有关GDPR中的“同意”，W29都说了些什么...（下）

翻译：田申

校对：刘笑岑

第29条工作组关于2016/679条例中“同意”的指南

2017年11月28日通过，最后修订于2018年4月10日

上篇请见有关GDPR中的“同意”，W29都说了些什么...（上）

中篇请见有关GDPR中的“同意”，W29都说了些什么...（中）

 4.获得明确的同意 

某些情况下可能存在严重的数据风险，这时候需要获得明确的同意，此时对数据主体赋予其对个人数据的高度控制被认为是适当的。GDPR在第9条中明确了同意在处理特殊类别的数据方面起到了作用，在第49条规定了向第三个国家或国际组织传输数据的要求，以及第22条规定了对自动化个人决策（包括用户画像）的要求。 

GDPR规定“声明或者明确的肯定动作”是“合格”同意的先决条件。与指令95/46 / EC中的同意要求相比，GDPR中的“合格”同意要求已经提高到更高的标准，因此控制者需要澄清为符合GDPR而获得数据主体的明确同意所采取的额外努力有哪些。

术语“明确”是指数据主体表达同意的方式。这意味着数据主体必须明确表示同意。要确保获得明确的同意，通过书面声明是一种显而易见的方法。在适当的情况下，控制者可以通过确保书面陈述由数据主体签署来消除所有可能的疑问和证据不足的质疑。

但是，这种签署的声明并不是获得明确同意的唯一方式，并且不能说GDPR规定了在所有情况下都需要获得数据护体的书面声明以达成有效的明确同意。 例如，在数字或网络环境中，数据主体可以通过填写电子表格，通过发送电子邮件，通过上传携带数据主体签名的扫描文档，或者通过使用电子签名等方式来表达同意。理论上，口头陈述也可以充分表达有效的明确同意，但是，在记录陈述时，可能难以证明控制者的作为已经满足了获取有效明确同意的所有条件。

控制者也可以通过电话交谈获得明确的同意，前提是有关选择的信息是公平的、可理解的和清晰的，并且它要求数据主体进行具体确认（例如按下按钮或者口头确认）。

【案例17】

数据控制者也可以通过屏幕显示包含“是和否”的复选框来获得访问者对其网站的明确同意，前提是该文本内容必须明确地表示同意，例如“我，特此同意处理我的数据”，而不是“我很清楚我的数据将被处理”。当然还应该满足知情同意的条件以及获得有效同意的其他条件。

【案例18】

整形外科诊所将患者的病历转送给其他专家征询治疗方案，需要获得患者的明确同意。病历是一个数字文件。鉴于所涉及信息的特殊性质，诊所要求数据主体进行电子签名以证明其获得该主体有效的明确同意。

两阶段的同意验证也可以是确保获得明确同意的有效方式。

【第一步】数据主体接到电子邮件，向他们通知控制者打算处理有关医疗数据记录这一目的。控制者在电子邮件中解释其寻求数据主体针对控制者基于特定目的使用特定数据的同意。如果数据主体同意，他或她需要发送一封包含“我同意”声明的电子邮件进行回复确认。

【第二步】在发送回复后，数据主体会收到必须点击的验证链接或带有验证码的短信，以再次确认同意。

第9条第（2）款不承认“履行合同所必需的”可以作为禁止处理特殊类别数据的例外。 因此，处理这种情况的控制者和成员国应探讨第9条第（2）款（b）至（j）项中的具体例外情况。 如果（b）至（j）的例外情况都不适用，根据GDPR中的有效同意条件获得明确同意仍然是处理此类数据的唯一可能的合法例外。

