众所周知，对于《通用数据保护条例》GDPR的解释和实施，欧洲数据保护委员会（European Data Protection Board，EDPB），包括其前身——第29条工作组，所发布的指导意见最为权威。经过DPO社群中热心同学的努力，第九份“EDPB及第29条工作组”的指导意见——“《关于在向数据主体提供在线服务时依据GDPR第6(1) (b)条规定处理个人数据》（公开征求意见版）”的中文全文翻译，现在推出。目前，社群还在翻译其他的指导意见，预计很快完成。在此，把译者前言贴出来。

译者序言

欧盟数据保护委员会（European Data Protection Board，如下简称“EDPB”）于2019年4月12日公布了《关于在向数据主体提供在线服务时依据GDPR第6(1)(b)条规定处理个人数据的第2/2019号指引》的征求意见稿（“征求意见稿”）。该征求意见稿为如何判断“履行与数据主体签订的合同或在签订合同前应数据主体的请求采取的行动所必须的数据处理行为”提供了指引。

在线服务一般为追求效率都采用电子合同与用户缔约。电子合同以及其内容通常由在线服务提供方提供，并且在具体订立合同时用户的点选一般就视为已同意合同中全部条款，用户对合同的内容基本上很少有单独谈判的空间。

EDPB在该征求意见稿中明确在何种情况下数据处理行为可以使用GDPR第6(1)(b)条作为合法性基础，并且对该条规定中的“必要性”作了限缩解释。换言之，并非在线服务提供商写入合同中的所有与服务相关的数据处理行为都可以被理解为履行合同或签订合同所必须。此外，通过在合同内规定某项“数据处理行为属于本合同所必须”也并不意味是该数据处理行为客观上确实是履行或者订立该合同所必要的。虽然该征求意见稿目前仅对在线服务的场景提出指引，但我们相信EDPB也会对在履行或者订立与数据主体签订的纸质合同或其他场景的合同时所“必要”的数据处理行为持有同样的观点。

根据GDPR的要求，在一项个人数据处理行为开始之前选择合适的合法性事由是十分重要的，如果选择不对，整个数据处理行为可能会被认定为违反GDPR，因此可能被处罚或者处以罚金。选择合法性基础时是一项“单选题”。对于合法性事由的选择错误导致被欧盟成员国的监管机构处罚的案例不在少数。【笔者注：为保持与该征求意见稿的措辞一致，本文采用“数据处理行为”来表述“processing”。具体对“processing”的定义请见GDPR第4条的定义。】虽然EDPB在征求意见稿中也给予了确定合法性基础的指引，例如需要考虑GDPR的立法目的以及基本原则，但是该指引太过于概括和原则，指导性不大。需要注意的是，GDPR的任何一个合法性基础的选择都没有免除数据控制者的告知数据主体其数据处理的义务，例如依据GDPR第13条或第14条告知的义务。

一、关于“必要性”的判断

EDPB在该征求意见稿中对“必要性”作限缩解释，主要体现在：

• “必要性”必须是客观上的必要（objectively necessary），而并不单纯是制定合同的在线服务提供商所认为的必要，而是要通过客观的事实来进行判断。判断这种必要性是假定了一个合理的数据主体在其与数据控制者订立合同时，就客观上期待和判断这项服务中必须要进行的数据处理行为。数据控制者需要承担举证责任来证明某一项数据处理行为如果没有进行，合同就会无法履行或者无法订立。

• 数据处理行为的“必要性”需要基于合同目的本身进行判断，而并非是将数据处理行为作为合同的目的或标的之一。

• 如果合同目的可以不需要进行该数据处理行为即可以完成，或者是该合同目的可以通过另外一种对数据主体影响更小的数据处理行为完成，则该等数据处理行为不具有客观上的“必要性”。

