Cookie 警告中的“合法利益”是什么意思？

Question 1

合法利益是 GDPR 中的一个法律术语。您应该阅读 GDPR 以详细了解它的含义 :)，但简而言之，它是任何合法理由，可以证明网站需要处理您的个人数据。例如，如果您从网上商店订购商品，商店处理您的数据的合法利益就是完成您的订单的需要。

然而，合法利益概念经常被网站滥用，例如，它们将跟踪用户以“防止欺诈”列为合法利益。如果有关闭该功能的选项，请尽可能关闭。如果网站确实需要某些功能才能正常运行，您将无法将其关闭 :)

Answer

合法利益是 GDPR 中的一个法律术语。您应该阅读 GDPR 以详细了解它的含义 :)，但简而言之，它是任何合法理由，可以证明网站需要处理您的个人数据。例如，如果您从网上商店订购商品，商店处理您的数据的合法利益就是完成您的订单的需要。

然而，合法利益概念经常被网站滥用，例如，它们将跟踪用户以“防止欺诈”列为合法利益。如果有关闭该功能的选项，请尽可能关闭。如果网站确实需要某些功能才能正常运行，您将无法将其关闭 :)

Question 2

根据 GDPR，任何人都可以基于 6 个理由处理个人数据。这些理由包括：

同意

您明确同意。这需要是自愿的、知情的、具体的和自愿的，但也给予公司最大的自由。
合同

这就是 raj 的回答与合法利益相混淆的基础。这是履行合同义务所需的处理（请注意，合同并不总是需要签署，例如来自网上商店的订单）。
需要处理某人的个人数据：
- 向他们提供合同服务；或
- 因为他们要求您在签订合同之前做一些事情（例如提供报价）。
^{来源：ico.org.uk}
法律义务
重大利益
公共任务
合法权益

合法利益是处理个人数据最灵活的合法基础。英国信息专员办公室¹曾表示：

当您以人们合理预期的方式使用他们的数据且对隐私的影响最小，或者有令人信服的理由进行处理时，这可能是最合适的。

^{来源：ico.org.uk（值得一读！！！）}

GDPR 本身的底层文本（定义和链接是我添加的）

处理是必要的目的[=特定的最低限度的处理类型] 追求的合法利益控制器[=想要处理您的数据的公司]或第三方，除非这些利益被数据主体[=您]的利益或基本权利和自由所凌驾，而这些利益或基本权利和自由需要保护个人数据，特别是当数据主体是儿童时。

^{来源：GDPR 第 6（1f）条}

因此，从根本上讲，一家公司的合法利益主张就是他们说“我们确信我们的利益大于对我们处理其数据的人的隐私的微不足道的影响”。但这并不意味着他们就逍遥法外，因为 GDPR 也赋予了他们反对的权利

数据主体有权基于与其特殊情况有关的理由，随时反对基于第 6(1) 条第 [公共利益] 或 [合法利益] 点对其个人数据的处理，包括基于这些规定进行的分析。

^{来源：GDPR 第 21(1) 条}

然后要求公司要么承认并停止处理，要么证明其主张的合理性。实践中，公司认为这意味着他们基本上可以进行大量处理，只要他们让反对过程（=选择退出）足够简单，理论上他们就可以逃脱惩罚。

笔记：

¹英国脱离了欧盟，但他们仍然拥有迄今为止最好的英语资源来解释 GDPR，并且据我所知，目前“英国 GDPR”与“欧盟 GDPR”一一对应。

Answer

根据 GDPR，任何人都可以基于 6 个理由处理个人数据。这些理由包括：

同意

您明确同意。这需要是自愿的、知情的、具体的和自愿的，但也给予公司最大的自由。
合同

这就是 raj 的回答与合法利益相混淆的基础。这是履行合同义务所需的处理（请注意，合同并不总是需要签署，例如来自网上商店的订单）。
需要处理某人的个人数据：
- 向他们提供合同服务；或
- 因为他们要求您在签订合同之前做一些事情（例如提供报价）。
^{来源：ico.org.uk}
法律义务
重大利益
公共任务
合法权益

合法利益是处理个人数据最灵活的合法基础。英国信息专员办公室¹曾表示：

当您以人们合理预期的方式使用他们的数据且对隐私的影响最小，或者有令人信服的理由进行处理时，这可能是最合适的。

^{来源：ico.org.uk（值得一读！！！）}

GDPR 本身的底层文本（定义和链接是我添加的）

处理是必要的目的[=特定的最低限度的处理类型] 追求的合法利益控制器[=想要处理您的数据的公司]或第三方，除非这些利益被数据主体[=您]的利益或基本权利和自由所凌驾，而这些利益或基本权利和自由需要保护个人数据，特别是当数据主体是儿童时。

^{来源：GDPR 第 6（1f）条}

因此，从根本上讲，一家公司的合法利益主张就是他们说“我们确信我们的利益大于对我们处理其数据的人的隐私的微不足道的影响”。但这并不意味着他们就逍遥法外，因为 GDPR 也赋予了他们反对的权利

数据主体有权基于与其特殊情况有关的理由，随时反对基于第 6(1) 条第 [公共利益] 或 [合法利益] 点对其个人数据的处理，包括基于这些规定进行的分析。

^{来源：GDPR 第 21(1) 条}

然后要求公司要么承认并停止处理，要么证明其主张的合理性。实践中，公司认为这意味着他们基本上可以进行大量处理，只要他们让反对过程（=选择退出）足够简单，理论上他们就可以逃脱惩罚。

笔记：

¹英国脱离了欧盟，但他们仍然拥有迄今为止最好的英语资源来解释 GDPR，并且据我所知，目前“英国 GDPR”与“欧盟 GDPR”一一对应。

Question 3

由于问题涉及 cookie，因此仅基于 GDPR 的答案是不完整的。

令人困惑的事实是：

它是电子隐私指令哪个控制使用Cookie 法（“Cookie 法”）
GDPR 负责控制数据哪些 cookies 处理。

GDPR 定义了保存用户数据的六种理由，包括同意、合同、法律义务、重大利益、公共任务和合法利益。但由于电子隐私指令，同意是强制性的，比合法利益更重要。这意味着合法利益仍然需要同意。

即使网站认为处理是必要的，也必须权衡合法利益与用户的基本权利和自由。

GDPR 强调以下被视为合法利益的特定处理类型：

预防诈骗
网络与信息安全
表示可能存在犯罪行为或对公共安全的威胁
处理员工或客户数据、直接营销和集团内部行政转移可能也会被视为合法利益。

GDPR 第 (47) 条规定：“为直接营销目的处理个人数据可能被视为出于合法利益”。但这里的“可以”一词并不意味着网站可以全权保留用户数据。

网站必须平衡其利益与个人利益。如果个人不愿意合理预期处理，或者如果造成不合理损害，他的利益优先于网站的合法利益。

网站使用合法利益实际上相当麻烦。网站必须记录其使用该利益的理由，并且必须提供此文档以供用户或当局查询。它必须在其隐私信息中包含其合法利益的详细信息。它还必须保留其合法利益评估 (LIA) 的记录，以便在必要时帮助证明合规性。

为此，英国数据保护机构建议使用三部分测试其中包括以下内容：

目的测试– 处理背后是否有合法利益？
必要性测试– 为了该目的，处理是否必要？
平衡测试– 合法利益是否会被个人的利益、权利或自由所凌驾？

必须对这三点都给出好的答案，才能证明其合法权益。这个相当繁琐的过程应该让网站在声称合法权益之前三思而行。

参考：

Answer