1.4.1　法律目的

长期以来的一项隐私原则是，23当企业收集和使用个人信息时，数据控制者应：

●在提出个人信息请求时，于隐私告知中或以其他传达方式描述和指定收集个人信息及任何相关敏感信息的目的，确保该目的符合适用法律的要求并有允许的法律依据。

●根据所述目的和获得的同意调整对个人信息和敏感信息的后续使用，并遵守有关使用限制的法律要求。

●必要时，与适用的数据保护法律机构就合法目的和使用限制进行沟通。

收集、使用和共享个人信息的目的必须符合相关法律要求。关于如何确定此类目的是否合法，以 GDPR 中的一个条款为例，24第6 条要求，个人数据的处理只有在下列的任一情况下才是“合法的”：

●数据主体出于一个或多个特定目的已同意处理其个人数据。

●为履行数据主体为当事方的合同，或者在签订合同前应数据主体的要求采取措施，必须进行个人数据的处理。

●为履行控制者所承担的法律义务而有必要进行个人数据的处理。

●为保护数据主体或其他自然人的切身利益而有必要进行个人数据的处理。

●控制者为执行旨在实现公共利益的任务或行使其职务权限，而有必要进行个人数据的处理。

●为了控制者（政府当局除外）或第三方所追求的合法权益而有必要进行个人数据的处理，除非数据主体的利益或基本权利与自由凌驾于这些利益之上，尤其是当数据主体是未成年人时。

虽然欧盟成员国必须满足这些最低要求，但每个成员国还可以制定其他更具体的要求。因此，对每个企业来说，了解收集和处理的个人信息所在国家/地区的要求非常重要，而不能假定 GDPR 涵盖了所有要求。