欧盟GDPR（又称《通用数据保护条例》）的正式颁布可谓一石激起千层浪，这一号称史上最严的数据保护条例，不仅严格约束了欧盟内部的数据处理相关问题，对世界范围内其他国家和组织的数据处理也有一定的影响。

欧盟GDPR中对数据处理的合法性提出了明确的要求，相关主体必须予以明确。

根据欧盟GDPR的规定，只有满足该条例中的至少一项条件时，所进行的数据处理行为才可能被认为是合法性处理。此外，该被认定为合法性的处理也只能在符合条件的范围内进行数据处理。因此，掌握欧盟GDPR中所规定的数据处理的合法性的具体条件就显得尤为重要。

首先，在数据接受处理之前，必须保证数据主体知悉该事项，且已经确定同意将该个人数据用于一个或者多个项目的处理。由于个人数据往往与数据主体的利益密切相关，因此在数据主体不知情或者未得到个人数据主体明确同意之前，无论即将进行的处理活动是否会损害个人主体的切身利益，该个人数据都不得被用于或者即将用于任何项目，进行任何数据处理活动。

第二，根据欧盟GDPR规定，若处理该数据对于数据主体所参与其中所订立的某项契约是必须的，或者虽尚未签订契约，但该项数据处理是基于该个人数据主体的要求而进行的，那么该次对于个人数据的处理仍然可以被认定为合法行为。

第三，若该次对于数据的处理是数据控制者履行期其法定义务所必须的，例如为满足侦查犯罪的需要等，那么此时个人数据主体往往需要让渡一部分隐私，数据控制者可以在未经个人数据主体同意的前提下对该个人数据进行履行其法定义务所必须的处理，但是不得存在任何非必须的处理操作。

第四，在欧盟GDPR的框架下，如果该次数据处理行为是基于对数据主体或者其他自然人的核心利益保护而进行，且该次处理行为对于数据保护来说是必不可少的，那么数据控制者同样可以对该个人数据进行保护核心利益所必须的处理。自然而然地，若基于保护公共利益的需要，数据处理者自然也可以对数据进行必须的处理。但欧盟GDPR中，对于究竟如何界定“核心利益”并未作出针对性较强的解释，这也使得在具体条款的运用中会存在一些模糊地带，需要各成员国或者欧盟数据保护委员会通过具体协调达成最终的一致意见。同时，基于官方权威而履行任务时，为确保任务的顺利完成，此时必须涉及的个人数据也会被加以必要的处理行为。

可以看到，欧盟GDPR规定的上述条件中，必要性这一条件十分重要，力求将个人数据主体被迫让渡自身权利的情形降到最低，这也侧面体现出了欧盟GDPR对个人主体权利的重视。此外，欧盟GDPR中明确，对于处理的合法性问题，除了该条例本身的硬性规定，各欧盟成员国在遵守欧盟GDPR的前提下，结合本国具体实际，可以制定具体的实施细则，以满足各国实际情况的千差万别。但由于数据的流转可能存在于不同的国家及国际组织之间，因此相对统一的标准也同样必不可少。欧盟数据保护委员会作为随欧盟GDPR而同步产生的数据保护机构，对于各成员国之间利益的协调、标准的统一而言就显得尤其重要，其在数据处理的合法性问题上也同样发挥着十分重要的作用。

因此，对于数据处理的合法性，必须以欧盟GDPR的规定为首要遵守标准，其次在各国结合具体实际情况的基础上，在合作中达成相对一致的保护标准，最大程度发挥欧盟GDPR对数据保护的作用。

严正声明：本文章内容为佑碧艾商务咨询（上海）有限公司（以下简称LEB）原创作品，LEB对该作品享有全部著作权。欢迎转发，如需以任何形式转载请注明作品出处及标注作者（LEB）署名，违者将承担相应法律责任。特此声明。