2026年1月6日,德国汉堡数据保护和信息自由专员(Hamburg Commissioner for Data Protection and Freedom of Information,HmbBfDI)正式发布一份用于认定和评估“合法利益”法律依据的系统性问题清单。
一、基于合法利益的三步评估
依据《通用数据保护条例》(GDPR)第 6 条第 1 款第 (f) 项的“合法利益”, 是 GDPR 规定的六种个人数据合法处理法律依据之一。该法律依据具有中心地位,但同时也更具挑战性: 既不应在其他法律依据同样可能适用的情况下,过早地将其作为少见或意外场景的“兜底选项”, 也不应仅因其看似比其他法律依据限制更少而直接适用。
GDPR 虽在序言中提供了合法利益的示例,但不存在穷尽清单;因此,数据控制者必须在每一个具体个案中 审慎检查并记录合法利益条件是否满足。
若要以合法利益作为数据处理依据,以下三个条件必须同时满足:
必须存在合法利益;
为追求该利益,个人数据处理是必要的;
数据主体的利益或基本权利与自由不应压倒该利益。
由于立法对该法律依据采取开放式表述,实践中常出现不确定性与疑问: 何时构成合法利益?必要的利益衡量应如何进行?又如何以可理解的方式记录, 从而证明数据主体权利与自由并未压倒该利益?
为向数据控制者、数据保护官及所有相关方提供实践指引,现提供本《合法利益评估问题清单》。 本清单以欧洲数据保护委员会(EDPB) 《指南 1/2024:基于 GDPR 第 6 条第 1 款第 (f) 项的个人数据处理》为基础, 并遵循其中关于合法利益作为法律依据的合规适用建议。 本清单旨在帮助系统性审查合法利益的适用要件,并以可理解方式记录利益衡量的关键方面。 本清单尤其面向在日常工作中经常需要在开始处理活动前,判断是否可依据合法利益开展处理的实务人员。
利益衡量应以客观方式进行,同时纳入自身与第三方利益以及数据主体利益的考虑。 如存在疑义或数据主体利益可能占优,则应复核技术与组织措施,并确保 GDPR 原则得到持续落实。
并非必须对本指南中的所有问题逐项、细致到最小颗粒度作答;具体取决于个案情况。 视数据处理的复杂性与敏感性,可对部分方面作更深入审查或参考更多资料。
本指南旨在提升透明度并强化决策可追溯性——既面向数据控制者,也面向数据保护监管机构。 本出版物旨在有助于澄清法律框架并支持合法利益的实践适用。
为形成扎实且法律风险更可控的评估,建议同时参考 EDPB《指南 1/2024》以及欧洲法院(ECJ)的最新判例。 本指南不保证完整性或时效性,亦不构成法律咨询。若需具有约束力的信息或涉及具体法律问题, 建议咨询具备资质的法律顾问。
本指南用于记录 GDPR 第 6 条第 1 款第 (f) 项意义上的利益衡量, 可作为完成全面利益衡量的证明材料,供提交或出示给汉堡数据保护和信息自由专员或其他相关方。
二、用于确定合法利益的评估(问卷)
在基于 GDPR 第 6 条第 1 款第 (f) 项的合法利益开展数据处理之前, 数据控制者必须审慎检查并记录:该法律依据的三个必要条件是否同时满足。
数据处理信息
- 数据控制者(Controller):
- 数据处理描述:
- 涉及的数据:
- 评估人员姓名与日期:
1. 合法利益
“若要依据 GDPR 第 6 条第 1 款第 (f) 项进行处理,必须追求合法利益。”
首先,数据控制者或第三方必须识别出“合法利益”。本评估第一步中的“利益”,是指数据控制者或第三方 可能从特定处理活动中获得的更广泛利益或收益。原则上,法律的、事实的、经济的或理念性的利益均可能构成合法利益。
注意:作为数据控制者,你有义务向数据主体告知所依据的合法利益。
编号 | 问题 | 说明 / 提示 / 示例 | 记录/回答 |
