欧盟GDPR（又称《通用数据保护条例》）旨在对数据处理过程中所涉及的各类数据，特别是个人数据提供最大程度的保护，确保数据处理过程中数据主体的合法权益受到保护，被迫让渡权利的程度最小化。因此，除却基于公共利益或者法定义务等特殊需求，在对数据处理之前，必须征得数据主体的同意。在欧盟GDPR中，对数据处理的同意条件也作出了相应的规定。

一、同意的条件之对于数据处理的一般同意条件

首先，基于同意进行的数据处理，数据处理者在征得数据主体的明确同意后，必须能够提供明确的证据证明该次同意，具体内容必须包括：数据主体具体同意控制者所使用的数据内容、该数据可以用于进行的处理内容、时间、范围等一切与该数据相关的内容。数据主体的此类同意，往往需要明确单独限定于对此次处理行为的单独表态，根据欧盟GDPR规定，若数据主体对授权控制者处理该个人数据的授权，在表态中涉及到了其他事项，数据控制者必须就该次数据处理单独征得数据主体的同意，而不得将该次处理与其他事项混为一谈。同时，由于数据主体往往并非数据处理工作的专业人员，其对专业内容的陌生也容易使得主体在模糊的状态下权益受到侵犯，因此欧盟GDPR要求数据控制者在将此次对个人数据处理的行为剥离开来，单独征得数据主体同意的过程中，必须用通俗易懂的语言对此次处理的相关事项进行描述，确保数据主体能够准确无误地了解该次处理的具体内容。根据欧盟GDPR的规定，任何违反这一操作而使数据主体作出的声明，无论数据主体是否基于自愿，该声明均不发生任何法律效力。

当然，在数据处理过程中还需要对数据主体是否基于自愿作出该授权行为进行一定的考量，欧盟GDPR也就这一问题给出了相对明确的参考标准。该标准具体为，在分析同意的自由与否时，必须最大程度考虑到契约的履行问题，包括明确履行条款中所规定的服务是否包括不必要的数据处理行为。当然，具体的实施细则问题还需要欧盟各成员国结合本国的具体实际予以确定。

其次，数据主体即使已经同意授权处理者对其个人数据进行处理，仍有权撤回自己的同意声明，要求数据处理者不得再使用该个人数据进行任何相关操作。但为保证数据处理者合法处理行为不受影响，欧盟GDPR同时明确，在数据主体作出撤回同意声明的表态前，数据处理者所进行的相关合法性数据处理，也即在满足同意条件的前提下作出的相关数据处理行为仍为有效。同时，为避免数据主体忽略此项权利，数据控制者在获得数据主体授权处理其个人数据之前，必须明确告知数据主体其享有随时的撤回权。

二、同意的条件之对于数据处理的特殊类型

在数据主体中，还包括一个特殊群体——未成年人，对未成年人数据的处理也属于数据处理同意条件中的特殊类型。虽然各国划定民事行为能力的年龄标准不同，但未成年人是否有足够的判断能力来作出对处理其个人数据的同意表态是各国均需要考量的问题。根据欧盟GDPR规定，对于未满16周岁的未成年人，对使用数据同意的表态需要由其父母作出，而16到18周岁的未成年人，则被视为具有自主决定的能力，可以对自己的数据能否被使用自行作出表态。同时，对于年满13周岁的未成年人，欧盟GDPR给予了各国更大的自由裁量余地，可以根据各国的具体实际情况进行判断。

数据处理的同意条件是否满足是处理行为合法性中的一个非常重要的前置条件，必须在数据处理过程中得到各方充分重视。

严正声明：本文章内容为佑碧艾商务咨询（上海）有限公司（以下简称LEB）原创作品，LEB对该作品享有全部著作权。欢迎转发，如需以任何形式转载请注明作品出处及标注作者（LEB）署名，违者将承担相应法律责任。特此声明。