大型在线平台实施的 "同意或付费 "模式中，EDPB对GDPR中有效同意的理解

场景聚焦

2024 年1月17日，荷兰监管机构（NL SA），同时代表挪威监管机构（NO SA）和德国（汉堡）监管机构（DE Hamburg SA）（合称 “请求监管机构”），请求 EDPB 根据 GDPR 第 64(2)条就所谓的 “同意或付费 “模式发表意见。

2024年4月18日，EDPB就此发表有关意见，其提到数据主体在面对大型在线平台实施所谓的 “同意或付费 “模式时，特别是针对为行为广告目的而需处理个人数据时，如何可以满足有效同意，特别是自由同意的要求。本文结合EDPB的意见内容进行了总结概括，欢迎各位读者讨论交流。

注：行为广告是指通过行为定向技术，搜集、汇总用户的网络活动和信息，分析消费者特征，预测其兴趣和偏好以投放个性化的广告。

“同意或付费”模式概念

数据控制者需要为数据主体提供至少两种选择模式，使得数据主体可以选择其中一种模式以获取数据控制者提供的在线服务。

选择一：同意为特定目的处理其个人数据

数据主体只有在同意被数据控制者跟踪并针对其行为发布广告的情况下，才能获得在线服务。

选择二：决定支付费用并获得在线服务，而其个人数据不会为特定目的被处理

数据主体支付一定费用（例如，可以是每周、每月或每年的订购费，也可以是一次性付款）后，其在获得在线服务的过程中，其个人数据不会为了行为广告目的或其他目的而被处理。

若数据主体不在以上两个选项中作出选择，则无法获得在线服务。

问题在于，当数据主体选择路径一，即以同意数据控制者处理其个人数据为前提，免费获取数据控制者提供的在线服务，那么，什么情况下是“有效同意”呢？换言之，在这种选择路径下，如何才能使得数据主体脱离以免费的对价换取形式上的同意，进而牺牲自己个人数据价值的表象？

有效同意的理解

根据EDPB 意见可以看出，

有效同意=自由同意+知情同意

一、自由同意

数据主体是其个人数据的所有者，其同意必须是自由给予的同意。数据主体必须能够在不受数据控制者或其他的不适当影响的情况下自行决定是否可以进行处理，并获得有关处理的适当信息。只有当数据主体能够行使真正的选择权，并且不存在欺骗、恐吓、胁迫的风险，以及排除如果数据主体不同意就会承受严重的负面后果时，同意才是有效的。如果存在任何强迫、压力或无法行使自由意志的因素，同意就不是自由的。

数据主体作出同意，衡量该同意是否自由的标准：

1.数据主体是否会因为不同意或撤回同意而遭受损害；

数据控制者需要确保数据主体拒绝或撤回同意时不会带来造成损害的可能性。

这里的“损害”包括但不限于：

（1）在“同意或付费”之外无其他方案，但为了使用该平台服务而必须支付费用。

（2）费用过高，而给数据主体造成过高负担。

（3）因可通过该平台获得信息或与朋友、家人之间交流，而对该平台产生依赖性，但因数据主体并不想在“同意或付费”中作出选择，无法使用该平台服务，而对其生活、工作、心理带来影响而造成的损害。

2.数据主体和数据控制者之间是否存在权力不平衡

数据控制者需要评估自己是否处于权力明显失衡的状态，如根据其在市场中的支配地位，又或在大量数据主体依赖平台服务后，平台推出二选一模式，也属于不平衡状态，又或平台服务是针对儿童或其他弱势人群使用。

如存在明显不平衡的情况下，应采取适当的对策（如在本案中，由同一数据控制者提供的、不涉及同意为行为广告目的处理个人数据的替代服务版本）

3.是否需要同意才能获得商品或服务，即使处理并非履行合同所必需（条件性）

如果数据处理操作不是履行合同所严格必需的（注：严格必需即“strictly necessary”,根据《欧盟基本权利宪章》第52条），数据主体必须有拒绝同意这种处理操作的自由。

4.数据主体是否能够同意不同的处理操作（颗粒度）

当采用“同意或付费”模式时，数据主体应能自由选择他们接受的个别目的，而不是必须一揽子同意一系列处理目的。

二、知情同意

数据控制者应表明身份和对处理活动目的的描述，这是最低限度的要求。而数据主体在作出同意之时，应完全明白自己所做的选择所带来的影响及其后果。

该意见也提出大型在线平台在提供信息告知时，应特别考虑以下几点：

1. 个人数据的接收者或接收者类别（如有）；

2. 数据控制者打算将个人数据转移到第三国的事实，以及个人数据将被存储的期限（如有）；

3. 不管数据主体是否选择同意行为广告，数据控制者对数据的收集和处理；

4. 数据主体能否随时撤回其同意的权利及其后果；

5. 数据的组合或交叉使用，即数据在多大程度上与同一控制者收集的其他服务的数据或由其他控制者收集的数据进行合并。

此外，数据控制者应建立并记录信息流程，使数据主体能够充分、清楚地了解其可能选择的价值、范围和后果。

注意

1. 数据控制者针对以行为广告为目的而收集数据主体数据的，因网络平台使用的是技术先进的基础设施，通常是数字生态系统的一部分，在这个系统中，来自不同来源的多个数据点很可能被组合、分析，并可能进行实时拍卖。鉴于这些不同的动态变化，数据控制者不能向数据主体提供一揽子同意，以用于多种不同的目的，如内容个性化、广告个性化、服务开发、服务改进、受众测量等。

2. 数据控制者针对以行为广告为目的而收集数据主体数据的，数据控制者需要使数据主体能够区分不同处理目的的细粒度信息。不应以过于广泛且用于界定处理活动的目的，令数据主体难以理解其选择的后果，例如商业目的、个性化。此外，行为广告涉及对数据主体在线活动的特征分析，而且往往需要使用从数据主体间接获得的个人数据。特征分析过程往往包括数据控制者与第三方之间不透明的互动和数据交换。例如，这种不透明可能发生在平台内外数据的交叉使用中。大型在线平台可能会处理在其平台内外收集的个人数据，用于特征分享目的。数据控制者有责任确保数据主体了解特征分析过程中涉及的技术。

3. 数据控制者向数据主体进行信息展示，以告知其同意处理数据时会处理哪些内容，又或收费后不会处理哪些数据时，意见建设性地提出，可通过视频向数据主体提供信息，解释不同方案之间的差异，或通过互动页面举例说明不同方案下的服务外观。数据控制者可考虑进行数据主体测试，以确定最合适的信息渠道。

文章版权归作者所有，未经允许请勿转载。

THE END