GDPR下的同意:当"全部接受"并不等于同意
第32条前言要求同意必须是自由的、具体的、知情的和明确的 — 以及为何大多数cookie横幅并不符合这一要求。
同意是数字自主性的核心虚构。GDPR 试图为它注入实质内容,而黑暗模式则试图把它重新掏空。
有效同意的四个条件
GDPR((欧盟)2016/679号条例)通过四个特征来定义同意:自由给予、具体、知情且明确(序言第32条)(GDPR-info)。缺少其中任何一项,同意在法律上即归于无效。
「Clear affirmative act」
同意必须通过明确的肯定性行为表达;沉默、预先勾选的复选框和不作为都不构成同意。「知情」意味着当事人至少被告知控制者的身份和处理的目的——这是对目的逐渐蔓延(function creep)的防范。
「自由性」在哪里失效
在实践中,cookie 横幅往往恰恰在自由性上失效:醒目的「全部接受」按钮对上被藏起来的「拒绝」,撤回同意比给出同意需要更多步骤,设计诱导人们做出「便捷」的回答。形式上有选择——实际上却已被预设。
EDPB 指南
欧洲数据保护委员会(EDPB)在其 Guidelines 03/2022 中展示了横幅的欺骗性设计如何违反公平处理原则(GDPR 第5(1)(a)条):不对等的按钮、选择过载、努力的不对称性(EDPB)。
执法
各国监管机构正从原则走向罚款:法国 CNIL 明确要求拒绝 cookie 必须和同意一样简便,并对违规行为处以数千万欧元的罚款(CNIL)。
两条轨道:GDPR 与 DSA
操纵性同意处于两种制度的交汇处:GDPR 要求其有效性,而 DSA 第25条禁止扭曲选择的界面。二者共同勾勒出一个标准:同意必须是人的决定,而不是针对他而设计的结果。
摘录与日期
- 01к разделу «Четыре условия действительного согласия»
Условия согласия (GDPR, Recital 32)
«Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject’s agreement... Silence, pre-ticked boxes or inactivity should not therefore constitute consent.»
Перевод: согласие должно выражаться чётким утвердительным действием, устанавливающим добровольное, конкретное, осознанное и недвусмысленное согласие субъекта данных... Молчание, предзаполненные галочки или бездействие поэтому не являются согласием.