8月3日，爱尔兰公司PageFair的生态系统部门主任Johnny Ryan博士发表了一篇博客，名为“Here is what GDPR consent dialogues could look like. Will people click yes?” 【请点击文末左下角的“原文链接”访问原文】

注：PageFair致力于开发反广告拦截系统，在广告拦截方面的研究经常被《纽约时报》、《金融时报》、《经济学人》等刊物引用。由于其关注互联网广告，因此对于明年即将生效的欧盟《通用数据保护条例》（GDPR）有系统性研究。

为什么和大家介绍这篇文章。原因很简单，Ryan博士把GDPR征得同意的要求用图示的形式表现出来了，非常形象。相比于欧盟一些国家的数据保护机构发布的以文字为主的指南（guideline）或行为规范（code of conduct），这样的形式让人一目了然，便于理解。

以下直接上图：

具体来说，征得同意时有以下要求：

1、说明谁在收集数据，以及提供联系方式；

2、说明个人信息的用途，以及处理个人信息的法律基础（即个人同意，或法律授权，或根据与个人签 订的合同所必需等）；

3、说明个人信息将与谁共享；

4、说明个人信息是否会跨境传输；

5、说明个人信息存储的期限，或确定该期限的标准；

6、说明个人信息主体更正个人信息的权利；

7、说明个人信息主体撤回同意的权利；

8、说明个人信息主体向个人信息保护机构投诉的权利；

9、说明个人信息主体选择“不同意”将产生的影响或结果；

10、如涉及系统自动决策（包括数字画像），则说明该自动决策机制的基本逻辑，以及决策结果将对个人信息主体造成何种影响；

这篇博文还提供了两页关于E-privacy Regulation（目前处于草案阶段）中“同意”的图示，再次不在多做解释。

上图根据欧盟委员会提出的E-privacy Regulation的草案文本。

上图根据欧洲议会LIBE委员会对欧盟委员会E-privacy Regulation草案文本的修改意见。

以上三张图，供大家参考。

国家标准《个人信息安全规范（报批稿）》也在附录C中提供了“保障个人信息主体选择同意权的方法”的图示，为广大网络运营者符合《网络安全法》等有关法律法规，提供了指引。