干货|GDPR数据处理的原理和依据是什么？

数据处理原则源自并包含于早期国际及欧洲数据保护文书中。欧洲委员会《关于在自动处理个人数据方面保护个人的公约》（简称“第108号公约”）是首份确立数据保护原则的具有法律约束力的国际文件。从欧洲视角来看，《数据保护指令》（简称“指令”）同样纳入了基本的数据保护原则。

GDPR 重新定义并强化了指令中原有的基本原则，同时通过明确引入问责制原则进一步加强了这些原则，即数据控制者须承担证明其处理行为符合上述原则的义务。

合法性、公平性和透明度

根据GDPR，“个人数据应以合法、公平和透明的方式对数据主体进行处理”。换言之，只有在具备合法依据，并且处理过程以公平和透明的方式进行，使个人了解其数据如何被收集和使用的情况下，方可处理个人数据。

1.合法性

合法性意味着只有在数据控制者具备合法理由的情况下，才能处理个人数据。因此，合法性要求数据处理行为必须符合适用法律的规定，并在其允许的范围内进行。根据具体情况，适用法律可能包括数据保护法，以及涉及就业、竞争、健康、税收或其他公共利益目标的其他相关法规。

简而言之，数据处理要合法，必须符合所有适用于该情况的法律规定。

为在欧盟范围内实现协调，GDPR 通过设定上述法律标准及相应的最低要求，提供了对个人权利和自由的高度保护。然而，成员国在符合GDPR的前提下，仍保留引入或维持国家层面规定的权利，以进一步细化特定情况下的实施要求。例如，GDPR明确允许成员国在特定处理情境（如雇佣关系、未成年人年龄界定、基因或生物特征数据保护，或统计、历史及科研用途等）中制定更具体的法律要求。

关于各项合法处理标准的详细分析，请参见后续内容。

2.公平性

个人数据的处理除合法外，还必须公平。公平性原则本质上要求数据主体应知悉其个人数据将被处理的事实，包括数据如何被收集、存储和使用，使其能够在知情的情况下决定是否同意处理，并行使其数据保护权利。

然而，在某些情况下，法律自动允许处理，因此无论数据主体是否知情或同意，该处理均被视为公平。例如，税务机关从负有法定义务提供员工薪酬信息的雇主处获取数据，无论员工是否同意或知情，该获取行为仍属公平。

此外，公平性还要求评估处理对数据主体的影响。若处理对个人造成不合理或未经正当理由的负面影响，则视为不公平。例如，旅行社通过跟踪技术分析用户浏览行为，若基于用户多次访问某目的地页面而自动提高价格，可能构成不公平处理。

相反，若处理虽对个人产生负面影响，但该影响具备正当理由（如为公共安全而处理超速驾驶者的数据），则仍可视为公平。

确保公平处理要求控制者综合考虑所有相关情况，通过提供充分信息及建立适当机制保持透明度，使个人能够在知情的情况下作出选择和行使权利，除非处理另有合法依据。

3.透明度

透明度原则与公平性直接相关，要求控制者在处理个人数据时对数据主体保持公开和明确。GDPR 取消了指令中关于向数据保护机构（DPA）进行一般性通知的义务，认为其未必有助于保护个人数据，转而强调建立有效的程序与机制，以加强对数据主体本人的信息告知。

GDPR 要求控制者根据数据获取方式（直接或间接）提供最低限度的信息。若数据直接从数据主体获取且其已知情，或存在以下情形，控制者可免除告知义务：

GDPR 同时要求信息应清晰、简洁、易于理解，并以可访问的方式呈现。控制者需根据数据类型、收集方式及来源选择最合适的信息提供方式。具体实践建议包括：

• 处理儿童数据时，应使用简单明了的语言，确保儿童能够理解；

• 在医疗等专业场景中，应使用通俗语言向患者解释专业术语；

• 在数字环境中，推荐使用简短的分层隐私声明和即时提示（如弹窗），避免冗长法律文本；

• 鼓励使用标准化图标、符号或短视频等可视化方式，以提升信息传达的友好性和有效性。