【案例19】

航空公司Holiday Airways为因残疾等原因而无法独自旅行的乘客提供辅助旅行服务。 客户预订从阿姆斯特丹飞往布达佩斯的航班，并要求航空公司提供旅行协助以便登机。 Holiday Airways公司要求她提供有关她健康状况的信息，以便能够为她安排适当的服务（例如抵达大门的轮椅，或从A到B的旅行助理）。Holiday Airways要求相关乘客明确同意处理其健康数据，以便安排所要求的旅行协助。——在同意的基础上处理对于用户要求的服务来说是必需的数据。同时，飞往布达佩斯的航班在没有旅行援助的情况下仍然可用。请注意，由于该数据是提供请求服务（译者注：为残疾用户提供旅行协助服务）所必需的，因此第7条（4）款条不适用。

【案例20】

一家成功的公司专门提供定制的滑雪板和滑雪板护目镜以及其他类型的户外运动眼镜。这家公司致力于帮助用户在带上护目镜和运动眼镜时不需要再额外佩戴自己的眼镜。该公司在欧洲境内统一接收订单，并在统一地点递送产品。为了能够向近视的客户提供其所需的定制产品，控制者要求数据主体同意其使用有关客户眼镜视力状况的信息。客户在下订单时会在线提供必要的健康数据（例如他们的处方信息）。没有这些健康数据，控制者就不可能提供所要求的定制眼镜。该公司还提供标准化矫正视力的护目镜系列。 不希望提供健康数据的客户可以选择该标准化系列。因此，控制者需要根据第9条获得明确同意，并且确保同意是自由给出的。

 5.获得有效同意的附加条件 

GDPR对控制者提出了附加条件的要求，以确保他们获得持续、可证明的有效同意。 GDPR第7条规定了保留同意记录、便捷地撤回同意权等这些确保获得有效同意附加条件的具体规定。第7条也适用于GDPR其他条款中提到的同意，例如：第8条和第9条。下文提供了关于证明有效同意和撤回同意等额外要求的指引。

 5.1 证明同意 

在第7条第（1）款中，GDPR概述了控制者需证明其获得数据主体明确同意的义务同承担举证责任。

Recital 42规定：“如果处理是基于数据主体的同意，则控制者应该能够证明数据主体已经同意其处理操作。”

控制者可以自由地寻找符合该规定的方法，以适合其日常操作。 同时，控制者证明其已经获得有效同意的义务本身不应导致额外的数据处理。这意味着控制者应该提供与数据处理有关的足够数据（以显示获取同意），但是他们不应该超过必要范围收集信息。

GDPR没有明确说明必须如何做，控制者才能证明从数据主体获得有效的同意。然而，控制者必须能够证明在给定情况下的数据主体已经同意。只要一个数据处理活动持续下去，该证明义务就存在。在处理活动结束后，控制者无需再严格履行获取同意的证明义务，或者根据第17条第（3）款（b）和（e）项等法定义务。

例如，控制者可以保留获取同意声明的记录，为此他可以显示如何获得同意，何时获得同意并且可以证明当时提供给数据主体的信息。 控制者还应能够显示数据主体已被通知，并且控制者的工作流程符合有效同意的所有相关标准。GDPR中这一义务背后的基本原理是，控制者必须对获得数据主体的有效同意以及实施的同意机制负责。 例如，在线环境中，控制者可以保留关于表达同意的会话的信息，以及会话时征求同意工作流程的文档，以及提供给数据主体的信息的副本。那时，仅仅参考相应网站的配置是不够的。

【案例21】

一家医院建立了一个名为X项目的科学研究项目，需要获得患者的真实牙科诊断记录。项目组通过电话联系患者招募参与者，患者将自愿同意加入可能为此目的而备选的候选人名单。控制者需要就使用牙科记录寻求数据主体的明确同意。数据主体在电话通话中口头确认他们同意控制者为项目X的目的使用其数据，控制者通过记录数据主体的口头陈述以证明获得同意。

GDPR中没有关于同意持续有效期的时间限制。同意的有效期持续多长时间取决于收集数据的背景情况、最初同意的范围以及数据主体的主观意愿。 如果处理操作发生了很大的变化，则最初同意不再有效。 如果是这种情况，则需要获得新的同意。

