中企出海法律合规系列——中欧对比视角下的个人信息处理合法性基础适用分析

中企出海法律合规系列——中欧对比视角下的个人信息处理合法性基础适用分析

在全球数字化时代，数据已成为一种关键的资源。随着数据隐私问题日益受到关注，各国对个人信息保护的重视程度不断提升，并通过立法手段规范数据处理活动。欧盟的《通用数据保护条例》（“GDPR”）自2018年生效以来，已经成为全球数据隐私保护的重要指向标，影响了全球范围内的企业和组织。而中国在2021年实施的《个人信息保护法》（“PIPL”）则为中国的企业提供了更为系统和完善的数据保护框架。与此同时，美国虽未形成统一的联邦层面综合性数据保护法，但以加州为代表的州级立法不断演进，例如《加州消费者隐私法案》（“CCPA”）及其后续修订，亦对企业提出了具有实质约束力的数据合规要求。

对于跨境经营的中国企业来说，了解并遵守这些法规，不仅是合规的需求，更是保护自身业务和声誉的关键。

个人信息处理是指收集、存储、使用、修改、传输、删除个人信息等行为。无论是线上交易、社交媒体的互动，还是企业的人力资源、客户关系管理，都涉及到个人信息的处理。而个人信息处理的合法性基础则是指，在进行个人信息处理时，必须依据法律要求选择合适的法律基础，这是企业能否合法处理个人信息的前提。不同国家或地区的法律对这些基础有不同的要求。

这篇文章将对中欧数据保护法规进行比较分析，探讨它们在个人信息处理合法性基础方面的异同，特别是在中国企业跨境经营过程中可能面临的合规挑战。通过对比中欧的法规，企业可以更好地理解在不同法域下的合规要求，制定出合理的数据保护策略。

一、个人信息处理的合法性基础

中国在2021年实施的PIPL是目前国内对个人数据保护的最高法律，具有里程碑意义，该法的实施标志着中国在数据隐私保护方面的法律体系逐步完善，针对企业如何处理个人信息、保护用户隐私提出了明确的要求。在立法过程中，PIPL在一定程度上借鉴了GDPR的体系与理念，但同时也体现出诸多具有中国特色的规定和实践导向。就个人信息处理的合法性基础而言，GDPR第6条和PIPL第13条分别作出了明确规定：

从立法上看，GDPR与PIPL规定大体上相似，都将同意、履行合同所必需、履行法定义务、保护公共利益等作为个人信息处理的合法性基础，并都将“同意”作为重要依据。但从立法表述上可以看出，PIPL语境下个人信息处理活动应当取得个人同意，但如存在其他个人信息处理活动的合法性基础情形，则可免于同意，同意与免于取得同意的其他情形是原则与例外的关系，对于后者，需要严格适用。

二、中欧在个人信息处理合法性基础方面的主要差异

在数据保护的合规过程中，GDPR和PIPL虽然都强调数据主体的权利保障和信息处理的合法性，但由于各自法域的背景差异，二者在实际应用中存在显著区别，尤其是在个人信息处理的合法性基础方面。

（一）合法性基础适用的明确性

根据GDPR，在进行数据处理活动之前，必须根据数据处理活动的目的明确所适用的合法性基础。如适用同意为数据处理的合法性基础，数据控制者应当保证在数据主体撤回同意时即停止相应部分的处理活动，同时不能任意地将合法性基础从同意转换到其他合法性基础。例如，如果数据控制者以同意作为数据处理的合法性基础，但该同意存在瑕疵，数据控制者也不得以正当利益或履行合同所必需等其他合法性基础以实现该等数据处理行为的合法性。¹相对地，中国法项下目前暂时并无该等明确要求。

实践中，我们注意到海外一般企业的隐私政策均会列明数据处理场景下收集的数据、目的及其对应的合法性基础，而目前国内隐私政策鲜有告知不同数据处理活动明确的合法性基础，更倾向于依赖“同意”这一合法性基础，通过要求用户在注册登录时同意接受用户协议和隐私政策，获得用户对于所提及的所有处理活动的一揽子同意。

（二）有效同意的标准

GDPR对同意的要求非常严格。根据GDPR第4条和第7条，以及欧盟数据保护委员会（European Data Protection Board，EDPB）于2020年5月发布的《对第2016/679号条例下同意的解释指南》，数据主体的有效同意必须同时满足以下条件：

1. 自愿(freely given)

同意必须是在没有任何强迫或压力的情况下自愿给出的。具体而言，数据控制者在获取数据主体的有效同意时需要注意以下问题：

• 数据控制者与数据主体之间关系的不平等性。在数据控制者与数据主体存在明显权力不平衡的场合（如公共机构作为数据控制者，或雇主与雇员之中），则可能推定数据主体的同意是非自愿作出的。²