• 一旦合同终止后，因为不再存在任何履约的“必要性”，所以数据处理行为必须停止。合同一旦终止后，后续的留存行为在EDPB看来是一项单独的数据处理行为，并且一般需要依据法律法规的规定（例如为了满足最低留存期间的法定要求）或者是数据控制者自己的合法正当利益（例如留存合同直至过了诉讼时效）作为该等留存行为的合法性事由。

除了这些大的判断原则，在判断数据处理行为的“必要性”上EDPB也给出如下指引：

• 提供给数据主体的服务的本质是什么？该等服务有什么显著特征？

• 合同的确切目的是什么（即其内容及基本目标）？

• 合同的必要要素是什么？

• 合同各方的相互理解和期待是什么？服务是怎么样推广或宣传给数据主体的？一个普通用户考虑到服务的性质，是否会合理地设想到数据处理行为会因为履行他们之间的合同而发生？

二、具体场景的分析

EDPB在征求意见稿中选择了三个在线服务的常见场景进行说明：新闻个性化推荐、个性化展示以及用户画像。

• 其中对于新闻网站，EDPB指出，如用户选择的是由在线新闻网站提供的新闻汇总服务，希望网站向其提供来自多个在线资源的定制内容，那么为了实现这一服务，网站要求用户创建个人兴趣档案的行为，可以被认为是为履行与用户间合同所客观必须的行为。

• 个性化展示在EDPB看来可能是属于某些在线服务的必要元素，因此可以将其认定为属于履约或缔约所必须。

• 对于个性化推荐，如数据控制者希望使用过往交易数据进行推荐，EDPB明确指出这类使用行为并非是合同履行所必要的，原因在于因为这些推荐行为是为了刺激消费者购买新的产品或服务以及订立新合同，使用过往的交易数据显然不是履行已经订立的合同所必要的。同样，对于“猜你喜欢”类的个性化推荐，EDPB认为这种营销导购行为可以考虑以数据主体同意或者是正当利益（legitimate interest）等作为其合法性基础。

三、可能出现的变化

欧洲合同会变长？相信在该份征求意见稿如果被最终通过，许多企业为了在合同中明确数据处理行为的目的、方式以及范围，一定会在合同的背景（recitals）以及标的条款中明确合同的目的以及标的，并且会单独起草个人信息保护条款，以满足通知义务以及“必要性”的需要。从GDPR在过去11个月的执法情况来看，各个成员国对于通知义务的要求是非常高的，会将该等义务具体到明确的数据处理行为（例如要写目的）并同时考虑GDPR第13/14条的要求。如此看来，今后与欧洲公司签署的合同的前言部分会不会写得像GDPR的前言（recitals）一样长？对此大家可以持续观察。

“我同意”变成“我已阅”？除此之外，对于欧洲的电商企业而言，由于用户在下订单的时候也会填写个人信息并且确认订单，在订单的小场景中填写及提供个人信息也可以被认为是为缔约所必须的个人信息处理行为，因此无需再让用户单独勾选隐私协议或者小场景的隐私协议。可以想象到，为了避免监管机构认定一个在线服务的数据处理行为的合法基础全部都是“基于用户同意”，欧盟在线服务为了避免其在合法性基础上的混淆，非常可能在用户界面的设计上不会全部要求用户勾选。即便是勾选，相信这种隐私协议的提示也会从“我已同意”变成“我已审阅”。

与儿童缔约或履约所必须？另外，由于GDPR第8条仅仅对在取得儿童的同意时提出特殊要求，没有对控制者在以“履行合同的必要”作为合法性基础时的数据处理行为提出特殊要求。同时，EDPB明确提出合同的有效性需依照各国的合同法进行判断，EDPB没有任何权限对此发表意见，但是判断一项数据处理行为是否是履约或订约所必须是在一项有效的合同已经成立的基础上。如果在线服务面向多国或者全球开放，则数据控制者必然需要关注所涉国家民事主体的民事行为能力的年龄。如果选择了GDPR第6(1)(b)条就导致数据处理行为的有效性与合同有效性需要同时考虑，这种不同国家对于民事行为能力的不同要求可能会对在线服务提供商带来极大的挑战，这也会是影响在线服务提供商在做这项合法性基础的“单选题”的重要考量之一。