WP29建议，最佳做法应在适当的时间间隔后更新同意的获取。再次提供所有信息有助于确保数据主体充分了解其数据的使用方式以及如何行使权利。

5.2  撤回同意

撤回同意在GDPR中占有突出的地位。GDPR中关于撤回同意的条文和序言说明，可以看做是对WP29已有意见解释的汇总。

GDPR第7条第（3）款规定，控制者必须确保数据主体在同意给出后，如同给出同意那样容易地去撤回同意。但GDPR并没有要求给予和撤回同意必须总是通过同样的行动来完成。

但是，当通过电子方式只通过一次鼠标点击，滑动或者点击获得同意时，必须保证数据主体也能够同样轻松地撤销该同意。在通过使用特定服务的用户界面（例如，通过网站，应用程序，登录帐户，物联网设备的界面或者通过电子邮件）获得同意的情况下，毫无疑问，数据主体必须能够通过相同的电子界面撤回同意，因为仅仅基于撤回同意而需要切换到另一个界面上去，将会导致数据主体付出不必要的精力。此外，应当保证数据主体不会因撤回同意而受到损害。这意味着控制者在数据主体撤回同意时必须保证不收取费用或者不降低服务水平。

【案例22】

音乐节通过在线票务代理销售门票。每次在线售票时，都要求数据主体同意其将联系方式用于营销目的。为表明对该目的的同意，客户可以选择否或是。控制者告知客户其可以撤回同意。为此，他们可以在工作日的上午8点至下午5点免费联系呼叫中心。本例中的控制者不符合GDPR第7（3）条支队定。因为在这种情况下数据主体想撤回同意需要在工作时间打电话，这比通过全天候开放的在线提供同意所需的“点击”更加繁琐。

易于撤回的要求被认为是GDPR中有效同意的必要组成。如果撤回不符合GDPR要求，则控制者的同意机制也不符合GDPR。 如3.1所述，在基于知情同意的数据处理中，控制者必须根据GDPR第7（3）条的规定，在实际获取同意之前告知数据主体其撤回同意的权利。 此外，控制者必须将告知数据主体如何行使其权利作为透明度义务的一部分。

一般来说，如果数据主体撤回同意后，所有在同意撤回之前基于同意进行的数据处理操作仍然是合法的，GDPR也是这样的规定。但是，控制者必须停止相关的处理操作。 如果数据的处理（例如进一步存储）没有其他合法的依据支持，则控制者应当删除它们。

正如在早期的指南中所提到的，控制者在收集数据之前评估数据实际处理的目的以及其合法依据是非常重要的。公司通常基于多种目的收集个人数据，并且基于多个合法基础进行处理。例如，消费者数据可能是基于合同和同意而处理。因此，撤回同意并不意味着控制者必须删除基于履行与数据主体有关的合同目的而处理的数据。由此，控制者应从一开始就明确说明每一类数据的处理目的，以及依赖哪种合法依据进行处理。

一旦撤回同意，如果没有其他合理依据可以继续保留，控制者有义务删除在同意基础上处理的数据。

除了第17条（1）（b）项所述的这种情况之外，个别数据主体也可以要求删除在其他合法基础上处理的与他有关的其他数据，例如：根据第6条（1）（b）项。即使没有数据主体的删除请求，控制者也有义务评估继续处理有关数据是否适当。

如果数据主体撤回了其同意，但控制者希望能够继续以其他合法的方式处理该主体数据，则他们不能在不告知的情况下从同意（这一合法基础已经被撤回）直接转移到其他合法的基础上去。处理行为的合法依据的任何变更必须根据第13条和第14条的信息要求以及透明度的一般要求告知数据主体。