• 若同意与接受合同条款（如服务条款）捆绑，则会被视为无效。“同意”和“履行合同所必需”作为数据处理活动的两种合法性基础，其适用场景存在差异，不能模糊两者之间的界限，对于“履行合同所必需”处理的数据，不能以“同意”作为处理的合法性基础。³

• 数据控制者需要注意同意的精度，数据主体可为不同处理目的分别选择是否同意，不得以单一同意涵盖多个不同目的。⁴数据主体可以拒绝/撤回同意，且撤回不会对数据主体导致不利后果。

2. 具体(specific)

同意必须针对明确且特定的处理目的，必须与一个或多个特定目的相关，并且数据主体可以就每一个目的进行单独的选择，并且与获得同意相关的信息需与其他事项下的明确区分，确保透明性。⁵

3. 知情(informed)

数据控制者必须提供足够的信息，以确保数据主体理解其同意的内容，包括数据将如何被使用、处理的目的、数据将传送给哪些第三方、撤回同意的权利等。⁶

4. 明确的意思表示(unambiguous indication of wishes)

同意必须通过主动声明或肯定行动表达，例如主动勾选选择框、书面声明或电子确认。通过预先勾选或默认勾选选择框，以及通过数据主体同意或接受服务一般条款等方式获得的同意，可能会被认为是无效的。⁷

在此基础上，EDPB还特别强调同意的可撤回性（right to withdraw），即数据主体有权随时撤回同意，撤回需与作出同意时同样便捷。撤回同意后，数据处理不得再继续，除非有其他合法性基础，并且必须向数据主体该合法性基础的具体内容。^[8]该要求并非孤立存在，而是与上述要素共同作用，确保同意不仅在取得时有效，也在后续处理过程中持续保持其正当性。

GDPR的这些要求使得同意成为一种严格且具有高标准的合法性基础。

与GDPR相比，PIPL在条文本身对“同意”要件的规定较为简化。从立法文本出发，PIPL第13条规定企业在处理个人信息时原则上需要征得数据主体的同意，但同意的标准并没有像GDPR那样明确规定“自愿、明确、知情、可撤销”的四大要求，也未像EDPB上述指南一样具体列明有效同意的条件。PIPL主要要求“同意应当由个人在充分知情的前提下自愿、明确作出”，并且个人“有权撤回其同意”，个人信息处理者应当提供便捷的撤回同意的方式。此外，PIPL也进一步明确，“个人信息处理不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务”，这与这与GDPR第7条第4款“不对数据主体施加不利后果”的原则相呼应。

然而，若进一步结合国家标准GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》（“《告知同意指南》”）来看，中国法下对“有效同意”的要求在实践层面亦呈现出较高的精细化程度。该指南虽不属于强制性法律规范，但作为重要的合规参考文件，对“告知同意”链条提出了较为具体的操作性要求，实际上显著提升了企业的合规门槛，例如：

• （1） 在告知层面，《告知同意指南》不仅要求说明处理目的、方式及范围，还强调应覆盖数据存储期限、第三方共享情况以及潜在风险等关键要素，以确保用户能够作出真实、充分知情的决策；⁹

• （2） 在告知方式上，《告知同意指南》提出在特定场景下应采用“增强告知”（如通过独立界面、不可绕过的提示等方式突出关键信息），强化信息的可见性与可理解性；¹⁰

• （3） 在同意机制设计上，明确区分“单独同意”与“一揽子同意”，并建议在多目的或敏感场景下采用分项授权，以避免过度概括授权；¹¹

• （4） 在实施与管理层面，《告知同意指南》还对同意的取得方式、拒绝路径、撤回机制以及证据留存提出了系统性要求（例如需支持便捷撤回，并对同意行为进行记录与可审计管理）。¹²

此外，指南还通过多个典型业务场景（如App、云服务、公共场所等）对告知内容和同意方式进行细化示例，例如需明确采集信息的类型、处理目的、保存期限以及个人权利行使路径等，进一步增强了规则的可操作性。

GDPR与PIPL在“同意”的核心原则上具有高度一致性（自愿、明确、知情及可撤回），但在规范呈现方式上存在差异。GDPR通过立法及监管指南直接构建了较为体系化的要件结构，对“有效同意”的构成要件进行了高度抽象但结构化的界定，并在监管实践中重点关注企业是否具备合法性基础选择的正当性及数据主体权利保障的完整性，而PIPL则是在立法层面采取相对原则性的规定，同时结合国家标准等配套文件的组合路径，逐步提升同意机制的实施标准，进一步细化具体场景下的操作规范与实现细节。

