网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

(b) 为特定的、明确的、合法的目的收集，并且不符合以上目的不得以一定的方式进行进一步的处理；为公共利益、科学，或历史研究目的，或统计目的而进一步处理，按照第89条第（1）款，不应被视为不符合初始目的（“目的限制”）；

(c) 充分、相关以及以该个人数据处理目的之必要为限度进行处理（“数据最小化”）；  

(d) 准确，必要，及时；为了个人数据被毫不延迟地处理、删除或修正的目的，必须采取一切合理的步骤确保个人数据是不精确的（“精度”）；

(e) 在不超过个人数据处理目的之必要的情形下，允许以数据主体以可识别的形式保存；为了保护数据主体的权利和自由，依据第89条（1）予以实施本法所要求的适度的技术和组织措施，只要个人数据将仅仅以为达到公共利益、科学或历史研究或统计的目的而处理，个人数据能被长时间存储（“存储限制”）。

(f) 以确保个人数据适度安全的方式处理，包括使用适当的技术或组织措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施（“完整性和机密性”）。

2. 控制者应该负责，并能够证明符合第一项(“问责制”)。

第6条

处理的合法性

1. 只有在适用以下至少一条的情况下，处理视为合法：

（a）数据主体同意他或她的个人数据为一个或多个特定目而处理;

（b）处理是为履行数据主体参与的合同之必要，亦或处理是因数据主体在签订合同前的请求而采取的措施；

（c）处理是为履行控制者所服从的法律义务之必要；

（d）处理是为了保护数据主体或另一个自然人的切身利益之必要；

（e）处理是为了执行公共利益领域的任务或行使控制者既定的公务职权之必要；

（f）处理是控制者或者第三方为了追求合法利益的之必要，但此利益被要求保护个人数据的数据主体的利益或基本权利以及自由覆盖的除外，尤其是数据主体为儿童的情形下。

前第一款（f）项不适用于政府当局在履行其职责时进行的处理。

2.成员国可以维持或引入更具体的规定来适应本法关于处理的条款应用，通过设定包括在第九部分中规定的其他具体处理情形，设定更准确具体的处理要求和其他措施来确保合法和公平的处理，以遵守第一款的(c)项和(e)项，

3.第一款的(c)项和(e)项所指的处理的依据如下：

（a）欧盟法律；或

（b）控制者所属的成员国法律。

处理的目的应当依据法律确定，或者根据第一款（e）项中所指之处理，即应当为了执行公共利益领域的任务或行使控制者既定的公务职权之必要。法律依据可以包括具体条款以此来适应本法条款的应用，特别是：调整控制者处理合法性的一般条件；被处理的数据类型；与数据主体相关的；个人数据可能被披露的实体和目的；目的限制；存储期限；以及处理操作和处理程序，包括确保合法和公平处理的措施，诸如那些在第九部分提及的其他具体处理情况。欧盟或成员国法律应当符合公共利益的目标以及与追求的正当目标相称。

4. 当处理不是为了个人数据被收集时的那个目的，并且这个目的不是基于数据主体的同意，亦非基于在民主社会构成一个必要且适当措施来保障第23条（1）款所指之目标的欧盟或成员国法律，控制者应当为了查明为其他目的进行的处理是否与个人数据最初被收集时的目的相一致而考虑，特别是：

（a）任何在个人数据被收集时的目的和预期进一步处理的目的之间的联系；

（b）个人数据被收集时的情形，尤其是关于数据主体和控制者的关系的；

（c）个人数据的性质，尤其不管是依据第9条被处理的特殊类别的个人数据，还是依据第10条与刑事定罪和罪行有关的个人数据；

（d）预期进一步处理给数据主体可能造成的后果；

（e）适当的可能包括加密或匿名化的保障措施的存在。

第7条

同意的要件

1. 如处理是基于同意，则控制者应能证明数据主体已经同意处理他或她的个人数据。

2. 如数据主体通过书面声明的方式作出同意，且书面声明涉及其他事项，那么同意应以易于理解且与其他事项显著区别的形式呈现。构成违反本法的声明的任何部分，均不具约束力。

3. 数据主体有权随时撤回他或她的同意。同意的撤回不应影响在撤回前基于同意作出的合法的数据处理。在作出同意前，数据主体应被告知上述权利。撤回同意应与作出同意同样容易。

4. 当评估同意是否是自由作出时，应尽最大可能考虑，还应考虑合同的履行，包括服务的提供是否是基于对履行合同不必要的个人数据的同意。

第8条

关于信息社会服务适用于儿童同意的条件