您有权出售什么(GDPR 和货币化)
个人还是非个人?匿名还是假名?转让的法律依据是什么?5个问题的清单,助您在无GDPR风险的情况下实现数据货币化。
您有权出售什么
GDPR 和数据货币化
10 张幻灯片 · 滑动或使用方向键免责声明
这不是法律建议
本指南旨在普及既定规则。对于您的具体情况,请咨询您的DPO、CNIL或律师。
起点
个人数据,还是非个人数据?
一切由此开始。能够识别个人(直接或间接)的数据即为“个人数据”→ 适用GDPR。
┌ GDPR,第4条第1款
关键区分
匿名 ≠ 假名化
匿名(不可逆)= 不受GDPR管辖(考量因素26)。假名化(可逆)= 仍为个人数据。CNIL要求进行3项测试:个体化、关联和推断。
┌ GDPR,考量因素26 + 第4条第5款 · CNIL
条件
转让的合法依据
同意,或合法利益(需进行平衡测试)。“以合法利益为由进行销售”并非一般性规则。
┌ GDPR,第6条第1款
陷阱
转售=新目的
转售是与收集目的不同的新目的 → 实际上,需要新的同意。笼统接受的服务条款不足以构成同意。
┌ GDPR,第5条第1款(b) + 第6条第4款 · CNIL
B2B案例
B2B并非不受GDPR管辖
“contact@société” = 不受GDPR管辖。但“prenom.nom@”或员工姓名 = 个人数据。个体创业者:通常为个人数据。
┌ GDPR,考量因素14 · CJUE C-710/23
清单
我能卖吗?5个问题
- 1. 该数据是否为个人数据?
- 2. 我是否有合法依据进行转让?
- 3. 这是否与初始目的兼容?
- 4. 相关个人是否已获知情且可以反对?
- 5. 反对者是否已被排除(并有证明)?
证据(制裁)
这不是理论
2025年5月15日,CNIL因Solocal Marketing Services(罚款900,000欧元)和Caloga(罚款80,000欧元)未能提供有效的合法依据用于使用/转售潜在客户数据而对其进行了处罚。
┌ CNIL,2025年5月15日的裁决
要点
合规即价值
合规的数据可以出售;不合规的数据将受到处罚。
- 没有合法依据,数据一文不值(且有风险)
- 优先选择聚合/匿名化数据
- 记录同意和反对情况
关于数据变现或采购有疑问?
与专家交流 — 无任何约束。
完整指南
在将数据货币化之前,有一个问题比其他所有问题都重要:您是否有权出售这些数据?(本指南旨在普及既定规则,不构成法律建议:对于您的具体情况,请咨询您的DPO、CNIL或律师。)
一切始于一个区分:数据是否为个人数据?能够直接或间接识别个人的数据即为个人数据,并受GDPR管辖(第4条第1款)。接下来是一个决定性的细微差别:仅假名化的数据仍为个人数据(第4条第5款),而匿名化数据——即不可逆地使其无法识别个人——则不受GDPR管辖(考量因素26)。CNIL要求进行三项测试才能称为匿名化:无法个体化、无法关联和无法推断。
为了转让个人数据,必须有合法依据(第6条第1款):同意,或附带平衡测试的合法利益。请注意,“以合法利益为由进行销售”并非一般性规则——这是逐案处理的。另一个陷阱:转售数据构成与收集目的不同的新目的(第5条第1款(b)和第6条第4款);实际上,这需要新的同意,而笼统接受的服务条款并不构成同意(CNIL)。在潜在客户开发方面,电子渠道需要事先同意,而邮寄或电话方式可以依赖合法利益并附带反对权。
B2B领域也并非不受GDPR管辖:一个通用的地址“contact@société”不受管辖(考量因素14),但一个具名电子邮件“prenom.nom@”或员工姓名仍属于个人数据(CJUE,C-710/23);对于个体创业者,“公司数据”通常会识别个人。因此,有一个五点清单:该数据是否为个人数据?我是否有合法依据进行转让?这是否与初始目的兼容?相关个人是否已获知情且可以反对?反对者是否已被排除,并有证明?
这不是理论:2025年5月15日,CNIL因Solocal Marketing Services(罚款900,000欧元)和Caloga(罚款80,000欧元)未能提供有效的合法依据用于使用和转售潜在客户数据而对其进行了处罚。教训是:合规的数据可以出售,不合规的数据将受到处罚。优先选择聚合和匿名化数据,并在将数据推向市场之前对其进行资质认证。
来源
- RGPD — Règlement (UE) 2016/679 (EUR-Lex)
- CNIL — Anonymisation, bases légales, vente de fichiers
- CNIL — Sanctions Solocal / Caloga (15/05/2025)
- CJUE — affaire C-710/23
教育内容 — 非法律或财务建议。每个数据均标注来源和年份。