4. 合法处理基础:同意、合同履行、法律义务、重大利益、公共利益、正当利益

聊到 GDPR,有个问题我几乎每次培训都会被问到:“到底凭什么可以处理用户数据?”

说白了,GDPR 不是禁止你处理数据,而是要求你有个“正当理由”。这个理由,就是合法处理基础。一共六种,缺一不可,选错了就是违规。

核心原则:处理个人数据前,必须至少满足以下六种合法基础之一。没有例外。

4.1 同意(Consent)

这是大家最熟悉的,也是最容易被滥用的。我见过太多公司把“同意”当万能钥匙,结果被罚得很惨。

同意的关键要求:

  • 自由给予:用户必须能真正拒绝,不能“不同意就不让用”。
  • 具体明确:不能笼统地说“我同意处理我的数据”,要说明处理目的。
  • 知情:用户得清楚知道自己在同意什么。
  • 可撤回:撤回同意必须和给予同意一样容易。

我的经验:我曾经帮一家电商平台整改。他们原来的同意弹窗是“我同意所有条款”,用户只能点“同意”。我建议改成:每个处理目的单独勾选,并且“拒绝”按钮和“同意”一样大。改完后,同意率下降了30%,但合规风险降了90%。

避坑指南:我曾经见过一个案例,公司用“静默同意”(用户不操作就视为同意),直接被罚款2000万欧元。记住:沉默不等于同意。

4.2 合同履行(Contractual Necessity)

这个基础很实用。如果你和用户签了合同,处理数据是履行合同所必需的,那就不需要额外同意。

举个例子:

  • 你卖东西,需要用户地址来发货——这是合同履行。
  • 你卖东西,顺便把用户数据卖给广告商——这不是合同履行,需要单独同意。

注意:“合同履行”不能无限扩大。我见过有公司把“推送营销”也写进合同里,说是合同履行的一部分。这明显是滥用。

4.3 法律义务(Legal Obligation)

法律要求你处理数据,你就必须处理。比如:

  • 税务部门要求保留交易记录。
  • 劳动法要求保留员工工资单。
  • 反洗钱法要求核实客户身份。

这种情况下,你不需要用户同意,但必须明确告知用户:这是法律要求的。

我的习惯:我会在隐私政策里单独列一个章节,叫“法律义务下的数据处理”,把相关法律条文和保留期限都写清楚。这样用户能理解,监管来了也能交代。

4.4 重大利益(Vital Interests)

这个基础用于生死攸关的场景。比如:

  • 用户昏迷了,医院需要调取他的医疗数据来抢救。
  • 自然灾害中,救援人员需要知道受灾者的位置信息。

说实话,这个基础在日常业务中很少用到。但一旦用到,就是救命的事。

注意:不能滥用“重大利益”。我见过有公司说“不卖数据我们就活不下去”,这显然不是重大利益。重大利益指的是数据主体本人的生命健康,不是公司的利益。

4.5 公共利益(Public Interest)

政府或公共机构为了公共利益处理数据,比如:

  • 公共卫生监测(比如疫情追踪)。
  • 科学研究(比如癌症数据统计)。
  • 档案管理(比如历史记录保存)。

这个基础通常有法律授权,不能随便用。你想想看,如果一家私企说“为了公共利益处理数据”,监管机构会怎么想?

4.6 正当利益(Legitimate Interests)

这是最灵活,也是最容易被误解的基础。说白了,就是你的利益和用户的利益之间做个平衡。

适用场景:

  • 防止欺诈(比如银行分析交易模式)。
  • 网络安全(比如监控异常登录)。
  • 直接营销(但必须给用户退出的权利)。

关键:必须做“利益平衡测试”(Legitimate Interests Assessment, LIA)。我建议你把这个测试文档化,记录:

  1. 你的正当利益是什么?
  2. 对用户的影响有多大?
  3. 有没有更少侵入性的方式?

我的经验:我曾经帮一家SaaS公司做LIA。他们想用客户的使用数据来优化产品。我们做了测试:利益是“改进产品”,影响是“分析匿名化数据”,更少侵入的方式是“只分析聚合数据”。最后结论是:可以,但必须给用户选择退出的权利。

知识体系图:六种合法处理基础

下面这张图帮你理清这六种基础的关系和适用场景:

GDPR 六种合法处理基础 合法处理 基础 同意 自由、具体、知情、可撤回 合同履行 履行合同所必需 法律义务 法律要求必须处理 重大利益 保护生命健康 公共利益 公共卫生、科学研究 正当利益 需做利益平衡测试 选择合法基础时,要考虑处理目的、数据性质、用户期望 以及是否有更少侵入性的替代方案

如何选择正确的合法基础?

这个问题没有标准答案,但我有个简单的判断流程:

  1. 法律要求吗? → 是 → 用“法律义务”
  2. 履行合同必需吗? → 是 → 用“合同履行”
  3. 能获得用户同意吗? → 是 → 用“同意”
  4. 有正当利益且不影响用户吗? → 是 → 用“正当利益”
  5. 涉及公共利益或重大利益吗? → 是 → 用对应的基础

重要提醒:同一个处理活动可以有不同的合法基础,但你不能随意切换。比如,你一开始用“同意”收集数据,后来想改成“正当利益”——不行,除非你重新告知用户。

总结表:六种合法基础对比

合法基础 适用场景 是否需要告知 用户权利
同意 营销、非必需数据处理 随时撤回
合同履行 发货、提供服务 有限
法律义务 税务、劳动法 有限
重大利益 紧急医疗 事后告知 有限
公共利益 公共卫生、科研 有限
正当利益 防欺诈、网络安全 反对权

嗯,这六种基础其实不难,关键是选对、用对、记录对。我建议你把每个数据处理活动都对应到一个合法基础,并形成文档。这样监管来了,你也能从容应对。

蓝海数据掘金营,专注资料整理