 6. GDPR第6条中的同意和其他合法理由之间的转换 

第6条规定了个人数据处理的合法条件，并描述了控制者可依赖的六个合法性依据。在开展数据处理活动之前，必须确立至少符合这六个合法性依据之一的处理目的

需要注意的是，如果一个控制者选择基于同意对数据进行处理，则他们必须尊重该选择，如果个人撤回该同意，则控制者需要停止对基于同意的这部分数据的处理。如果向数据主体传递将在同意的基础上处理相关数据的信息，而实际上还依赖其他合法性依据进行处理，这对数据主体来说根本是不公平的。

换句话说，控制者不能擅自将同意转换为其他处理数据的合法性基础。 例如，在同意有效性遇到问题的情况下，不允许控制者追溯到其他合法性依据来证明处理的合理性。 基于控制者必须在收集个人数据时披露所依赖的合法依据，控制者必须在收集之前决定其将适用的合法性依据。

 7. GDPR中特别关注的领域 

 7.1  儿童（第8条）

与现行指令相比，GDPR为易受到侵害的数据主体创建了一个额外的保护层，特别是针对儿童的个人数据。 第8条引入了额外的义务，以确保提高儿童在信息服务方面的数据保护水平。增强保护的原因在Recital 38中有详细说明：“[…]他们可能不太理解有关个人数据处理的风险、后果和保障措施以及他们的权利[…] ”同时Recital 38指出，“这种特殊保护应适用于儿童个人数据的处理，特别（‘in particular’）是在如下场景中：例如在直接面向儿童的服务中基于营销、提供个性化推荐或者用户画像目的处理儿童的个人数据时。“特别” （‘in particular’）一词意味着对儿童的特殊保护并不仅限于营销或者用户画像目的，还包括更广泛的“儿童个人数据收集”场景。

第8条第（1）款规定，如果是基于儿童同意向其提供信息服务，儿童年龄已满16周岁的，则处理活动合法。如果该儿童的年龄未满16周岁，只有获得父母等监护人同意的情况下，这种处理才是合法的。对于作出有效同意的年龄限制，GDPR具有一定灵活性，成员国可以通过法律确定比16岁更低的年龄，但不能低于13岁。

如3.1节所述。 在知情同意的情况下，控制者需要确保信息对于受众而言应当是易懂的，特别是要注意儿童的问题。为了从儿童那里获得“知情同意”，控制者必须用清楚明白的语言向儿童解释其打算如何处理收集的数据。如果是需要征得父母的同意，那么将需要提供便于成年人在充分了解的基础上作出决定的相关系列信息。

由此可见，GDPR第8条仅适用于下列情形：

1.处理与直接向儿童提供信息服务有关。

2.处理是以同意为合法性基础的。

 7.1.1信息服务 

GDPR中“信息服务”（ Information society service）一词的范围，请参阅GDPR第4（25）条。

在评估该定义的范围时，WP29还引援了ECJ的判例。欧洲法院认为，信息服务涵盖在线履行的合同和其他服务。如果服务是由两个经济上相互独立的部分构成，一部分是在线完成，例如在签订合同或者与产品、服务相关的场景（包括营销活动）中提供和接受要约，该部分被定义为信息服务，另一部分是货物的实际交付或者分配，这些不属于信息服务的概念部分。在线提供服务将属于GDPR第8条中信息服务一词所函射的范围。

 7.1.2 直接向儿童提供 

“直接向儿童提供”（‘offered directly to a child’）的措辞表明，第8条旨在适用于部分而非所有的信息服务。如果信息服务提供者向潜在用户明确表示它仅向18周岁以上的人提供服务，并且也没有其他证据予以反证（例如网站或营销计划的内容）。 那么该服务将不被视为“直接向儿童提供”，第8条将不适用。

 7.1.3 年龄 

GDPR规定，“成员国法律可以为这些目的规定更低的年龄，但不得低于13岁。” 控制者必须了解这些不同的国家法律，同时考虑到其服务所针对的公众群体。特别应该指出的是，提供跨境服务的控制者不能只是依赖于其主要机构所在地的成员国法律，而需要遵守它提供信息服务的每个成员国法律。具体的法律适用取决于成员国法律究竟是选择控制者主要机构所在地还是是数据主体居住地作为其管辖依据。成员国在做出选择时首要应考虑儿童利益的最大化。工作组鼓励成员国在这个问题上寻求统一的解决方案。

