4. 合法处理基础:同意、合同履行、法律义务、重大利益、公共利益、正当利益
聊到 GDPR,有个问题我几乎每次培训都会被问到:“到底凭什么可以处理用户数据?”
说白了,GDPR 不是禁止你处理数据,而是要求你有个“正当理由”。这个理由,就是合法处理基础。一共六种,缺一不可,选错了就是违规。
核心原则:处理个人数据前,必须至少满足以下六种合法基础之一。没有例外。
4.1 同意(Consent)
这是大家最熟悉的,也是最容易被滥用的。我见过太多公司把“同意”当万能钥匙,结果被罚得很惨。
同意的关键要求:
- 自由给予:用户必须能真正拒绝,不能“不同意就不让用”。
- 具体明确:不能笼统地说“我同意处理我的数据”,要说明处理目的。
- 知情:用户得清楚知道自己在同意什么。
- 可撤回:撤回同意必须和给予同意一样容易。
我的经验:我曾经帮一家电商平台整改。他们原来的同意弹窗是“我同意所有条款”,用户只能点“同意”。我建议改成:每个处理目的单独勾选,并且“拒绝”按钮和“同意”一样大。改完后,同意率下降了30%,但合规风险降了90%。
避坑指南:我曾经见过一个案例,公司用“静默同意”(用户不操作就视为同意),直接被罚款2000万欧元。记住:沉默不等于同意。
4.2 合同履行(Contractual Necessity)
这个基础很实用。如果你和用户签了合同,处理数据是履行合同所必需的,那就不需要额外同意。
举个例子:
- 你卖东西,需要用户地址来发货——这是合同履行。
- 你卖东西,顺便把用户数据卖给广告商——这不是合同履行,需要单独同意。
注意:“合同履行”不能无限扩大。我见过有公司把“推送营销”也写进合同里,说是合同履行的一部分。这明显是滥用。
4.3 法律义务(Legal Obligation)
法律要求你处理数据,你就必须处理。比如:
- 税务部门要求保留交易记录。
- 劳动法要求保留员工工资单。
- 反洗钱法要求核实客户身份。
这种情况下,你不需要用户同意,但必须明确告知用户:这是法律要求的。
我的习惯:我会在隐私政策里单独列一个章节,叫“法律义务下的数据处理”,把相关法律条文和保留期限都写清楚。这样用户能理解,监管来了也能交代。
4.4 重大利益(Vital Interests)
这个基础用于生死攸关的场景。比如:
- 用户昏迷了,医院需要调取他的医疗数据来抢救。
- 自然灾害中,救援人员需要知道受灾者的位置信息。
说实话,这个基础在日常业务中很少用到。但一旦用到,就是救命的事。
注意:不能滥用“重大利益”。我见过有公司说“不卖数据我们就活不下去”,这显然不是重大利益。重大利益指的是数据主体本人的生命健康,不是公司的利益。
4.5 公共利益(Public Interest)
政府或公共机构为了公共利益处理数据,比如:
- 公共卫生监测(比如疫情追踪)。
- 科学研究(比如癌症数据统计)。
- 档案管理(比如历史记录保存)。
这个基础通常有法律授权,不能随便用。你想想看,如果一家私企说“为了公共利益处理数据”,监管机构会怎么想?
4.6 正当利益(Legitimate Interests)
这是最灵活,也是最容易被误解的基础。说白了,就是你的利益和用户的利益之间做个平衡。
适用场景:
- 防止欺诈(比如银行分析交易模式)。
- 网络安全(比如监控异常登录)。
- 直接营销(但必须给用户退出的权利)。
关键:必须做“利益平衡测试”(Legitimate Interests Assessment, LIA)。我建议你把这个测试文档化,记录:
- 你的正当利益是什么?
- 对用户的影响有多大?
- 有没有更少侵入性的方式?
我的经验:我曾经帮一家SaaS公司做LIA。他们想用客户的使用数据来优化产品。我们做了测试:利益是“改进产品”,影响是“分析匿名化数据”,更少侵入的方式是“只分析聚合数据”。最后结论是:可以,但必须给用户选择退出的权利。
知识体系图:六种合法处理基础
下面这张图帮你理清这六种基础的关系和适用场景:
如何选择正确的合法基础?
这个问题没有标准答案,但我有个简单的判断流程:
- 法律要求吗? → 是 → 用“法律义务”
- 履行合同必需吗? → 是 → 用“合同履行”
- 能获得用户同意吗? → 是 → 用“同意”
- 有正当利益且不影响用户吗? → 是 → 用“正当利益”
- 涉及公共利益或重大利益吗? → 是 → 用对应的基础
重要提醒:同一个处理活动可以有不同的合法基础,但你不能随意切换。比如,你一开始用“同意”收集数据,后来想改成“正当利益”——不行,除非你重新告知用户。
总结表:六种合法基础对比
| 合法基础 | 适用场景 | 是否需要告知 | 用户权利 |
|---|---|---|---|
| 同意 | 营销、非必需数据处理 | 是 | 随时撤回 |
| 合同履行 | 发货、提供服务 | 是 | 有限 |
| 法律义务 | 税务、劳动法 | 是 | 有限 |
| 重大利益 | 紧急医疗 | 事后告知 | 有限 |
| 公共利益 | 公共卫生、科研 | 是 | 有限 |
| 正当利益 | 防欺诈、网络安全 | 是 | 反对权 |
嗯,这六种基础其实不难,关键是选对、用对、记录对。我建议你把每个数据处理活动都对应到一个合法基础,并形成文档。这样监管来了,你也能从容应对。