首页 > 数据合规 > 数据处理合法性基础

数据处理合法性基础

数据合规 最后更新: 2026-04-06 引用来源: 8

关联概念

个人信息保护数据分类分级算法合规
📋 显示/隐藏目录

现行基准: 网络安全法(2017)+ 数据安全法(2021)+ 个人信息保护法(2021)

数据处理合法性基础

最后更新:2026-04-06 | 由 LLM 基于知识库原始资料编译
关联概念:个人信息保护 | 数据分类分级 | 算法合规 | 网络安全

核心法条

  • 《数据安全法》第 7 条:国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用 [现行有效]
  • 《数据安全法》第 27 条:数据处理应当遵守法律、法规,建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施 [现行有效]
  • 《数据安全法》第 30 条:重要数据处理者应明确数据安全负责人和管理机构,定期开展风险评估 [现行有效]
  • 《个人信息保护法》第 13 条:个人信息处理的七项合法性基础 [现行有效]
  • 《民法典》第 127 条:法律对数据、网络虚拟财产的保护有规定的,依照其规定 [现行有效]
  • 最高人民法院指导性案例 196 号(罗迪迦奇案):网络数据产品权属与不正当竞争保护 [现行有效]
  • 《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》("数据二十条",2022 年 12 月 29 日):数据产权"三权分置"制度框架 [现行有效]
  • 《企业数据合规指引》第 11-15 条:数据收集合法性、正当性、必要性审查规则 [现行有效]

规则沿革

时间节点 变化内容 依据来源
2016-12-10 首提"数据"法律概念,《网络安全法》确立网络数据定义 《网络安全法》第 76 条
2017-06-01 《网络安全法》施行,确立网络数据安全基本框架 现行有效
2020-05-28 《民法典》第 127 条确立数据法律地位 现行有效
2021-09-01 《数据安全法》施行,建立数据分类分级、全流程安全管理制度 现行有效
2021-11-01 《个人信息保护法》施行,确立个人信息处理合法性基础 现行有效
2022-12-29 "数据二十条"发布,提出数据产权"三权分置" 现行有效
2024-01-01 最高法发布数据权益司法保护指导性案例 现行有效

一、数据处理的法律定义与基本原则

1.1 数据处理的法定定义

《数据安全法》第 3 条确立了"数据处理"的法定定义,包括对数据的收集、存储、使用、加工、传输、提供、公开等活动。这一定义采用"全生命周期"视角,覆盖数据从产生到消亡的每一个环节。

与个人信息处理的概念相比:
- 数据 > 个人信息:数据处理是一个上位概念,包含非个人信息数据和个人信息数据
- 个人信息处理还额外涵盖"删除"环节(《个人信息保护法》第 4 条第 2 款)

1.2 数据处理三原则

《数据安全法》第 8 条《个人信息保护法》第 5-7 条确立了数据处理的基本原则:

原则 内涵 法律依据
合法性 数据处理活动必须依照法律、法规的规定进行,不得违法收集、使用、加工、传输数据 《数安法》第 8 条
正当性 处理目的应当正当,不得以误导、欺诈、胁迫等方式处理数据,不得过度索取权限 《个保法》第 6 条
必要性 处理范围限于实现目的的最小范围,不得过度处理;应当采取对个人权益影响最小的方式 《个保法》第 6 条

《企业数据合规指引》第 11 条进一步明确:

  • 禁止非法买卖、提供或公开他人数据
  • 禁止窃取或以其他非法方式获取数据
  • 处理数据不得危害国家安全、公共利益

1.3 数据处理者 vs 数据控制者概念

我国现行法律体系采用"数据处理者"概念(对应于《个人信息保护法》和《数据安全法》),与欧盟 GDPR 的"context controller"和"处理器"概念存在区别。在我国法下:

  • 数据处理者(个人信息处理者):自主决定处理目的和处理方式的组织或个人
  • 受托处理者:接受委托处理数据,应当按照约定处理,不得超出约定范围
  • 共同处理者:两个以上处理者共同决定处理目的和方式的,各负其责

二、数据收集的合法性基础

2.1 个人信息收集的合法性基础(《个保法》第 13 条)

详见个人信息保护中"七项合法性基础"章节。简要归纳:

  1. 取得个人同意
  2. 为订立、履行合同所必需
  3. 为履行法定职责或法定义务所必需
  4. 应对突发公共卫生事件或紧急情况下保护生命健康和财产安全所必需
  5. 为公共利益实施新闻报道、舆论监督
  6. 在合理范围内处理已合法公开的个人信息
  7. 法律、行政法规规定的其他情形

2.2 企业数据收集的特定规则

《企业数据合规指引》第 12-15 条确立了企业数据收集的特定规则:

  1. 来源合法:不得通过非法方式(如黑客手段、爬虫越权等)获取数据
  2. 目的明确:应当在收集前明确收集目的,并向处理对象说明
  3. 范围限定:收集的数据范围应当与处理目的直接相关,遵循最小必要原则
  4. 质量保障:应当确保收集数据的准确性和完整性

2.3 爬虫与数据挖掘的合法性边界

企业通过自动化手段收集公开数据,需遵循以下边界:

  • 不得规避技术措施:不得绕过网站 robots 协议或技术保护措施抓取数据
  • 不得超越授权范围:不得超出平台授权的数据接口调用范围
  • 不得构成不正当竞争:不得以"实质性替代"的方式抓取竞争对手核心数据资产
  • 不得违反《反不正当竞争法》第 12 条网络专条