在同意的基础上向儿童提供信息服务时，控制者应采取合理的措施来验证用户是否已超过可以做出同意的年龄，这些措施应与处理活动的性质和风险相称。

如果用户声明他们已超过同意（给出有效同意）年龄，则控制者可以执行适当的检查以验证此陈述是否为真。虽然GDPR没有明确规定控制者需要采取合理的努力来核实年龄，但这是隐含的要求，因为如果儿童在年龄不足以代表自己提供有效同意的情况下给予同意，这将使得数据处理变得非法。

如果用户声明他/她低于同意（给出有效同意）年龄，则控制者可以接受此声明而无需进一步检查，但需要继续获得父母授权并验证提供该同意的人是否监护人。

年龄验证不应导致过多的数据处理。选择用于验证数据主体年龄的机制应包括对拟处理数据的风险评估。在低风险的情况下，可以要求一个新注册用户披露他们的出生年份或者填写声明他们是（或者不是）未成年人的表格。如果出现疑问，控制者应当在特定情况下审查他们的年龄验证机制，并考虑是否需要替代机制。

 7.1.4  儿童的同意和监护人责任 

关于监护人的授权，GDPR没有指定收集父母同意或者确立某人有权执行这一行动的实际方法。因此，WP29建议根据GDPR第8条（2）和第5条（1）（C）（数据最小化）采用遵循比例原则的方法，。遵循比例原则的方法致力于获得有限数量的信息，例如父母或监护人的联系方式。

在验证用户提供自己的年龄足以符合有效同意方面，以及在核实代表儿童同意的人是监护人方面，什么是合理的方式，取决于数据处理中固有的风险以及可用的技术。在低风险情况下，通过电子邮件验证监护人可能就足够了。相反，在高风险情况下，可能需要提供更多证据，以便控制者能够根据GDPR第7条（1）的规定验证和保留信息。可信的第三方验证服务可以提供解决方案，以尽量减少控制者必须处理的个人数据数量。

【案例23】

一个在线游戏平台希望确保未成年用户在其父母或者监护人同意下订阅其服务。控制者遵循以下步骤：

步骤1：如果用户声明他们未达到适格的同意年龄，要求用户说明他们是否低于或超过16岁（或者其他同意适格年龄）：

步骤2：通知用户在提供服务前，需要获得其父母或者监护人的同意或者。 要求用户提供父母或者监护人的电子邮件地址。

步骤3：联系父母或监护人，通过电子邮件获得他们的同意，并采取合理的步骤确认该成年人有监护职责。

 步骤4：在存在投诉的情况下，平台需采取额外步骤来验证用户的年龄。

如果平台满足其他有关同意规范，则平台可以按照这些步骤来满足GDPR第8条的附加标准。

该示例表明，控制者可以证明其已经做出合理的努力，以确保获得与向儿童提供服务有关的有效同意。

第8条第（2）款特别补充说：“控制者应作出合理努力来核实监护人是否对儿童的数据处理给予同意，并将现有的技术水平纳入考虑。”

在特定情况下，控制者可以决定哪些验证措施是适当的。一般来说，控制者应避免验证解决方案本身过度收集个人数据。

WP29承认验证机制存在具有挑战性的情况（例如，在提供自己同意的儿童尚未建立'身份足迹'时，或者需要验证监护职责不易验证时。）在决定哪些努力是合理的时，这些都可以纳入考虑，但（外界）也期望控制者需要不断地审视他们的处理行为和可用的技术。