|---|---|---|---|
1.1 | 该处理活动中的“利益”是什么? | 指期望通过处理活动获得的一般性收益。 示例:“产品营销”。GDPR 序言第 47–49 段包含合法利益示例。 | |
1.2 | 计划处理的具体目的是什么? | 指计划数据处理的目标/具体原因。 示例:“通过邮寄方式向自有客户进行直接营销(例如发送广告目录)”。 | |
1.3 | 谁在追求该利益? | GDPR 第 6 条第 1 款第 (f) 项涵盖自身与第三方利益。 “第三方”系指除数据主体、数据控制者、数据处理者以及在控制者或处理者直接授权下获准处理个人数据的人员之外的自然人或法人、 公共机构、机关或其他机构(GDPR 第 4 条第 10 项)。 | |
1.4 | 该利益是否属于合法利益且不违反适用法律? | 违反适用的欧盟/成员国法律的利益不构成合法利益。 | |
1.5 | 该利益是否清晰且精准表述? | 所追求合法利益的范围必须清楚界定, 以便在第三步中与数据主体的利益及基本权利进行权衡。 | |
1.6 | 该利益是否真实且当前存在(而非推测性)? | 推测性或假设性利益无法得到恰当评估,因此不能正当化数据处理。 示例:“为未来、且尚未明确的商业想法而保留数据”。 |
2. 必要性
“为追求所主张的合法利益,处理是否必要?”
此处需审查:是否可以用更少的数据,或以对权利干预更小的方式,实现数据处理目的。 处理活动必须与 GDPR 第 5 条第 1 款第 (c) 项规定的数据最小化原则相一致。
说明:所处理数据应与目的相关,并限于必要范围。 若存在其他同等有效、且对数据主体基本权利与自由限制更小的方式,应优先采用该方式。
编号 | 问题 | 说明 / 提示 / 示例 | 记录/回答 |
|---|---|---|---|
2.1 | 为实现该利益,处理是否绝对必要?是否也存在侵入性更低的方式? | 必须不存在侵入性更低的替代方式,应审查可替代方案。 示例:“匿名化、假名化、以合成数据替代真实数据等”。 | |
2.2 | 拟处理的数据是否限于必要范围? | 必须遵循数据最小化原则(GDPR 第 5 条第 1 款第 (c) 项)。 仅可处理对特定目的而言充分、相关且必要的数据。 尤其是,敏感数据(GDPR 第 9 条)仅可在法律规定的狭窄例外情形下处理(GDPR 第 9 条第 2 款)。 | |
2.3 | 受影响的数据主体人数是否限制在实现目的所需的最小范围? | 示例:“限制数据记录数量、抽样而非全量调查、匿名化等”。 | |
2.4 | 该处理是一次性还是持续性进行? | 若为持续性处理,必要性必须持续存在。 一次确立的合法利益并不自动正当化持续性处理(另见 2.6)。 | |
2.5 | 所有处理步骤是否均为实现目的所必需?是否可省略部分步骤? | 处理步骤应逐一审查与评估。 | |
2.6 | 是否有删除方案?保存期限是否已确定? | 是否建立持续的数据保护管理评估流程(GDPR 第 32 条)? 个人数据仅可在实现预定目的所需期限内保存(序言第 39 段与 GDPR 第 17 条第 1 款第 (a) 项)。 当目的不再适用时,通常应删除数据。同时也可能存在法定保存期限,例如德国《商法典》(HGB)、《税收法典》(AO)、 《所得税法》(EStG)、社会保障法或《工商业条例》等。 应对每类数据记录保存期限,并建立自动化删除流程。 | |
2.7 | 是否对既有及计划中的数据流向有概览? | 数据流向对第三方亦应可理解且透明。 数据流向图可用于内部可视化与问责,并便于向管理层、客户、数据主体、监管机构等说明。 |
3. 利益衡量
“数据主体的利益、基本自由与权利,是否压倒数据控制者的合法利益?”