（三）正当利益的适用差异

GDPR第6条允许“正当利益”作为数据处理的合法基础之一。这意味着，如果企业能够证明其处理个人数据的目的符合其正当利益，且该利益不被数据主体的基本权利和自由所抵消，那么企业可以在不需要征得同意的情况下处理数据。这意味着，企业在使用“正当利益”作为数据处理的依据时，必须评估其自身的利益与数据主体的隐私权之间的平衡，确保不会对数据主体的权益造成过度侵犯。

就“正当利益”适用的条件，EDPB在2024年10月发布的《基于GDPR第6(1)(f)条处理个人数据的指南》中分析了“正当利益”作为数据处理的合法性基础适用时需要满足的条件，并明确了数据控制者在评估是否适用时应采取的三个步骤，即：

• （1） 需要确认控制者或第三方追求的是一个正当的正当利益；

• （2） 需要确认对于实现该正当利益，进行个人数据的处理具有必要性；

• （3） 控制者需要权衡其或第三方的正当利益与数据主体的利益或基本权利和自由，确保该等正当利益不会超过数据主体的合法权益。¹³

如果控制者在基于正当利益进行数据处理前的评估中（特别是上述第三步的“利益平衡测试”），识别到处理活动可能带来高风险，就应当考虑按照GDPR第35条的规定进行数据保护影响评估（DPIA）。¹⁴

在此之后，针对AI模型在开发和部署阶段处理个人数据时产生的普遍性问题，EDPB在2024年12月发布了《关于人工智能模型中个人数据处理的特定数据保护问题的28/2024号意见》，其中进一步明确，在该等数据处理场景下“正当利益”的评估需要三个步骤，即正当利益的识别、必要性和平衡性测试。¹⁵具体而言：

从“正当利益”这一合法性基础来看，GDPR旨在平衡数据控制者与数据主体之间的权益，为数据控制者提供一定的灵活性，允许其在没有明确同意的情况下处理个人数据，在一定程度上增强了数据主体的自主权。

相较于GDPR，PIPL并未明确列出“正当利益”作为合法性基础。如前文所述，PIPL语境下个人信息处理活动的合法性基础，同意与免于取得同意的其他情形是原则与例外的关系，对于后者，需要严格适用。PIPL缺乏对“正当利益”的明确规定，更倾向于通过明确同意或法律规定来实施对个人信息的严格监管。

这一立法上不同的取向也在行业实践中得到了明显体现。例如在欧洲，针对用户进行个性化广告时，运营方常依赖正当利益并进行利益平衡（例如允许用户通过选择“拒绝”选项来取消个性化广告）；而在中国，推送个性化内容、挖掘用户行为习惯等通常需事先征得用户明确同意。

三、企业的应对策略

在众多中国企业选择出海的时代背景下，认识到中欧个人信息处理合法性基础的差异对于实现数据合规、保证企业在海外合规运营而言十分重要。

对于同时面向中国和欧盟市场的处理活动，企业需要根据实际的数据处理情况制定相应的数据保护方案和面向用户的隐私政策，尤其需要注意改变对于“同意”这一合法性基础的依赖，可充分利用法律义务、履行合同和正当利益等明确规定的合法性基础，针对不同处理场景、处理目的，应审慎选择合法性基础并进行明确，在符合GDPR的高标准合规要求的同时，实现企业海外运营的顺利开展。

注释：

^{1 Guidelines 05/2020 on consent under Regulation 2016/679, paragraphs 122-123, https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en} 

^{2 Guidelines 05/2020 on consent under Regulation 2016/679, paragraphs 13-26}

^{3 Guidelines 05/2020 on consent under Regulation 2016/679, paragraphs 26-33}

^{4 Guidelines 05/2020 on consent under Regulation 2016/679, paragraphs 42-45}

^{5 Guidelines 05/2020 on consent under Regulation 2016/679, paragraphs 46-47}

^{6 Guidelines 05/2020 on consent under Regulation 2016/679, paragraphs 55-61}

^{7 Guidelines 05/2020 on consent under Regulation 2016/679, paragraphs 62-65}

^{8 Guidelines 05/2020 on consent under Regulation 2016/679, paragraphs 75-86}

^{9  Guidelines 05/2020 on consent under Regulation 2016/679, paragraphs 113-122}

^{10  国家标准GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》第8.2条，chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://official-static.tongdun.cn/officialv3/news/20230531151253082-60a556.pdf}

^{11 告知同意指南》第8.1条b)项}

^{12 《告知同意指南》第9.3条}

^{13《告知同意指南》第9.2条}

^{14 Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR, https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2024/guidelines-12024-processing-personal-data-based_en}

^{15 Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR, paragraph 49}

^{16  Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282024-certain-data-protection-aspects_en.}

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.