1.4.2　同意

企业在收集个人信息时，应该：25

●根据有关个人信息收集、使用和披露的所有相关法规的强制要求，获得明示或默示的同意。

●确保已获得适当和必要的同意：

■在开始收集活动之前。

■将个人信息用于最初收集目的之外的其他用途之前。

■将个人信息转移给第三方或其他司法管辖区之前。

如果通过传真机或使用任何其他电子传输方法获得同意，则最好附上一张封面，告知接收者随附的文件可能包含特权信息，必须加以保护，以防止未经授权的披露。

隐私工程师需要确保向个人提供适当并且一致的同意书。隐私工程师还应确保正确记录相关的同意和拒绝同意。对于拒绝同意的情况，由于个人可能未提供任何拒绝记录，因此隐私工程师需要建立一种方法，以数字或手动方式记录该拒绝同意的情况。

未来的服务和产品设计必须支持：

●关于使用或不使用个人信息的决策。

●遵守使用限制的相关法律要求。

世界各地的多项法规对如何及何时收集和使用同意书有具体的要求。以下是两个例子：

1.GDPR：26两个条款具体规定了必须取得相关数据主体同意的情况。

a.第7 条详细规定了需要取得同意的四个不同条件：

i.当基于同意进行数据处理时，数据主体的同意必须明确。

ii.如果数据主体通过书面声明的方式表示同意，但该声明还涉及其他事项，则应以明显区别于其他事项的方式征得同意。

iii.数据主体有权随时撤回同意，而且撤回同意必须与给予同意一样容易。

iv.该同意必须是在自由的前提下做出的，不得以不必要的个人数据处理或履行合同或提供服务为条件。

b.第8 条详述了取得儿童同意的三个条件：

i.对于年满 16 岁的儿童，取得儿童自身对数据处理的同意被视为合法。对于未满 16 岁的儿童，同意书必须获得法定监护人的授权。需要注意的是，欧盟国家/地区可以制定法律，规定 16 岁以下13 岁（含）以上的儿童可以直接给予同意。

ii.对于未满 16 岁的儿童，数据控制者必须尽力确认以法定监护人身份给予同意的人确实有该权力。

iii.这些要求并不取代各个欧盟国家/地区适用的一般合同法。

2.HIPAA：27HIPAA 允许使用和披露受保护的健康信息（Protected Health Information， PHI），这是一种仅仅限定于医疗保健的个人数据，用以进行治疗、促进支付或使相关实体（医疗保健提供商、保险公司和清算所及其业务伙伴）方便开展其他医疗保健活动，而无须获得同意。然而，在这些情况下，上述相关实体出于展示信任、维护记录或其他目的的需要，也可以选择使用同意书。但在其他某些情况下必须征得同意，即 HIPAA 法规要求的“授权”，这些情况包括共享心理治疗笔记、营销目的、销售 PHI、公共健康或研究目的。