个人数据的处理问题作为欧盟GDPR的重点规制对象，其相关原则的规定被放在了该条例原则部分的首要位置。随着我国经济主体与欧盟各成员国之间往来的日益频繁，学习欧盟GDPR的相关内容对企业发展至关重要。

今天SCA安全通信联盟为大家整理了GDPR中个人数据处理的6大原则——“合法公平透明”、“目的限制”、“数据最小化”、“准确性”、“储存限额”、“完整性和机密性”。互联网让我们的世界越来越联动，为了在未来的商业活动中不触犯法律的底线，做合法商业活动，让我们一起来看一下这6大原则具体都包含了哪些内容吧。

1、个人数据必须是合法地，以善意和对数据主体合理的方式（“合法，公平，透明”）;

processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’);

即：对个人数据的处理过程中，无论是收集、传递还是使用，均要求符合法律规定，且符合透明性的要求。关于数据处理的公平性，有一个典型的例子，就是旅行社通过收集用户登录网站查询机票和酒店的信息，分析其偏好，然后通过程序自动设定针对该用户需要的机票和酒店涨价，这就是不公平的。

2、被收集用于指定的，明确的和合法的目的，不得以不符合这些目的的方式进一步处理; 根据第89（1）条，为公共档案目的进行进一步处理，用于科学或历史研究目的或用于统计目的，不得视为与原始目的不相符（“目的限制”）。

collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 89(1), not be considered to be incompatible with the initial purposes (‘purpose limitation’);

即：意谓在个人数据的处理问题上必须满足正当目的的要求，其后续的数据处理也不得违反初始目的的要求。

比如用于健康监测的APP需要收集用户的各项身体指标，如果该数据进而被分发给一家药品或医疗器械的销售商，用于推销，则超出了最初的处理目的，违反了GDPR。

3、合理地和限于与处理它们的目的有关的必要条件（“数据最小化”）;

adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’);

即：对于个人数据的处理数量以满足该业务需要的最小数量为限，不得收集任何非必须的个人数据。

4、准确，并在必要时保持最新， 必须采取一切适当措施，确保及时删除或纠正因处理目的不准确的个人资料（“准确性”）;

accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (‘accuracy’);

即：明确对个人数据的使用要保持数据的真实准确，在个人数据更新时必须及时同步更新或者及时删除。

5、存储的形式允许仅在为处理目的所需的时间内识别数据主体; 个人数据可以存储较长时间，前提是个人数据受本法规要求的适当技术和组织措施的保护，以保护数据主体的权利和自由，仅用于公共利益或科学和历史研究目的或根据第89（1）条（“储存限额”）进行统计处理。

kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) subject to implementation of the appropriate technical and organisational measures required by this Regulation in order to safeguard the rights and freedoms of the data subject (‘storage limitation’);

即：欧盟GDPR明确了可以超期储存的个人数据情形，包括为实现公共利益、进行科学或者历史研究、但是为了保障数据主体的权利和自由，要求必须采用该条例所规定的合理技术与组织措施方可进行。

6、以确保个人数据的适当安全性的方式处理，包括使用适当的技术或组织措施（“完整性和机密性”）防止未经授权或非法处理以及意外丢失，破坏或损坏。GDPR第四章对数据安全有专门规定。

processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).

即：明确个人数据处理过程中，获取该数据者必须经过严格授权，避免数据被非法处理或者不当泄露。

最后，控制人应负责并能够证明符合第1款（“问责制”）。The controller shall be responsible for, and be able to demonstrate compliance with, paragraph 1 (‘accountability’).

即：数据控制者应当负责落实上述事项，并有能力证明落实情况。GDPR所鼓励的证明方式包括遵守经批准的行为准则，或通过合格机构的认证。

需要注意的是，根据第83条，基本原则可以作为行政处罚的直接依据，违反基本原则属于严重违法，可能面临最高额的行政罚款。GDPR个人数据处理的基本原则与GDPR其他章节规定的数据主体权利、数据控制者和或处理者的义务等内容密切相关，应当互相参照，作为一个整体进行理解和适用。

PS:文章内容为SCA根据通用数据保护条例（GDPR）整理，更多问题欢迎留言讨论。SCA安全通信联盟，简称SCA，主要关注安全通信和安全身份认证领域，为信息安全领域提供中立、专业的认证咨询服务。早在2018年GDPR法案刚刚颁布不久，信息安全行业专业咨询机构SCA安全通信联盟就举办了首次针对GDPR法律法规的解读培训。本文参考资料包括：个人数据处理的基本原则有哪些？http://lawv3.wkinfo.com.cn/topic/61000000515/7.HTML      欧盟GDPR：《通用数据保护条例》的原则http://www.sohu.com/a/251880241_100056096