官 沙 龙 数据保护官沙龙（DPO Salon）公益出品 EDPB 第 2/2019 号指引 护 《关于在向数据主体提供在线服务时依据 GDPR 第 6(1) 据 保 (b)条规定处理个人数据》 （公开征求意见版） 中译文 （2019 年 4 月 9 日采纳） 数 译者：方达隐私及数据保护团队 审校：张毅 2019 年 4 月 署名—非商业性使用—禁止演绎 2.5 中国大陆 译者序言 龙 欧盟数据保护委员会（European Data Protection Board，如下简称 “EDPB”）于 2019 年 4 月 12 日公布了《关于在向数据主体提供在线 服务时依据 GDPR 第 6(1)(b)条规定处理个人数据的第 2/2019 号指引》 的征求意见稿（“征求意见稿”） 。该征求意见稿为如何判断“履行与数 据主体签订的合同或在签订合同前应数据主体的请求采取的行动所 必须的数据处理行为”提供了指引。 沙 在线服务一般为追求效率都采用电子合同与用户缔约。电子合同 以及其内容通常由在线服务提供方提供，并且在具体订立合同时用户 的点选一般就视为已同意合同中全部条款，用户对合同的内容基本上 很少有单独谈判的空间。 据 保 护 官 EDPB 在该征求意见稿中明确在何种情况下数据处理行为可以 使用 GDPR 第 6(1)(b)条作为合法性基础，并且对该条规定中的“必要 性”作了限缩解释。换言之，并非在线服务提供商写入合同中的所有 与服务相关的数据处理行为都可以被理解为履行合同或签订合同所 必须。此外，通过在合同内规定某项“数据处理行为属于本合同所必 须”也并不意味是该数据处理行为客观上确实是履行或者订立该合同 所必要的。虽然该征求意见稿目前仅对在线服务的场景提出指引，但 我们相信 EDPB 也会对在履行或者订立与数据主体签订的纸质合同 或其他场景的合同时所“必要”的数据处理行为持有同样的观点。 数 根据 GDPR 的要求，在一项个人数据处理行为开始之前选择合 适的合法性事由是十分重要的，如果选择不对，整个数据处理行为可 能会被认定为违反 GDPR，因此可能被处罚或者处以罚金。选择合法 性基础时是一项“单选题”。对于合法性事由的选择错误导致被欧盟成 员国的监管机构处罚的案例不在少数。 【笔者注：为保持与该征求意 见稿的措辞一致，本文采用“数据处理行为”来表述“processing”。具体 对“processing”的定义请见 GDPR 第 4 条的定义。】虽然 EDPB 在征求 意见稿中也给予了确定合法性基础的指引，例如需要考虑 GDPR 的 立法目的以及基本原则，但是该指引太过于概括和原则，指导性不大。 需要注意的是，GDPR 的任何一个合法性基础的选择都没有免除数据 控制者的告知数据主体其数据处理的义务，例如依据 GDPR 第 13 条 或第 14 条告知的义务。 一、 关于“必要性”的判断 EDPB 在该征求意见稿中对“必要性”作限缩解释，主要体现在： 据 保 护 官 沙 龙 1) “必要性”必须是客观上的必要（objectively necessary），而并不单 纯是制定合同的在线服务提供商所认为的必要，而是要通过客观 的事实来进行判断。判断这种必要性是假定了一个合理的数据主 体在其与数据控制者订立合同时，就客观上期待和判断这项服务 中必须要进行的数据处理行为。数据控制者需要承担举证责任来 证明某一项数据处理行为如果没有进行，合同就会无法履行或者 无法订立。 2) 数据处理行为的“必要性”需要基于合同目的本身进行判断，而并 非是将数据处理行为作为合同的目的或标的之一。 3) 如果合同目的可以不需要进行该数据处理行为即可以完成，或者 是该合同目的可以通过另外一种对数据主体影响更小的数据处理 行为完成，则该等数据处理行为不具有客观上的“必要性”。 4) 一旦合同终止后，因为不再存在任何履约的“必要性”，所以数据 处理行为必须停止。合同一旦终止后，后续的留存行为在 EDPB 看来是一项单独的数据处理行为，并且一般需要依据法律法规的 规定（例如为了满足最低留存期间的法定要求）或者是数据控制 者自己的合法正当利益（例如留存合同直至过了诉讼时效）作为 该等留存行为的合法性事由。 除了这些大的判断原则，在判断数据处理行为的“必要性”上 EDPB 也给出如下指引： 提供给数据主体的服务的本质是什么？该等服务有什么显著特征？ 合同的确切目的是什么（即其内容及基本目标）？ 合同的必要要素是什么？ 合同各方的相互理解和期待是什么？服务是怎么样推广或宣传给 数据主体的？一个普通用户考虑到服务的性质，是否会合理地设 想到数据处理行为会因为履行他们之间的合同而发生？ 数 ⚫ ⚫ ⚫ ⚫ 二、 具体场景的分析 EDPB 在征求意见稿中选择了三个在线服务的常见场景进行说 明：新闻个性化推荐、个性化展示以及用户画像。 沙 龙 ⚫ 其中对于新闻网站，EDPB 指出，如用户选择的是由在线新闻网站 提供的新闻汇总服务，希望网站向其提供来自多个在线资源的定 制内容，那么为了实现这一服务，网站要求用户创建个人兴趣档 案的行为，可以被认为是为履行与用户间合同所客观必须的行为。 ⚫ 个性化展示在 EDPB 看来可能是属于某些在线服务的必要元素， 因此可以将其认定为属于履约或缔约所必须。 ⚫ 对于个性化推荐，如数据控制者希望使用过往交易数据进行推荐， EDPB 明确指出这类使用行为并非是合同履行所必要的，原因在 于因为这些推荐行为是为了刺激消费者购买新的产品或服务以及 订立新合同，使用过往的交易数据显然不是履行已经订立的合同 所必要的。同样，对于“猜你喜欢”类的个性化推荐，EDPB 认为这 种营销导购行为可以考虑以数据主体同意或者是正当利益 （legitimate interest）等作为其合法性基础。 三、 可能出现的变化 据 保 护 官 欧洲合同会变长？相信在该份征求意见稿如果被最终通过，许多 企业为了在合同中明确数据处理行为的目的、方式以及范围，一定会 在合同的背景（recitals）以及标的条款中明确合同的目的以及标的， 并且会单独起草个人信息保护条款，以满足通知义务以及“必要性”的 需要。从 GDPR 在过去 11 个月的执法情况来看，各个成员国对于通 知义务的要求是非常高的，会将该等义务具体到明确的数据处理行为 （例如要写目的）并同时考虑 GDPR 第 13/14 条的要求。如此看来， 今后与欧洲公司签署的合同的前言部分会不会写得像 GDPR 的前言 （recitals）一样长？对此大家可以持续观察。 数 “我同意”变成“我已阅”？除此之外，对于欧洲的电商企业而言， 由于用户在下订单的时候也会填写个人信息并且确认订单，在订单的 小场景中填写及提供个人信息也可以被认为是为缔约所必须的个人 信息处理行为，因此无需再让用户单独勾选隐私协议或者小场景的隐 私协议。可以想象到，为了避免监管机构认定一个在线服务的数据处 理行为的合法基础全部都是“基于用户同意”，欧盟在线服务为了避免 其在合法性基础上的混淆，非常可能在用户界面的设计上不会全部要 求用户勾选。即便是勾选，相信这种隐私协议的提示也会从“我已同 意”变成“我已审阅”。 与儿童缔约或履约所必须？另外，由于 GDPR 第 8 条仅仅对在 取得儿童的同意时提出特殊要求，没有对控制者在以“履行合同的必 龙 要”作为合法性基础时的数据处理行为提出特殊要求。同时，EDPB 明 确提出合同的有效性需依照各国的合同法进行判断，EDPB 没有任何 权限对此发表意见，但是判断一项数据处理行为是否是履约或订约所 必须是在一项有效的合同已经成立的基础上。如果在线服务面向多国 或者全球开放，则数据控制者必然需要关注所涉国家民事主体的民事 行为能力的年龄。如果选择了 GDPR 第 6(1)(b)条就导致数据处理行 为的有效性与合同有效性需要同时考虑，这种不同国家对于民事行为 能力的不同要求可能会对在线服务提供商带来极大的挑战，这也会是 影响在线服务提供商在做这项合法性基础的“单选题”的重要考量之 一。 四、 借鉴意义 官 沙 EDPB 认为个人信息不是用来交易的对象（tradable commodity）， 因此不是合同的标的。EDPB 在这一征求意见稿中对必要性的认定方 式对我国个人信息保护层面也非常具有借鉴意义。 数 据 保 护 ⚫ 从立法层级上来看， 《民法总则》 、 《合同法》及《网安法》位阶相 同。依据《民法总则》及《合同法》，订立合同的双方需要经过要 约以及接受的过程才能达到订立合同的合意，这种平等主体之间 的缔约行为是基于双方自主同意的。那么在符合《民法》和《合 同法》的规定下，基于双方合意所订立的有效的合同，其中对于 履约或缔约所必须的数据处理行为是否已经是双方的合意范围之 内？如果双方已经达成了合意，是否可以被视为已经符合《网安 法》中的“同意”的要求，因此无需再重复作为合同向对方的数据 主体的同意呢？笔者认为，从立法的层级及目标，以及法律之间 的平衡的角度来看，是可以得出这个答案的，然而目前我国法律 法规层面没有对这种情形特别是何为“必要”的数据处理行为做更 多的解释和指导。先前《个人信息安全规范》在公布的修订草案 中将“履行合同所必需”这项取得同意的例外情形去掉也正是考虑 到了这种法律法规缺乏对必要性的指引，可能会导致许多公司滥 用合同来过分采集用户的个人信息。EDPB 的这一份指引给出了 一条可以思考和借鉴的方向，即通过对“必要性”的严格判断，确 认该等数据处理行为是否可以因合同的履行或签订所必要因此已 经属于数据主体已经在缔约时给予了同意的情形。这种严格和限 缩的解释可以避免一些在线服务提供商使用合同条款将大量非必 要的数据处理行为涵盖其中，并利用这种电子合同来强制要求用 户同意。 数 据 保 护 官 沙 龙 ⚫ 除了判断合同的双方合意覆盖的必要的数据处理行为以外，EDPB 对于“必要性”解释同样可以被借鉴，用来判断哪些信息在具体的 功能或者业务中是必要的。EDPB 对“必要性”的限缩解释的观点， 其实与近期四部委在专项执法中所体现的要求不谋而合：个人信 息处理行为除了要满足公示以及取得用户的同意以外，最首先要 满足“合法、正当、必要”原则，并且须是“必要”原则优先。而从目 前看来，对于什么是“必要”，四部委同样采取谨慎而严格的解释。 《个人信息安全规范》希望通过核心功能以及拓展功能来判断某 些数据是否是一项业务所必须的，EDPB 这个指引也提供了一些 判断的思路，特别是 EDPB 提及了在判断是否必要时需要考虑到 一个合理的数据主体的期待以及认知来判断一项合同是否包括某 一数据处理行为。在这种思