《通用数据保护条例》(GDPR)系列解读四：出海欧洲必须遵守的七大数据处理原则

GDPR规定，适用GDPR的所有数据处理活动均需遵守七项数据处理原则，分别是：（1）公平、透明和合法；（2）目的限制；（3）数据最小化；（4）准确；（5）存储限制；（6）完整与保密；（7）问责与合规。这七项数据处理原则写在GDPR的第二章，是GDPR隐私保护精神的核心体现，也是企业合规体系的重要组成部分。数据控制者和处理者必须严格遵循这些原则，否则将会构成严重违规行为，可处以2000万欧元或4%全球营业额的最高罚款。

01 公平、透明和合法

公平（Fairness）意味着企业的数据处理行为不应损害用户利益，任何含有歧视意味、有误导性或未告知用户的数据处理行为都是不允许的。以反歧视为例，企业如使用AI算法处理用户数据，则应配备适当的人工干预，避免算法的自动化操作可能造成的歧视。此外，企业还应定期评估其使用的算法是否会导致歧视、不平等的计算，并做出调整。

透明（Transparency）意味着数据控制者应清楚、公开地告知用户他们打算如何使用已经收集的任何个人数据。用户有权知晓其拥有哪些权利、如何行使这些权利，企业应使用简洁易懂的语言告知用户，必要时可使用视频等可视化渠道向用户解释其中的复杂概念。

合法（Lawfulness）要求企业的数据处理行为必须有合法依据，没有合法依据即为非法处理。GDPR第六条中列举了数据处理的六项合法事由：

（1）已取得用户同意；

（2）对履行合同是必要的；

（3）对履行法律义务是必要的；

（4）为保护用户或其他人的正当利益；

（5）为公共利益是必要的；

（6）符合企业的正当利益。

对合法依据的判定较为复杂，须结合每一项的实际情况具体分析。以企业的正当利益为例，GDPR规定，以反欺诈、IT安全为目的进行的数据处理构成企业的正当利益。此外还应确认，对个人权益的保护是否胜过企业追求的正当利益。

02 目的限制

GDPR规定，企业只能基于“具体、明确及合法的目的”收集个人数据，如果企业的处理目的发生了变化，应第一时间确认新目的是否超出了之前的目的范围。一旦新目的与之前的目的有冲突，企业在重新获取用户同意后，方可继续处理数据。

例如，线上商店A为完成订单，需要收集客户的姓名、地址、联系方式等个人信息。商店A准备购入一套CRM软件，这套软件不仅可以存储客户的个人信息，还可以通过已有数据分析客户的购买力，从而为每位客户提供针对性的广告服务。而这种以个性化广告推荐为目的进行的数据分析已超出最初的目的——完成订单。如果商店A希望使用这套软件的所有功能，它应对新的数据处理目的进行评估，明确其是否拥有有效的法律依据，根据评估结果决定是否购入这套软件，或仅使用这套软件的部分功能。

03 数据最小化

GDPR规定，数据控制者所收集或处理的个人数据应“够用、相关且为处理目的所需”。这也就意味着企业应仅收集与其提供的服务相关的个人信息。

来源：Access Now

如果企业希望进一步处理已有数据，应首先判断完成这一处理行为是否可以通过处理更少的数据来完成。如果是的话，企业应删除不必要的数据。此外，假名化、匿名化、集群化等技术可以避免识别到特定数据主体，也可作为实现数据最小化的实现方法。 举例来说，实体书店B打算开始经营网店，它需要设立一套表单收集客户订单信息，包括姓名、地址、联系方式等。但实际情况是，并非所有订单需要的个人信息类别都是一样的。如果客户买的是电子书，客户不必提供自己的详细地址。为遵循数据最小化原则，书店应准备两套表单，一套用于向买纸质书的客户，可收集客户的详细地址，另一套则用于买电子书的客户。

04 准确

GDPR第六条第四款规定，个人数据必须“准确且必要时随时更新；考虑到个人数据处理的目的，应采取一切合理措施，确保不正确的个人资料立即被删除或更正。”

不准确的个人数据有可能会对数据主体的权利产生威胁。例如，错误的数据有可能会导致医生做出错误的诊断，这对患者而言很有可能是致命的。

05 存储限制

数据在存储时也应遵循最小化原则：再需要的数据应及时删除，不需要识别个人身份的数据应在假名化、匿名化后再存储。但也有一些例外情况。例如，如果这些数据对公共利益或历史研究有用，数据控制者可继续留存这些数据，并阐述延长存储期限的原因。

与GDPR所规定的最短存储期限相比，我国对数据的存储期限则制定了强制性要求，个人数据在处理完毕后可能需要长期储存。《网络安全法》规定，网络运营者应“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。”《电子商务法》也规定，“商品和服务信息、交易信息保存时间自交易完成之日起不少于三年。”跨国企业在数据的存储期限上应格外注意。

06 完整与保密

GDPR规定，数据控制者“以确保个人数据适度安全的方式处理，包括使用适当的技术或组织措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施。”简言之，企业应采取一定的组织方式或技术手段，确保数据安全，避免发生数据泄露。

07 问责与合规

GDPR第五条第二款规定，“控制者应对遵守第一款中的规定负责，并能做出证明（可问责性）。”尤其在发生数据安全事件时，数据控制者需要提供证据证明，自己已严格遵循以上六条原则，且采用了合适且有效的保护方法，否则需要承担相应的责任。

08 合规建议

这七条原则是GDPR数据保护合规体系的核心，它们虽然没有规定具体的操作细则，但绝不可忽视它们的指导意义。从实际操作上看，七条原则要求数据控制者对自己的数据处理行为有着足够的风险认知，并采取适当且有效的措施将风险降到最低，这也意味着企业无法套用其他现有的保护措施，必须根据自己的业务情况制定针对性的保护机制，并定期评估是否需要更改。这种以风险为基础的数据保护框架可以最大限度地确保数据安全，保护数据主体权利。

为减少企业的合规负担，欧盟以及国际数据保护机构出台的标准和行为守则也被认为是GDPR合规的有效证明。ISO 27001正是一种与GDPR兼容度较高的认证框架，它所提出的应对风险的方法与GDPR对影响评估的要求是一致的。通过这些认证虽不能确保企业的数据处理行为完全符合GDPR，但标准化的框架能证明企业采取了适当的技术和组织手段以预防事故，从而减少企业的举证压力。