四、借鉴意义

EDPB认为个人信息不是用来交易的对象（tradablecommodity），因此不是合同的标的。EDPB在这一征求意见稿中对必要性的认定方式对我国个人信息保护层面也非常具有借鉴意义。

• 从立法层级上来看，《民法总则》、《合同法》及《网安法》位阶相同。依据《民法总则》及《合同法》，订立合同的双方需要经过要约以及接受的过程才能达到订立合同的合意，这种平等主体之间的缔约行为是基于双方自主同意的。那么在符合《民法》和《合同法》的规定下，基于双方合意所订立的有效的合同，其中对于履约或缔约所必须的数据处理行为是否已经是双方的合意范围之内？如果双方已经达成了合意，是否可以被视为已经符合《网安法》中的“同意”的要求，因此无需再重复作为合同向对方的数据主体的同意呢？笔者认为，从立法的层级及目标，以及法律之间的平衡的角度来看，是可以得出这个答案的，然而目前我国法律法规层面没有对这种情形特别是何为“必要”的数据处理行为做更多的解释和指导。先前《个人信息安全规范》在公布的修订草案中将“履行合同所必需”这项取得同意的例外情形去掉也正是考虑到了这种法律法规缺乏对必要性的指引，可能会导致许多公司滥用合同来过分采集用户的个人信息。EDPB的这一份指引给出了一条可以思考和借鉴的方向，即通过对“必要性”的严格判断，确认该等数据处理行为是否可以因合同的履行或签订所必要因此已经属于数据主体已经在缔约时给予了同意的情形。这种严格和限缩的解释可以避免一些在线服务提供商使用合同条款将大量非必要的数据处理行为涵盖其中，并利用这种电子合同来强制要求用户同意。

• 除了判断合同的双方合意覆盖的必要的数据处理行为以外，EDPB对于“必要性”解释同样可以被借鉴，用来判断哪些信息在具体的功能或者业务中是必要的。EDPB对“必要性”的限缩解释的观点，其实与近期四部委在专项执法中所体现的要求不谋而合：个人信息处理行为除了要满足公示以及取得用户的同意以外，最首先要满足“合法、正当、必要”原则，并且须是“必要”原则优先。而从目前看来，对于什么是“必要”，四部委同样采取谨慎而严格的解释。《个人信息安全规范》希望通过核心功能以及拓展功能来判断某些数据是否是一项业务所必须的，EDPB这个指引也提供了一些判断的思路，特别是EDPB提及了在判断是否必要时需要考虑到一个合理的数据主体的期待以及认知来判断一项合同是否包括某一数据处理行为。在这种思路项下，单除将所有的App的功能都认为是“核心功能”因此所有的个人信息的收集处理行为都是必须，显然是不符合“必要性”原则的。“合法、正当、必要”原则是所有个人信息的收集处理行为都要遵守的，违反必要原则，即便是对用户进行了告知和取得用户的同意，这项个人信息收集处理行为也不合规。

张毅（方达律师事务所资深律师）

下载EDPB第2/2019号指引《关于在向数据主体提供在线服务时依据GDPR第6(1) (b)条规定处理个人数据》（公开征求意见版）中文全文翻译，请点击文末左下角的“阅读原文”。【提取码: mnfv】

关于DPO沙龙活动的有关情况，请见：

DPO社群成果

1. 印度《2018个人数据保护法（草案）》全文翻译（中英对照版）（DPO沙龙出品）

2. 巴西《通用数据保护法》全文中文翻译（DPO沙龙出品）

3. 美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）

4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译（DPO沙龙出品）

5. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)

