最近公司在和欧洲律所合作 GDPR 合规落地方案,要制定和执行一个符合 GDPR 的合规方案,首先要理解一点,即数据控制者处理用户数据的合法依据是什么?GDPR 的第五条款规定用户数据处理应当合法,并列出了满足数据处理合法性的六个合法依据

1. 数据主体同意:数据主体同意基于某一或多个目的处理其个人数据。

The data subject has given consent to the processing of his or her personal data for one or more specific purposes.

2. 数据处理行为系履行合同所必需、且数据主体为该合同一方当事人;或此数据处理行为是数据主体进入合同(签约)所必须要采取的步骤或行动。

Processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract.

3. 数据处理行为为数据控制者履行其法律义务满足合规要求所必须的。

Processing is necessary for compliance with a legal obligation to which the controller is subject.

4. 数据处理行为是为保护数据主体或其他自然人切身利益之必需。

Processing is necessary in order to protect the vital interests of the data subject or of another natural person.

5. 数据处理行为是为了履行公共利益或执行官方授权(法律授权)行为所必须的。

Processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller.

6. 数据处理行为是必要的,是为追求数据控制者自身或第三方的合法利益的目的,除非这些利益被数据主体的基本权利和自由所涵盖,这就需要保护个人数据,特别数据主体是一个孩子的时候。

Processing is necessary for the purposes

of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject, which

require protection of personal data, in particular where the data subject is a child.


一、数据处理之合法依据(Lawful basis for processing)到底意味着什么?


基于同意处理用户数据是绝大多数互联网公司方式之一,但这种方式操作起来非常复杂,原因在于一方面这种同意不得滥用,不得违反 GDPR 的关于用户隐私的规定和原则,也就是即使用户同意,这种数据的收集也可能违反 GDPR 的规定,另外一个点就是数据控制者需要保证同意的做出和撤回同样容易,但撤回操作对很多游戏来说非常难,毕竟游戏进度很难百分百回到某个时刻,操作起来非常大。



很多公司会错误地认为只要数据处理或收集行为得到用户的同意和授权,就算是合法处理数据,这种想法过于简单,GDPR 在第 7 条款中列出了同意的条件:

1. 当数据处理行为是基于同意,那么数据控制者应当证明数据主体同意其处理其个人数据,这种同意应当是可以证明的,也就是需要记录用户同意,也就是对数据主体的同意这一行为或动作在后台进行记录。

Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data.

2. 如数据主体通过书面声明的方式做出同意,且书面声明涉及其他事项, 那么这种同意做出应以易于理解且与其他事项显著区别的形式呈现。任何违反 GDPR 的条款均不具约束力。

If the data subject’s consent is given in the context of a written declaration which also concerns other matters, the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language. Any part of such a declaration which constitutes an infringement of this Regulation shall not be binding.

3.  数据主体有权随时撤回其同意。同意的撤回不应影响在撤回前基于同意做出的合法数据处理。在做出同意前,数据主体应被告知上述权利。撤回同意应与做出同意拥有同样的难易度。简单说,就是同意包含两面,一方面是同意,另外一方面是数据控制者有权随时撤回其同意

The data subject shall have the right to withdraw his or her consent at any time. 2The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. 3Prior to giving consent, the data subject shall be informed thereof. 4It shall be as easy to withdraw as to give consent.

4.  当判断同意是否是自由做出时,应尽最大可能考虑在合同的履行包括服务的提供是否是取得同意的条件,基于同意处理用户数据的行为对于履行合同是否是必要的。

When assessing whether consent is freely given, utmost account shall be taken of whether, inter alia, the performance of a contract, including the provision of a service, is conditional on consent to the processing of personal data that is not necessary for the performance of that contract.




GDPR 许可数据控制者为追求其或第三方合法利益对数据主体数据进行处理和收集,但这种收集不应当侵犯数据主体基本数据权利和自由,也就是这种基于合法利益的数据收集应当保证数据主体的基本数据权利和自由。


1. The data subject’s right of access.


2. The data subject’s right to rectification.


3. The previously mentioned right to erasure or right to be forgotten.


4. The data subject right to restriction of processing.


5. The right to be informed. 


6. The right to data portability.


7. GDPR Article 21 is all about the data subject’s right to object.


8. The data subject right not not to be subject to a decision based solely on automated processing



四、基于 GDPR 其他规定处理用户数据

基于用户同意(数据主体同意)和基于组织利益(数据控制者或其他第三方)处理个人数据,是数据控制者处理个人数据的两种主要的合法依据,GDPR一共规定了六种合法依据,除上述两种合法依据外,GDPR 还列出了如下合法依据:

1.  数据处理行为系履行合同所必需,且数据主体为该合同一方当事人;或此数据处理行为是数据主体进入合同(签约)所必须要采取的步骤或行动。

Processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract.

2.  数据处理行为为数据控制者履行其法律义务满足合规要求所必须的。

Processing is necessary for compliance with a legal obligation to which the controller is subject.

3.   数据处理行为是为保护数据主体或其他自然人切身利益之必需。

Processing is necessary in order to protect the vital interests of the data subject or of another natural person.

4.  数据处理行为是为了履行公共利益或执行官方授权(法律授权)行为所必须的。

Processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller.

其中,基于履约行为处理个人数据适用于大部分金融机构,不适合游戏公司;基于法律义务处理数据取决于公司所在的行业,比如金融行业处于自身合规需求必须进行收集用户数据调查洗钱行为;基于保护数据主体自身利益或其他第三方切身利益也比较常见,比如 FACEBOOK 推出 AI 自杀检测功能就是为了保护数据主体的自身利益;基于公共利益或执行官方授权行为处理个人数据常见于国家安全,反恐等,比如 FBI 要求苹果破解恐怖分子手机,不过苹果公司最终拒绝,但如果发生在欧盟范围内,苹果如不配合就触犯了 GDPR 的规定。

五、Conclusion 总结

GDPR 合规的第一步是确定数据处理和收集范围,然后就是要找出数据处理的合法依据。而合法依据情况比较复杂,GDPR 一共列出了六种依据,不同公司、不同行业合法依据均不相同,比如金融机构可能涵盖基于同意、履行法律义务、国家授权机关要求、履行合同等依据对数据进行处理,而互联网公司大部分基于同意或追求合法利益对数据进行处理,当然也可能在特定条件下依据其他的合法依据处理个人数据,视不同数据可适用不同的合法依据。但若基于同意处理用户数据,务必注意取得同意的条件和要求。