此处需审查:在第 1 与第 2 步所确认并论证的合法利益,是否未被数据主体的利益或其基本权利与自由所压倒。 这要求对相互冲突的权利与利益进行权衡,通常取决于拟处理活动的个案具体情境。 评估时应考虑:个人数据性质、数据主体合理预期、处理可能影响,以及既有流程与保护措施。
3.A 数据主体的基本权利、基本自由与利益
编号 | 问题 | 说明 / 提示 / 示例 | 记录/回答 |
|---|---|---|---|
3.1 | 数据主体的哪些基本权利受到影响? | 例如:隐私权、数据保护权、不受歧视权、自由与安全权、 表达与信息自由、思想/良心/宗教自由、集会与结社自由、 禁止歧视、财产权、身体与精神完整性权等。 | |
3.2 | 相关人员的基本自由是否受到影响? | 《欧盟运作条约》(TFEU)下的货物自由流通、劳动者自由流动、 设立自由、服务提供自由、资本与支付自由流动等。 | |
3.3 | 除基本权利与基本自由外,是否也考虑了数据主体的“利益”? | 指所有可能受相关处理影响的利益,例如: • 财务利益:如避免对投资、获利机会、退休保障、信用评级、保险保障造成不利影响;• 社会利益:如保护社会生活领域、避免名誉损害、歧视、不受欢迎的联系/接触;• 个人利益:如通过处理涉及性生活或性取向的数据而影响亲密性与隐私的保护。 |
3.B 个人数据的类型
编号 | 问题 | 说明 / 提示 / 示例 | 记录/回答 |
|---|---|---|---|
3.4 | 拟处理的数据属于何种类型?相关人员以何种身份受到影响? | 例如:“以其个人身份或职业身份受到影响”。 | |
3.5 | 是否涉及特殊类别个人数据(GDPR 第 9 条)? | 敏感数据尤其包括:族裔来源与种族、政治观点、宗教或哲学信仰、 工会会员资格、基因与生物识别数据(如指纹)、健康数据、 与性生活或性取向有关的数据。 若处理该类数据,在利益衡量中应赋予数据主体潜在利益更高权重;并须满足 GDPR 第 9 条第 2 款要求。即便适用第 9 条第 2 款例外,基于第 6 条第 1 款第 (f) 项的利益衡量仍可能倾向数据主体 (参见欧洲法院 2023 年 12 月 21 日判决,案号 C-667/21)。 | |
3.6 | 数据是否与儿童有关? | 凡涉及儿童的数据处理措施,儿童最佳利益应作为首要考量。 此处应考虑所有权利,而不仅是数据保护权(参见 GDPR 序言第 38 段)。 | |
3.7 | 数据是否涉及刑事定罪与犯罪(GDPR 第 10 条)? | GDPR 第 10 条数据(例如“无犯罪记录证明”)同样高度敏感。 处理应仅在官方监督下进行,或在欧盟法/国家法允许的情况下进行。 | |
3.8 | 是否属于“私密数据”? | 即使未被明确列入第 9 条或第 10 条,一些数据仍可能被数据主体视为特别敏感或私密。 示例:“财务数据、位置数据或家庭数据”。 |
3.C 数据主体的合理预期(GDPR 序言第 47 段第 1 句)
问题:数据主体在收集个人数据之时,并结合收集情境,是否能够合理预见该数据可能为拟定目的而被处理?
