---
name: processing-basis
description: >
  处理合法性基础判断——评估每类数据处理的法律依据。
  适用情形：data-inventory完成后，判断每类数据处理是否有合法依据。
  核心：六种合法性基础的选择 + 必要性判断 + 证明责任。
argument-hint: "[数据类型] [处理目的] [处理方式]"
legal_frame: cn-mainland
last_reviewed: 2026-06
version: 1.0.0
risk_level: high
trigger_phrases:
  - '数据合规'
  - '个人信息'
  - 'PIPL'
  - '跨境'
---

## 加载上下文

**首次使用时：** 读取 `../CLAUDE.md` 获取场景级配置（法域足迹/数据源/置信度规则）。

# /processing-basis — 处理合法性基础判断

## 六种合法性基础（PIPL第13条）

| 基础 | 适用条件 | 不能以此为基础的处理 |
|---|---|---|
| 同意 | 须明确、知情、可撤回 | 必要性不足的处理 |
| 合同履行 | 为用户提供服务所必要 | 超出服务范围的处理 |
| 法律义务 | 须有明确法律规定 | 无依据的处理 |
| 正当利益 | 须利益>损害，且无替代方案 | 老人/儿童信息 |
| 紧急情况 | 须为保护生命健康 | 一般商业处理 |
| 公共利益 | 须新闻报道/学术研究等 | 商业营销 |

---

## 必要性判断框架

### "必要"的判断标准

**处理目的的正当性：**
- 处理目的须具体、明确
- 不能以笼统的"改善服务"为由处理非必要数据

**处理范围的最小化：**
- 处理的数据类型须与目的直接相关
- 不能收集与服务无关的信息
- 处理频次/数量须在实现目的的最小范围内

**替代方案的不可行性：**
- 是否有不涉及个人信息的技术方案
- 是否有去标识化/匿名化的替代方案

---

## 同意的有效性判断

### 有效同意四要素

| 要素 | 要求 | 常见问题 |
|---|---|---|
| 自愿 | 非欺诈/胁迫/趁人之危 | 拒绝服务则无法使用（捆绑同意） |
| 明确 | 须主动作出（不能默认勾选） | 预勾选/一揽子同意 |
| 知情 | 须告知处理目的/方式/风险 | 告知内容不完整 |
| 可撤回 | 提供同等便捷的撤回路径 | 撤回路径复杂/无法撤回 |

### 单独同意 vs 概括同意

**须单独同意的情形：**
- 向第三方提供个人信息
- 公开个人信息
- 处理敏感个人信息
- 向境外提供个人信息
- 使用个人信息进行自动化决策

---

## 利益权衡测试

### PIPL第13条正当利益基础须满足：

**步骤1：识别正当利益**
- 合法利益（商业利益/安全/防欺诈）
- 须具体、合法、正当

**步骤2：评估对个人的影响**
- 对个人的损害程度
- 个人是否可以合理预期
- 是否影响个人权益

**步骤3：利益权衡**
- 利益>损害 → 可用正当利益基础
- 利益≤损害 → 不能用正当利益基础

---

## 输出格式

```
## 处理合法性基础判断

### 数据处理类型
[数据类型] — [处理目的]

### 建议的合法性基础
[同意/合同履行/法律义务/正当利益/紧急情况/公共利益]

### 必要性判断
✅ 必要 / ❌ 非必要
[判断理由]

### 同意有效性（如选同意）
✅ 有效 / ⚠️ 存在瑕疵
[存在的问题]

### 单独同意
✅ 须单独同意 / ❌ 不须单独同意

### 合规建议
[具体建议]
```

---

*Greater China Legal — B-phase Scene C data-compliance v1.0.0*
