为什么美国公司应该关心挪威DPA对GDPR同意的解释？

来源：IAPP

翻译：黄锐奇，上海交大法学院硕士生

总部设在美国的公司和监管机构应充分了解挪威数据保护机构Datatilyset的一项决定的影响，该决定涉及如何 "完成 "同意、什么构成特殊类别数据以及 "明显公开 "的含义。随着美国加州、弗吉尼亚州和科罗拉多州的新隐私法逐字逐句地借用欧盟《通用数据保护条例》中 "同意 "和 "敏感数据 "的定义，以及采用基于消费者意图的标准来确定什么构成 "可公开的信息"，如何解释这些定义的细节将成为问题。

挪威的决定告诉我们什么？

在其决定中，挪威的DPA要求约会应用程序提供商Grindr对该应用程序进行的与嵌入在该应用程序中的目标广告跟踪有关的广泛数据共享负责。该决定分析了第7条规定的同意的四个要素，并为满足这些要素规定了相当高的门槛。

自由地给予：每个目的都需要单独的、非捆绑的同意，而且你不能以给予同意作为服务的条件。根据该决定，如果你不提供明确的信息，说明在拒绝同意的情况下获得服务的可能性，那么选择就变得虚幻。接受整个隐私通知是不合规的。另外，与广告合作伙伴共享个人数据需要单独的同意，因为这不是提供应用程序中的主要服务所必需的，而且处理操作的目的截然不同。

具体的：同意需要对每个目的进行细化。

知情的：解释选择的信息需要让个人真正理解他们选择的后果。它需要被强调，而不只是一般隐私通知的一部分。当要求同意几件事时，每件事都需要与其他事项明确区分开来。

不含糊：必须是明显地给予同意。点击 "我接受隐私政策 "是不够的。

重要的是，在其核心部分，该决定促使人们认识到，对于任何非服务所需的处理（特别是有针对性的广告），需要获得真正的同意，如果提供服务的条件是这种同意，即 "要么接受，要么离开 "的情况下，同意永远不可能是真正的同意。

美国会效仿吗？

除了向我们展示欧盟的风向外，美国的监管者和从业者应密切关注这一决定，因为新的隐私法--《加州隐私权法》、弗吉尼亚州的《消费者数据保护法》和《科罗拉多州隐私法》--都使用了从GDPR第7条逐字删除的同意定义，并要求同意是 "自由给予、具体、知情和不含糊地表明消费者的意愿"。

有迹象表明，美国监管机构至少在某些方面与Datatilsynet的思路相同。例如，CPRA明确禁止在冗长的隐私政策的使用条款中 "埋藏 "同意。它还指出，悬停、静音或关闭同意并不足以提供同意，并禁止通过使用黑暗模式获得同意。

然而，在 "接受或不接受 "方面又如何呢？

传统上，对美国联邦贸易委员会关于同意的要求的解释，以及为美国窃听法的目的而获得的同意，并不禁止以获得同意作为提供服务的条件。对同意的新定义的采用是否意味着GDPR同意的这一方面也将在美国被采用？我们可以在CPRA条款中找到这方面的提示，该条款允许消费者将其敏感信息的使用限制在提供服务所需的范围内，除非个人提供同意。

一个额外的复杂情况是，与GDPR不同，美国新隐私法中的同意并不是一个可以适用于所有处理的法律依据。相反，只有在特定情况下才会牵涉到同意，如：

在《CPRA》中：出售或分享儿童的信息；在选择退出后选择出售或分享；加入财务激励计划。

在弗吉尼亚州的CDPA中：允许企业处理个人数据的目的不是合理必要的或与披露的个人数据处理目的不相符的，或处理敏感信息。

在《科罗拉多州隐私法》中：选择加入处理信息以进行有针对性的广告（例如，在选择退出后）。

如果被采纳，欧盟的解释将把什么是 "履行服务的必要条件"（见最近爱尔兰数据保护专员Facebook案的讨论，该案已在一站式服务机制下提交咨询）以及什么是同等的替代服务的古老论述插入美国地区，即带Cookies的免费在线报纸与不带Cookies但每月付费订阅的在线报纸是否相同？

敏感的信息

在Grindr的裁决中，Datatilsynet还分析了该应用如何处理数据，并发现它处理的信息涉及消费者的性取向。根据Datatilsynet，你不必要求披露数据主体的特定性取向就可以被视为 "有关"。披露与应用程序或平台有关的通用关键词可能就足够了。该决定进一步指出，将有关自然人 "性取向 "的个人数据分享给广告伙伴，就足以触发第9条，而不管数据被披露的数据控制者如何进一步处理这些数据。

美国法律借用了他们对敏感信息的定义，包括在所有三部法律中，"收集和分析有关消费者的性生活或性取向的个人信息 "来自GDPR。如果在美国被采纳，这一解释将影响到公司如何处理敏感信息，以及使用这些信息需要同意的范围。它可能会引发讨论，在Grindr的决定中提到，这些限制使敏感信息的提供者与他们的同行相比处于不利地位。

已公开信息

那么Grindr的决定告诉我们关于已公开信息的什么？根据美国法律，可公开获取的信息被从敏感信息的定义中划出，因此，如果适用的话，也不需要选择同意的要求。公开可用的信息包括 "企业有合理的理由相信消费者向公众合法提供的信息"，或者在 "消费者没有将信息限制在特定受众范围内 "时披露信息。

Grindr的判决讨论了应用程序上的信息是否被数据主体 "明显地公开 "了。在这里，Datatilsynet也对这一含义采取了相当狭窄的看法。根据Datatilsynet的说法，数据主体必须有明显的意图将有关信息提供给公众。一个公开的资料并不足以达到这个标准，特别是在一些服务中，如约会软件或潜在的某些社交媒体平台，你需要创建一个账户和/或资料通常只显示给有限的用户。Datatilsynet还说："一个应用程序会向广告伙伴披露有关他们的性取向的信息，这超出了数据主体的合理预期，即使他们的个人资料被设置为"公开"。"

美国的新法律专门针对有针对性的广告，CPRA将跨语境(cross-context)的行为广告从 "商业目的 "的领域中拉出来，强调广告的不透明性，并指出作为一个目标，给予消费者对其个人信息用途的明确解释，包括如何用于广告，以及如何控制、纠正或删除它。

考虑到这一点，在评估消费者使用其信息的意图时，监管机构是否会倾向于欧盟为他们设定的这条道路？

声明：本文来自数据法盟，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。