编号 | 问题 | 说明 / 提示 / 示例 | 记录 / 回答 |
|---|---|---|---|
3.9 | 数据在何处、何时被收集? | 若数据被用于完全新的、难以识别的目的,或用于超出原始目的的用途, 且数据主体在收集时无法合理预期该处理(另参 GDPR 第 6 条第 4 款),则该因素倾向于支持数据主体。 | |
3.10 | 数据如何收集? | 使用了哪些技术与方法(例如“在线问卷、竞赛/抽奖、网页抓取、人工智能等”)? 这些做法是否为数据主体普遍所知并对其透明? | |
3.11 | 如何向数据主体实现处理透明? | 必须遵守 GDPR 第 13 与第 14 条的信息告知义务。 该信息应在数据收集时立即提供;否则,由于缺乏透明度,处理的合法性将不能成立。 |
3.D 数据主体与控制者之间的关系
编号 | 问题 | 说明 / 提示 / 示例 | 记录/回答 |
|---|---|---|---|
3.12 | 与数据主体之间是否存在关系? | 若数据主体与控制者之间已存在关系,将提高数据处理的可预见性(GDPR 序言第 47 段第 2 句)。 示例:“数据主体已是控制者客户”。 |
3.E 处理对数据主体的可能影响
编号 | 问题 | 说明 / 提示 / 示例 | 记录 / 回答 |
|---|---|---|---|
3.13 | 数据收集范围有多大?影响多少人? | 处理范围越大,影响数据主体权利与利益的风险越高。 | |
3.14 | 对数据主体可能产生哪些负面影响? | 潜在影响发生的可能性与严重性如何? 是否进行了数据保护影响评估(DPIA)或阈值测试? | |
3.15 | 对数据主体是否可能产生积极影响? | 该处理是否符合数据主体客观上可推定的利益? 例如:节省时间、获得金钱利益等。 | |
3.16 | 相关人员是否失去对其个人数据使用的控制? | 是否有保障措施以降低影响?必要时,相关人员能否自行采取保护措施? |
3.F 处理及保护措施
编号 | 问题 | 说明/提示/示例 | 记录 / 回答 |
|---|---|---|---|
3.17 | 谁在处理数据?有多少人可访问? | 处理人员/企业具备何种资质?数据是否被保密处理? 是否存在 GDPR 第 32 条第 4 款意义上的访问限制? | |
3.18 | 是否发生 GDPR 第 22 条意义上的自动化决策? | 依据 GDPR 第 22 条第 2 款,数据主体有权不受仅基于自动化处理(包括画像)的决定所约束, 该决定对其产生法律效力或对其造成类似重大影响。 若开展此类处理,在利益衡量中应赋予数据主体潜在利益更高权重;并须满足第 22 条第 2 款要求。即便适用第 22 条第 2 款例外,基于第 6 条第 1 款第 (f) 项的利益衡量仍可能倾向数据主体。 |
3.G 数据保护措施与流程
编号 | 问题 | 说明 / 提示 / 示例 | 记录/回答 |
|---|---|---|---|
3.19 | 在提供 GDPR 第 15 条意义上的信息时,是否解释了第 6 条第 1 款第 (f) 项意义上的利益衡量? | 控制者应在收集个人数据之前向数据主体提供有关利益衡量的信息。 为避免信息过载,建议以多层级隐私政策/提示的方式提供。 重要的是,应告知数据主体可随时请求获得该信息。 此外,控制者在回应 GDPR 第 15 条的信息请求时,无论如何均应提供该信息。 | |
3.20 | 数据主体有哪些反对或干预权利?是否提供退出(opt-out)选项?反对需满足哪些条件? | GDPR 第 21 条赋予数据主体反对权。反对不受任何形式要件限制。 | |
3.21 | 是否建立流程以遵从对计划处理的反对或删除请求? | 在提出反对(GDPR 第 21 条)或删除请求(GDPR 第 17 条)后, 除非存在特定例外或强制性理由,否则不得继续处理个人数据。 为此,控制者必须重新开展评估并记录。 在直接营销情形下,即使不说明理由,对广告的反对也必须立即执行。 | |
3.22 | 是否建立流程以遵从 GDPR 第 16 条意义上的更正权? | 数据主体有权要求控制者不延迟地更正与其有关的不准确个人数据。 |
利益衡量最终结论
在权衡所有因素后:控制者或第三方的合法利益是否压倒数据主体的利益?
请在此填写综合结论(考虑以上所有要点)
4. 记录 / 合规
“记录利益衡量结果!”
编号 | 问题 | 说明 / 提示 / 示例 | 记录/回答 |
|---|---|---|---|
4.1 | 请记录上述答案以及评估结果。 | GDPR 第 5 条第 2 款的问责要求,要求控制者能够证明其遵守数据保护原则。 | |
4.2 | 评估是否由数据保护官或独立机构复核? | 内部审批流程有助于增强法律确定性。 | |
4.3 | 是否建立定期复核与更新评估的流程? | 需要根据变化情形进行调整。 |
声明:本文来自清华大学智能法治研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