最高人民法院指导性案例 196 号明确了网络数据产品权益保护规则,认定通过大量劳动投入形成的数据集合具有竞争性权益。

三、数据使用的合法性基础

3.1 企业数据的合法利用

《数据安全法》第 7 条首次在国家立法层面确认了"数据权益",包括个人、组织与数据有关的权益。在此基础上,"数据二十条"提出"三权分置"制度框架:

权利类型 内涵 权利人
数据资源持有权 对合法获取的数据资源的持有和管理权利 数据资源持有者
数据加工使用权 对数据进行加工、分析和使用的权利 数据处理者
数据产品经营权 对基于数据形成的数据产品进行经营的权利 数据产品经营者

3.2 个人信息使用的核心限制

在合法收集的前提下,对个人信息的使用仍受到以下限制:

  • 目的限制:应当在事先告知的处理目的范围内使用,不得擅自变更
  • 最小必要:不得超范围使用,处理目的达成后应当删除或匿名化
  • 自动化决策限制:利用个人信息进行自动化决策(如算法推荐),须保证透明度、公平性和合理性(《个保法》第 24 条)
  • 不得大数据杀熟:不得对个人在交易价格等交易条件上实行不合理的差别待遇(《个保法》第 24 条第 2 款)

3.3 数据再提供给第三方的合法性

《个人信息保护法》第 23 条《企业数据合规指引》第 14 条明确了数据再提供规则:

  • 向其他个人信息处理者提供个人信息,应当告知接收方的名称、联系方式、处理目的、处理方式和个人信息的种类
  • 应当取得个人的单独同意
  • 接收方应当在上述告知的范围内处理个人信息
  • 变更处理目的或方式的,应当重新取得同意

四、数据存储与安全保障义务

4.1 存储安全义务

《数据安全法》第 27 条第 21 条确立了数据存储的法定义务:

  1. 建立健全全流程数据安全管理制度
  2. 落实数据安全保护责任
  3. 组织开展数据安全教育培训
  4. 采取相应的技术措施(加密、访问控制等)
  5. 保障数据持续处于有效保护状态

4.2 分类分级保护

《数据安全法》第 21 条确立数据分类分级保护制度:
- 重要数据:纳入保护目录,实行重点保护
- 核心数据:实行严格管理
- 一般数据:适用一般安全保护要求

详见数据分类分级

4.3 数据删除与留存义务

《个保法》第 47 条:处理目的已实现、无法实现或者为实现处理目的不再必要时,个人信息处理者应当主动删除。

《网络安全法》第 21 条第(三)项:网络日志留存不少于六个月。

两者存在实务冲突,处理者应当对个人信息作匿名化处理以保留日志记录,同时消除可识别性。

五、数据加工与衍生数据的合法性

5.1 数据加工的法律定位

数据加工(清洗、标注、聚合、建模等)属于数据处理的重要环节。"数据二十条"明确:

  • 经过实质性加工和创新性劳动形成的数据产品,加工者享有数据产品经营权
  • 加工者不得侵犯数据来源者的合法权益(个人信息权、商业秘密等)

5.2 衍生数据的合规边界

  • 匿名化衍生数据:经匿名化处理后可独立流转,不再受《个保法》约束
  • 聚合分析数据:不涉及个人身份信息的聚合数据,在合法收集前提下可以自由使用
  • 用户画像:属于个人信息处理行为,受《个保法》第 24 条(自动化决策)约束

5.3 实务参考:最高人民法院数据权益案例

最高人民法院已发布数据权益司法保护指导性案例,核心裁判规则:

  1. 依法收集并经过加工形成的数据产品,经营者享有竞争法保护的合法权益
  2. 第三方未经许可大量抓取并使用该数据产品,可能构成不正当竞争
  3. 数据权益保护以合法收集为基础,非法获取的数据不产生受保护的权益

详见个人信息保护中5.2节关于个人信息权属的论述。

六、数据处理合规体系框架

6.1 制度建设要求

《企业数据合规指引》第 6-10 条建议企业建立如下合规框架:

  • 第一责任人制度:企业最高管理者为数据安全第一责任人
  • 独立管理部门:鼓励设置数据合规管理部门,不宜仅由法务部门承担
  • 全流程管理:覆盖数据收集的合法性审查、处理的目的限定、存储的安全控制、共享的告知同意
  • 风险评估机制:定期开展数据安全风险评估

6.2 影响评估义务

《个人信息保护法》第 55 条规定了以下五种情形的个人信息保护影响评估(PIA)义务:
1. 处理敏感个人信息
2. 利用个人信息进行自动化决策
3. 委托处理、向其他处理者提供、公开个人信息
4. 向境外提供个人信息
5. 其他对个人权益有重大影响的个人信息处理活动

6.3 记录保存义务

根据《企业数据合规指引》第 14 条:
- 个人同意记录提供个人信息的日志记录应当至少保存 5 年
- 个人信息保护影响评估记录和处理情况记录应当至少保存 3 年

知识库原始资料索引

法律

  • 中华人民共和国数据安全法
  • 《个人信息保护法》适用要点解读/_个人信息保护法_适用要点解读.md)

学术研究

  • 中国社会科学院大学姚佳:数据利用的合法性来源与数据产品的权利归属
  • 郭锋:金融法治现代化的中国道路

司法实践

  • 最高人民法院首次发布数据权益司法保护专题指导性案例
  • 最高法研究室负责人就数据权益指导性案例答记者问
  • 北京互联网法院课题组:数据权益知识产权司法保护的体系协调与规则创新

地方指引

  • 企业数据合规指引(上海市杨浦区)

引用资料: 8 项

参见 · 反向链接

← 数据可携带权与被遗忘权
数据处理者义务与责任 →