对于数据主体自主同意处理其个人数据并对其进行完全控制的行为，一旦数据主体达到可以做出有效同意的年龄，其就可以确认、修改或者撤回由其监护人授权处理的同意行为。

在实践中，这意味着，如果儿童不采取任何行动，由父母或者监护人给出的授权同意在其达到同意适格年龄之前，，仍然是数据处理的有效基础。

根据第7条第（3）款，在达到同意适格年龄后，儿童可以自行撤回同意。 根据公平和问责原则，控制者必须告知儿童有这种权利。

这里必须强调的是，根据Recital 38，在向儿童直接提供的预防性或者咨询服务中，不需要获得其监护人的同意。 例如，在在线聊天服务向儿童提供保护性服务时不需要事先得到父母的授权。

最后，GDPR指出，关于未成年人的父母授权要求的规则，不应影响成员国一般合同法的效力，包括例如关于儿童合同行为的成立、有效性、后果等规则。因此，使用儿童数据需获得有效同意的要求是法律体系的一部分，需视为与成员国的合同法相互独立。因此，本指导文件没有涉及未成年人签订在线合同是否合法的问题。这两种法律制度可以同时适用，并且GDPR的适用范围不包括与成员国合同法的协调问题。

 7.2  科学研究 

科学研究目的的定义可能对控制者数据处理活动的范围产生实质性影响。GDPR中没有定义“科学研究”这个术语。 Recital 159规定“（......）为了本法规的目的，用于科学研究目的的个人数据处理应以广泛的方式解释。（......）”，然而，WP29认为，这一概念可能不会超出对该术语的共识，“科学研究”是指遵循相关部门相关方法和道德标准，根据良好实践设立的研究项目。

根据GDPR规定，当同意是开展科学研究的法律依据时，应将这种使用个人数据的同意与作为道德标准或者程序义务的其他同意要求区分开来。举一个程序性义务的例子，在医学临床试验法规中，数据处理不是基于同意而是基于另一个法律基础。在数据保护法的背景下，后一种形式的同意可以被视为额外的保障。同时，在基于研究目的处理数据时，GDPR并未将此类情形的合法性依据限于第6条中的同意。只要有适当的保障措施，例如符合第89（1）条的要求，并且处理是公平、合法、透明的，并且符合数据最小化标准和保障个人权利时，诸如第6条第（1）款（ e）或（f）等其他合法性基础亦可适用。这同样也适用于第9条第（2）款（i）有关特殊种类数据的处理。

在用于科学研究目的的背景下，Recital 33对同意方式与颗粒度注入了些许灵活性。Recital 33指出：“在数据收集时，通常无法完全了解用于科学研究的个人数据处理的目的。因此，在符合公认的科学研究伦理标准时，在某些科学研究领域中应当允许数据主体的同意。数据主体应该有权仅就特定的研究范围或部分研究项目上在可预见的范围之内给予他们的同意。“

首先，应当指出，Recital 33并没有取消关于需要取得具体同意的义务。这意味着，原则上，科学研究项目只有在具有明确目的的情况下才能在同意的基础上处理个人数据。对于无法在一开始就确定科学研究项目内数据处理目的的情况，Recital 33允许作为例外，该目的可以在更原则的层面（general level）上进行描述。

考虑到GDPR第9条关于特殊类别数据处理的严格条件。WP29指出，在明确同意的基础上处理特殊类别的数据时，采用Recital 33的灵活方法将受到更严格的解释，需要进行高度审查。

当被视为一个整体时，GDPR不能被解释为允许控制者绕过目的明确这一关键原则去征得用户同意。

当研究目的无法完全确定时，控制者必须寻求其他方法来确保最佳地满足同意要求的本质，例如：通过更原则（general）的用语进行告知，并且将在一开始时就已经知道的相关研究目的进行告知，并争得数据主体基于研究目的的同意。随着研究的进展，对项目后续步骤的征求同意可以在下一阶段开始之前获得。然而，这种同意仍应符合科学研究的伦理标准。

此外，在这种情况下，控制者可以采取进一步的保护措施。 例如，第89条（1）强调了为科学、历史、统计目的而在数据处理活动中采取保障措施的必要性。 这些目的“应根据本条采取适当措施保障数据主体的权利和自由。”数据最小化、匿名化和数据安全被视为可能的保障措施。如果不需要对个人数据处理就可以实现研究目的，匿名化则是首选的解决方案。