6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）

7. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译（DPO沙龙出品）

9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

11. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制（DPO沙龙出品）

13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况（DPO沙龙出品）

14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）

15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译（DPO沙龙出品）

16. “108号公约”全文翻译（DPO沙龙出品）

17. 美国司法部“云法案”白皮书全文翻译（DPO社群出品）
    

    
    

线下沙龙实录见：

1. 数据保护官（DPO）沙龙第一期纪实
   

2. 第二期数据保护官沙龙纪实：个人信息安全影响评估指南 
   

3. 第三期数据保护官沙龙纪实：数据出境安全评估

4. 第四期数据保护官沙龙纪实：网络爬虫的法律规制
   

5. 第四期数据保护官沙龙纪实之二：当爬虫遇上法律会有什么风险

6. 第五期数据保护官沙龙纪实：美国联邦隐私立法重要文件讨论

7. 数据保护官（DPO）沙龙走进燕园系列活动第一期

8. 第六期数据保护官沙龙纪实：2018年隐私条款评审工作

9. 第八期数据保护官沙龙纪实：重点行业数据、隐私及网络安全

10. 第十期数据保护官沙龙纪实：数据融合可给企业赋能，但不能不问西东
    

    
    

线上沙龙见：

1. DPO社群对数据堂事件的精彩点评

2. DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话

3. 用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）

   
   

时评见：

1. 数据安全事件时评第一期

2. 数据安全事件时评第二期

3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目：数据可移植性的开源计划

4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

5. 【时事七】美国通过《NIST小企业网络安全法》

6. 【时事八】国际数据流动：欧盟委员会启动对日本的充分性决定流程

7. 【时评九】加州IoT设备网络安全法对物联网法律之影响（附法案翻译）

8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

9. 【时评十一】社交网络平台，需要多点爱还是多点管？

10. 日本拟效仿德国：对IT巨头非法收集个人信息适用“反垄断法”

11. 扎克伯格最新愿景：将Facebook打造成“关注隐私的社交网络“

12. 德国最高数据保护官员就美国“云法案”提出警告
    

    
    

DPO社群成员观点

1. 个人信息委托处理是否需要个人授权？（DPO社群成员观点）
   

2. 企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）

3. GDPR“首张”执行通知盯上AlQ公司的前期后后（DPO社群成员观点）

4. 隐私条款撰写调研报告（DPO社群成员观点）

5. 我看到的数据安全（DPO社群成员观点）

6. 数据爬取的法律风险综述（DPO社群成员观点）

7. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

8. 解析公安机关《互联网个人信息安全保护指引（征求意见稿）》（DPO社群成员观点）

9. 详解GDPR向Google亮剑缘由（DPO社群成员观点）

10. 从生产安全体系视角看数据安全（DPO社群成员观点）

11. 从Android Q看安卓系统的授权机制的三次重大演进（DPO社群成员观点）

12. APP安全认证公告和实施规则解读：治理思路的创新与多样化（DPO社群成员观点）

13. 从数据融合角度分析CNIL处罚谷歌案（DPO社群成员观点）

14. 历史和国际比较视角DPO法律制度探源（DPO社群成员观点）

15. 谷歌数据融合合规之路：从欧盟监管机构调查与处罚来看——上篇（DPO社群成员观点）

16. 数据保护官岗位角色技术能力分析（DPO社群成员观点）

17. 中国企业境外投资中儿童个人信息保护（DPO社群成员观点）

18. 企业上市过程面临的数据合规问题和相关风险：境内篇（DPO社群成员观点）

19. 企业上市过程面临的数据合规问题和相关风险：境外篇（DPO社群成员观点）
    

20. 数据保护岗位需求与能力发展（DPO社群成员观点）

21. DPO互助平台对企业数据治理实务的指导（DPO社群成员观点）

22. 对网络安全负责人岗位的思考（DPO社群成员观点）

23. 结合良好实践，细说APP自评估指南之一（DPO社群成员观点）