撤回“同意”。退出必须像给予“同意”一样容易。在相关情况下，数据管制者还必须告知数据的使用情况，以便对由于缺乏充分性决策或其他适当保障而可能存在的数据传输风险进行自动决策。

同意书必须有一个或几个特定的目的，然后必须充分解释。知情“同意”所需的信息和其他合同事项的信息之间必须有明确的区别。

最后同样重要的是，“同意”必须是明确的，不应暗示同意，而必须始终以自愿加入、声明或主动行为的方式表示同意，以免误解为资料当事人已同意进行特定的处理。也就是说，没有同意的形式要求，它可以以电子形式给出。

在这方面，儿童和青少年对信息社会服务的“同意”是一个特例。对于16岁以下的儿童，父母责任持有人有额外的“同意”或授权要求。年龄限制以灵活性条款为准。成员国可根据本国法律规定年龄较低，但该年龄不得低于13岁。如果服务产品明确没有针对儿童，则可以免除此规则。但是，这不适用于针对儿童和成人的服务。

结语：

事实上，在处理个人数据时，“同意”并不是一个灵丹妙药。特别是考虑到欧洲数据保护当局已明确表示“如果管理人选择依赖“同意”处理任何部分（数据），他们必须准备好尊重该选择，并在个人撤回“同意”时停止处理该部分（数据）。因此，应始终选择“同意”作为处理个人数据的最后一个选项。

如今，在全球化的趋势下，走出国门成为很多企业的选择，想要打开欧洲市场大门的企业，要做到符合GDPR条例的规定。不想失去欧洲市场的企业，更应该做到符合GDPR条例的规定。早在，2018年GDPR条例实施之初，SCA安全通信联盟就举办了首场GDPR合规性相关的企业培训，并对培训合格的学员颁发了相应的证书，今天，小编就带您认识GDPR条例对获取用户“同意”权的规定，同样希望对更多的企业走出国门有所帮助。

PS:文章根据GDPR官方文案翻译整理https://gdpr-info.eu/issues/consent/，更多问题欢迎留言讨论。SCA安全通信联盟，关注安全通信和身份认证领域，为信息安全领域提供中立、专业的认证咨询服务。官方微信公众号“奥航智讯”，每天准时为您提供当天热点资讯。