目前尚不清楚第一類電子郵件是否合法。法國組織 la Quadrature du Net 正計劃於5月28日針對這五項大型技術公司（著名的“ GAFAM”）發起集體訴訟。以下是他們的論點的摘要：

• GDPR第6條第1款列出了六種合法處理個人數據的案例，其中之一是用戶同意；
• 第4條§ 11條規定，必須以明確，明確，知情和明確的方式獲得表示用戶意願的方式；
• 在GDPR序言中，解釋了同意必須是一種採取積極行動，如果您保持沉默，未選中復選框或無所作為，則無法表示同意；
• 第7條第4款規定，在獲得同意時，有必要考慮是否絕對要處理個人數據

因此，歐盟“ 國家數據保護機構”小組“ G29”確認，如果用戶沒有真實選擇，感到受限製或將因拒絕同意而面臨負面後果，則所給予的同意無效。因此，G29確認GDPR保證同意處理個人數據的行為不能與提供服務相對應。

此外，如果公司要求同意作為處理個人數據的法律依據，則禁止

（如果您能讀法文，則推理會更深入地討論。我上面寫的只是一個摘要。）

因此，第一封電子郵件實質上是在使您接受違法行為。如果我上面提到的集體訴訟成功了，那麼您可以期望較小的公司效仿並停止發送第一類電子郵件（否則將面臨嚴重的法律後果）。

GDPR法律中的一些引言：

[...]應當通過明確的肯定性行為表示同意，建立對數據主體協議的自由給出，明確，知情和明確的表示處理與他或她有關的個人數據，例如通過書面聲明（包括電子方式）或口頭聲明。這可能包括在訪問互聯網網站時打勾，選擇信息社會服務的技術設置或其他聲明或行為，以便在這種情況下清楚地表明數據主體接受了其個人數據的擬議處理。因此，沉默，預先打勾的盒子或不活動並不構成同意。同意書應涵蓋出於相同目的或目的進行的所有處理活動。如果處理具有多個目的，則應針對所有目的達成共識。如果在通過電子方式提出請求後要徵得數據當事人的同意，則該請求必須清晰，簡潔，並且不會不必要地干擾所提供服務的使用。 [...]

[...]如果處理是根據指令95/46 / EC的同意進行的，則數據主體無需通過以下方式再次同意表示同意的行為符合本法規的條件。[...]

[...]通過陳述或明確的肯定行動表明數據主體的意願，表示同意處理與他或她有關的個人數據； [...]

[...]在評估是否自由給予同意時，應特別考慮是否履行合同，包括提供服務，以同意處理個人數據為前提，而該個人數據對於履行該合同不是必需的。 [...]

GDPR需要明確的同意。如果服務一直在收集個人數據，而您沒有明確同意，則他們必須再次明確徵求您的同意。我認為從理論上講，每次服務修改隱私政策時，服務也都需要再次徵得其明確同意，儘管我找不到關於此的聲明。因此，我相信您的“偽隱式退出”示例在任何情況下都是不合法的，即使您以前已經以GDPR兼容方式明確表示同意（我對此表示懷疑），因為他們現在正在更改其隱私權政策並要求您通過繼續使用他們的服務來隱式接受它。

第一類是大型公司（如大型電子郵件提供商），無論如何他們都會做他們想做的事情，並且由於您想使用他們的服務，因此您將接受他們的條件。不這樣做會阻止您使用他們的服務。

第二類是比較公平的類別，詢問您是否要從他們那裡接收信息。通常，這些都是商業公司，因此選擇接受他們的報價不會阻止您與他們開展業務。

首先，還沒有判例法，而且不同的律師以不同的方式解釋規則：有些人打得非常安全，另一些人則順風而行。有些人可能認為他們不太可能在值得起訴的人中名列前茅。 （讓我們面對現實，沒有人會起訴體育俱樂部以記下誰最後修理了割草機。）

第二，同意只是允許保留數據的方法之一。其他包括合同的存在，遵守法律和法規的需要以及“合法權益”（這非常易於解釋：但是，例如，一家保險公司可以保留您的理賠歷史記錄，以便可以發現第三，與表象相反，不需要為GDPR續簽現有的同意書；如果您去年同意，那麼（大概！）就足夠了。

IANAL-我已經閱讀了規定。

正如其他答案所指出的那樣，GDPR需要明確，知情，明確的同意。此外，根據問責制原則，數據控制者應能夠證明這一點。理論上：

1. 正在發送選擇退出電子郵件的組織已經正確記錄了您的明確同意（例如當您訂閱新聞通訊或簽訂合同時），也許他們正在更新其隱私權政策以更好地與GDPR保持一致，因此他們會向您發送電子郵件，並利用這一優勢提醒您始終可以選擇退出
2. 發送選擇加入電子郵件的組織未記錄適當的同意，它們急於記錄您的同意並將其存儲在其全新的GDPR管理工具中。
ol>

在實踐中：

1. 一些發送退出電子郵件的組織可能步履蹣跚，他們相信，當他們的老式同意會在當年得到當局的認可
2. 一些發送選擇加入電子郵件的組織已經不在法律範圍內（關於以前的指令和成員國法律），但現在他們感到後悔，因為他們越來越擔心罰款。
ol>

或者，這取決於他們各自聘請的律師。

在這裡已經提到的領域之外，還有一部分GDPR與數據保留有關。許多要求人們（或至少是我要接收的）選擇加入的電子郵件也表明，幾年來他們與我沒有任何互動（或更確切地說，來自我）。如果我想繼續接收他們的電子郵件，則需要重新選擇加入。這使他們知道自己的數據是最新的，並且其他任何內容都可以刪除。

儘管英國的《數據保護法》已經規定，數據保存的時間不能超過需要的時間，但基本上被忽略了，並且郵件列表繼續增長。但是，GDPR要求在合理的時間後刪除數據。如果您選擇加入，則將重置與它們相關的數據的時鐘。

此處有兩件事在起作用：

• 無論以前的同意是否仍然有效，因為被要求的方式已經符合該即將通過的法律（給人以選擇退出，但這僅僅是您的舊選擇加入的延續）與舊的同意被發現不足或無效，因此您需要續簽。因為此復選框是默認選中的（實際上該複選框當時已退出，所以必須用全新的選擇加入來代替）。
• 無論公司何時希望保持現狀（再次，舊的選擇加入（現在感覺像現在選擇退出）還是他們利用這個機會向您請求比他們已經擁有的更多權限（選擇加入全新的內容，例如電子郵件）。

似乎您正在處理第一種情況。第一家公司只是更新了其政策並認為舊的同意書足夠好，而第二家公司則根據新法律認為您的舊書同意無效，並要求您重新同意。

GDPR並不是新的，在我住的地方2年的休假立法，因此理論上至少可以從2年開始準備場地。完全可以想像有些同意已經得到遵守（實際上，直到法案生效之前，沒人關心）。

關於案例2，在 https://gdprhallofshame.com/縮放正試圖做到這一點。