上回说到GDPR的基本情况及其与我国企业间的重要关系，然而不论是讨论整个行业的生态进步还是单个企业的战略发展，GDPR意义的实现最终要落脚于GDPR的具体制度。

本文将以GDPR体系下的基本原则和主体权利为基础，以新时代的用户“同意”要求为重点，对GDPR的重要制度进行系统化的讲解。

——基本原则与主体权利

（一）GDPR基本原则

（二）主体权利

不难看出，GDPR虽以分散列举的模式规定了数据处理的基本原则以及数据主体的权利（具体种类见上图），但实质上，二者之间并非相互独立、割裂，而是彼此呼应、支持的。GDPR的基本原则贯穿于立法全文，直接体现了GDPR的价值追求与规制方向，而主体权利则在前者基础上构筑起更为具体、可操作的制度，为数据主体维护自身权益提供了更直接的手段。

应当注意的是，对GDPR的了解绝不只是纸上谈兵。我国互联网巨头腾讯公司在最近修订的国际版隐私政策中便直接反映了GDPR基本原则与主体权利的要求：

从本章的规定中可以看出隐私政策的修改应对GDPR的痕迹十分明显。从形式上看，本章专列了“信息处理的法律基础”一章，专门就自身所确定的信息与GDPR的规制要求做出明确的对应。从内容上看，本章将所收集的数据范围、目的以及必要性都做出了清晰的讲解，反映了GDPR合法、合理、透明原则，目的限定原则的要求，切实保障了用户的知情权。

隐私政策中“您的权利”一章中更是直接以列举的方式体现了GDPR所规定的纠正权、反对权、可携带权等内容。同时，具体的权利实现方法也被告知给用户，从而从实践层面推进用户权利的实现。

二. GDPR时代下的用户“同意”

自互联网行业发展伊始，用户的“同意”便是企业机构取得用户数据处理权限的最常用而直接的方式，我国《网络安全法》更是以用户同意作为唯一明文规定的数据处理合法性基础。但在过去的实践中，用户同意不仅未表现用户真实意思，反而成为了企业非法处理数据的保护伞。针对此现状，GDPR第4条与第7条要求有效的用户同意必须满足以下条件：
 

（一）用户“同意”应由其自由做出—-给予用户真正的选择权

保障用户的自主选择必须突破企业“take-it-or-leave-it”模式的限制，具体包括：

①用户必须有权拒绝“同意”而不受到额外的损害

此要求直接杜绝了企业以不提供或限制提供服务相威胁，迫使企业非自愿地表示“同意”企业的数据处理。但此项要求并未否认企业为表示同意的用户提供一定额外福利的做法。因此企业在设计这种差异待遇时，应谨慎把握“损害”与“额外福利”的界限。

②“同意”不得与其他条件相捆绑

用户对特定数据处理的“同意”应被给予单独的许可选项。但若将数据处理的“同意”条款与其他条款（包括不同类型的数据处理）相捆绑，则变相地剥夺了用户自由选择的权利。

（二）从内容上看，用户“同意”应当是具体的、知情的

出于透明性原则与知情权的要求，一方面，用户“同意”的内容必须覆盖数据控制者的身份、数据处理目的、处理范围、告知撤销权等重要内容。另一方面，有效的“同意”必须是简明易懂的，含糊不清、难以理解的表述将使该“同意”内容无效化。

值得注意的是，用户 “同意”范围并不会随着数据处理活动的变化而自动扩张。因此，数据控制者应当就处理活动新增的部分及时地与用户进行更新确认，否则将构成对“同意”要求的违背。

（三）从方式上看，用户“同意”应当是明确不含糊的

用户的“同意”与否与相应的内容都应当是十分清楚的，具体有以下两个要求：

①在用户“同意”必须以明确同意的方式完成

为了杜绝模糊空间的存在，“我已浏览全文并知悉双方权利义务情况，并同意此项协议”这种模式将被禁止。相对的，用户应以更加明确、针对性地方式表示“同意”。

 ②用户“同意”应以肯定性操作完成，选择退出的模式不得适用

基于GDPR对用户“同意”的要求，那些基于用户的疏忽、惯性而设置的选择退出模式都是不被接受的，例如用户单纯的沉默、系统预先的勾选。相反，用户应以主动、明确的肯定性方式完成“同意”，例如采用书面声明、网页勾选（未被预勾选）等。

综上，基于GDPR的规定，以下常见情形将被评价为无效的“同意”。

知之愈明,则行之愈笃。为应对GDPR的挑战，企业进行具体内部建设的前提是对GDPR的重要制度的准确理解。而GDPR所确立的基本原则、主体权利与“同意”条件是其中实体规范的主要内容，企业应当予以足够的重视。

注：感谢实习生黄宇哲为这篇文章做的支持工作。