“合法权益”中的 cookie 警告是什么意思？

合法权益是 GDPR 中的一个法律术语。您应该阅读 GDPR 以获得详细的解释：)，但简而言之，任何法律理由都可以证明网站处理您的个人数据的必要性。例如，如果您从网上商店订购商品，该商店处理您的数据的合法权益是完成您的订单的需要。

然而，合法利益的概念经常被网站滥用，他们将例如跟踪用户列为合法利益，以“防止欺诈”。如果可以选择关闭此功能，请尽可能关闭。如果站点运行确实需要某些东西，您将无法将其关闭:)

根据 GDPR，任何人都可以根据 6 个理由处理个人数据。那些是：

• 同意

  您明确同意。这需要选择加入、知情、具体和自由给予，但也给公司最大的自由。

• 合同

  这是 raj 的回答与合法利益相混淆的基础。这是履行合同义务所需的处理（请注意，合同并不总是需要签署，例如来自网上商店的订单）。

  需要处理某人的个人数据：

  • 向他们提供合同服务；或者
  • 因为他们要求您在签订合同之前做一些事情（例如提供报价）。

           ^{资料来源：ico.org.uk}

• 法律义务

• 切身利益

• 公共任务

• 合法权益

  合法权益是处理个人数据最灵活的合法依据。用英国 ICO ¹的话来说：

  如果您以人们合理预期的方式使用人们的数据并且对隐私的影响最小，或者有令人信服的理由进行处理，这可能是最合适的。

           ^{来源：ico.org.uk（值得一读！！！）}

  GDPR 本身的基础文本（添加的定义和链接是我的）

  处理对于控制者[= 想要处理您的数据的公司] 或第三方所追求的合法利益 [= 特定的最小处理类型] 是必要的，除非此类利益被利益或基本权利所凌驾和需要保护个人数据的数据主体 [=您] 的自由，特别是在数据主体是儿童的情况下。

           ^{资料来源：GDPR 第 6(1f) 条}

  因此，基本上公司的合法利益主张是他们说“我们相信我们的利益超过了对我们处理其数据的人的隐私的微不足道的影响”。但这并没有给他们免费通行证，因为 GDPR 也赋予了反对的权利

  数据主体有权以与其特定情况有关的理由，随时反对基于第 6 条[公共利益]或[合法利益]处理与其有关的个人数据（ 1)，包括基于这些规定的分析。

           ^{资料来源：GDPR 第 21(1) 条}

  然后要求公司要么承认并停止处理，要么证明他们的主张是正当的。实践中的公司认为这意味着他们基本上可以进行大量处理，只要他们使反对过程（=选择退出）足够容易，理论上他们会侥幸逃脱。

笔记：

¹英国离开了欧盟，但他们仍然拥有迄今为止解释 GDPR 的最佳英语语言资源，据我所知，目前“UK GDPR”与“EU GDPR”一对一匹配。

由于问题是关于 cookie 的，因此仅基于 GDPR 的答案将是不完整的。

令人困惑的事实是：

• 控制Cookie使用的是 电子隐私指令（“Cookie 法”）
• 控制cookie 处理的数据的是 GDPR 。

GDPR 定义了保留用户数据的六个理由，包括同意、合同、法律义务、重要利益、公共任务和合法利益。但是由于电子隐私指令，同意是强制性的，远在合法利益之前。这意味着合法利益仍然需要获得同意。

即使网站认为有必要进行处理，也必须权衡合法利益与用户的基本权利和自由。

GDPR 强调了以下被视为合法利益的特定处理类型：

• 预防诈骗
• 网络与信息安全
• 表明可能的犯罪行为或对公共安全的威胁
• 处理员工或客户数据、直接营销和集团内部行政转移也可能被视为合法利益。

GDPR 的叙述 (47) 说：“为直接营销目的处理个人数据可能被视为出于合法利益而进行的”。但是这里的“可能”一词并没有给予网站保留用户数据的全权委托。

网站必须平衡其利益与个人利益。如果个人不能合理地期望处理，或者如果它会造成不合理的伤害，他的利益凌驾于网站的合法利益之上。

网站使用合法权益实际上非常麻烦。该网站必须记录其使用它的理由，并且必须为用户或当局的任何查询提供此文件。它必须在其隐私信息中包含其合法利益的详细信息。它还必须保留其合法利益评估 (LIA) 的记录，以在需要时帮助证明合规性。

为此，英国数据保护机构建议使用包括以下内容的 三部分测试 ：

• 目的测试——处理背后是否存在合法利益？
• 必要性测试——为此目的是否需要处理？
• 平衡测试——个人的利益、权利或自由是否凌驾于合法利益之上？

需要为所有这三点提供良好的答案才能证明其合法利益。这个相当繁重的过程应该让网站在声称合法权益之前三思而后行。

参考：

• GDPR：合法利益——它是什么以及何时适用？
• 英国ICO的合法权益
• GDPR 下的合法利益是什么？