当研究场景中无法提供特定的同意时，透明度是一个额外的保障。当研究项目不断进展时，由控制者定期提供的目的的信息可以抵消规范目的性的缺乏，以便随着时间的推移，同意将尽可能趋向于具体。在这样做时，数据主体至少对工作状态有基本的了解，允许他/她评估是否使用例如根据第7条第（3）款赋予的撤回同意的权利。

此外，在获取数据主体同意之前，向他们提供一个全面的研究计划可以帮助弥补明确处理目的的缺乏。该研究计划应尽可能详述研究问题和工作方法。 研究计划也有助于对第7条第（1）款的遵守，因为控制者需要在获得同意时尽可能向数据主体可获得的信息，以便确保同意是有效的。

需要强调的是，在同意被用作处理的合法基础的情况下，数据主体必须有可能撤回该同意。 WP29指出，撤回同意可能会对与个人数据相关的科学研究造成损害。然而，GDPR明确表示同意必须是可撤回的，且控制者必须遵循 - 即使是基于科学研究也不能对这一要求进行豁免。如果控制者收到撤回同意的请求，如果控制者仍希望继续使用其他数据进行研究，原则上必须立即删除提出要求主体的个人数据。

 7.3 数据主体的权利 

如果数据处理活动是基于数据主体的同意，这将影响个人权利的行使。当处理基于同意时，数据主体可能有权获得数据的可迁移性（第20条）。同时，在基于同意的进行数据处理时，反对权（第21条）不适用，但随时撤回同意可以实现类似的效果。

GDPR第16至20条表明（基于同意的数据处理），数据主体有权行使撤回同意后的擦除权、限制处理权，更正权和访问权。

8.根据指令95/46 / EC获得的同意

目前根据95指令中的同意处理数据的控制者，无需为了符合GDPR而对所有已经获取的同意进行全部更新。迄今为止获得的同意在符合GDPR规定的条件下仍然继续有效。

控制者必须在2018年5月25日之前详细审查当前的工作流程和记录，以确保现有的同意符合GDPR标准（参见GDPR的Recital 171）。 在实践中，GDPR提出了有关落实同意机制的标准，并引入了一些要求控制者改变现有同意机制的新要求，而不仅仅是重写隐私政策。

例如，由于GDPR要求控制者必须能够证明已获得有效同意，所有没有获得证明的推定同意将被认为低于GDPR的同意标准，需要重新获得同意。同样，由于GDPR要求“声明或明确的肯定性行动”，所有基于数据主体默示的假定同意（例如预先勾选的选择框）也不符合 GDPR同意的标准。

而且，为了能够证明已获得同意或者更详细地表明数据主体的意愿，可能需要对产品操作和IT系统进行改造。此外，控制者还必须向数据主体提供易于撤回同意的机制，包括有关如何撤回同意的信息。 如果现有获得和管理同意的流程不符合GDPR的标准，控制者将需要重新获得符合GDPR标准的同意。

另一方面，由于并非所有第13条和第14条中所列的要素都必须始终作为知情同意的条件存在，因此GDPR下的提供额外信息义务并不当然否定GDPR生效前已获取同意的连续性。95指令并没有要求控制者向数据主体告知正在进行的数据处理的依据。

如果发现先前根据旧法规获得的同意不符合GDPR的标准，则控制者必须采取相应行动以符合这些标准，例如以符合GDPR的方式重新获取同意。根据GDPR，控制者不可以在一个合法基础和另一个合法基础之间进行替换。如果控制者无法以合规的方式重新获得同意，并且也无法在确保持续处理活动的公平性与问责性的前提下通过其他合法性基础进行数据处理时，那么处理活动必须停止。 无论如何，控制者需要遵守合法，公平和透明处理的原则。

The end...