同意与合法利益：您应该选择哪个进行营销？

GDPR 第 6 条允许您在包括同意和合法利益在内的六种合法基础下处理用户的个人数据：

GDPR 第 6(1)(a) 条——同意作为处理数据的合法依据：数据主体已同意出于一个或多个特定目的处理其个人数据；

GDPR 第 6(1)(f) 条——为了控制者或第三方追求的合法利益，必须进行处理，除非此类利益被数据主体的利益或基本权利和自由所取代保护个人数据，特别是在数据主体是儿童的情况下。

这两个也是为营销目的处理个人数据的讨论最多的法律依据。

其中，同意基础的工作非常简单……因为用户已“同意”您的数据处理。

然而，问题在于，它并不总是适合营销过程。

然后给营销人员留下了合法利益条款。

从表面上看，合法权益看起来像是一个可以允许大量个人数据处理的笼统术语。 但是使用合法权益作为法律依据需要仔细考虑，因为只有在数据处理实际上是必要的情况下，它们才能被视为处理数据的合法依据。

出于营销目的在同意和合法利益之间进行选择

使用同意作为法律依据处理个人数据被认为是非常安全的，因为同意是“黄金标准”。

与合法权益的基础相比，它也是处理数据的更强大的基础，因为它是明确的。 你问用户，他们说“是的！”。

但是，每次您想要处理某种类型的个人数据时获得同意意味着让您的用户选择加入大量不同的同意表格。

事实上，GDPR 就如何合法地寻求同意提供了一些非常明确和严格的指令：

[…] 同意的表示必须是明确的，并包含明确的肯定行动（选择加入）。 它特别禁止预先勾选的选择加入框。 它还需要针对不同处理操作的不同（“细粒度”）同意选项。 同意应与其他条款和条件分开，通常不应作为注册服务的先决条件。

另一方面，合法权益的法律依据相当灵活。

首先，GDPR 允许营销人员根据合法权益为直接营销目的处理个人数据：

…为直接营销目的处理个人数据可能被视为出于合法利益。

此外，ICO（信息专员办公室，一家总部位于英国的独立机构，指导企业如何应用英国的数据隐私法，例如 GDPR）解释了这种营销中的合法利益（例如“促进销售”的利益）如何能够制定处理数据的真正目的：

[W] 我们在向现有客户推销我们的商品以增加销售额方面拥有合法权益。

ICO 还解释了在多种情况下，合法利益如何成为最合适的基础，例如：

• 处理不是法律要求的，但对您或其他人有明显的好处；
• 对个人的隐私影响有限；
• 个人应该合理地期望您以这种方式使用他们的数据； 和
• 当个人不太可能反对处理时，您不能或不想给予个人完全的前期控制权（即同意）或通过破坏性的同意请求打扰他们。

对于手头的每个营销需求（或目的），营销人员需要仔细决定要使用的不同合法依据（从 GDPR 允许数据处理的六个合法依据中选择）。 在这六个中，同意和合法利益是通常用于一般（或未登录）访问者的网站个性化的两个合法基础。 （本文重点介绍如何使用合法权益合法基础来个性化您的网站体验。）

一般来说，包括合法权益条款下的案件需要深思熟虑。 为了让这有点容易，ICO 设计了一个由三部分组成的测试，以帮助您确定您手头的目的是否真的符合合法权益条款的合法基础。

这是 ICO 根据 GDPR 确定合法权益的三部分测试：

1. 目的测试——处理背后是否存在合法利益？
   要将合法权益作为处理个人数据的合法依据，您需要首先说明您需要处理相关个人数据。 在想要处理它的背后，你需要一个明确的目的。
2. 必要性测试——为此目的是否需要处理？
   要将合法权益用作处理个人数据的合法依据，您需要证明没有其他侵入性较小的方式可以实现您的目的，并且您的处理是“相称且有充分针对性以实现其目标…… ”
3. 平衡测试——个人的利益、权利或自由是否凌驾于合法利益之上？
   在您的案件通过前两项测试后，您需要确保处理相关个人数据不会侵犯其个人数据将被处理的个人的权利和自由。

有了这个，现在让我们看一些可能属于 GDPR 合法权益条款的非常常见的个人数据处理示例。

使用合法利益处理个人数据的 10 个例子

在我们看到实际示例之前，请了解下面列出的每个示例都有大量注意事项。 这些例子只是为了给你一些营销目的的建议，可以在合法利益条款下探索。

开始 …

1、IP地址数据处理

根据您捕获的数据量，IP 地址可以说明很多。 例如，您可以使用它来查找访问者的位置，或者您也可以使用它来找出他们工作的公司（在我们的 ABM 101 文章中了解更多信息）。

合法权益是可用于处理用户 IP 地址数据（归类为个人数据）的合法依据之一。 使用 IP 地址的合法权益条款下的营销目的的一个示例可能是提供本地化优惠。

例如，电子商务商店可以向从季风季节浏览的人推销雨衣。 或者，在线商店可能会使用访问者的位置数据向访问者所在区域提供限时免费送货服务。

同样，B2B 公司可以使用访问者的公司（从他们的 IP 地址识别）以图像或内容的形式向他们展示一些动态的个性化，例如公司名称或行业。

注意：如果您使用访问者的 IP 地址来个性化他们的网站体验，如果您将它们用于天气或位置服务，最好不要将它们存储在您的数据库中。 这样，当在同一地点收集关于一个人的多个数据点时，这些数据不会造成问题。

2. 网站分析数据处理

大多数网站出于性能优化的目的收集访问者的浏览数据。 这通常包含在合法权益条款中。 通常，此类数据并不代表问题，因为它通常是匿名的，并且大多数分析工具（如 Google Analytics）都禁止处理/存储 PII（个人身份信息）。

此类数据处理的趋势可用于形成广泛的个性化网站体验的基础。

例如，使用谷歌分析，您可以识别您网站上失去大部分潜在客户的页面。 您还可以使用 Google Analytics 中的一些高级细分选项来识别流失的细分受众群。 这样的数据处理可以为您生成许多关于人口统计数据和更多关于您正在失去的流量的见解。

使用这些见解，您还可以测试为这些细分市场提供更个性化的网站体验。

例如，如果电子商务商店发现某个产品页面的流失率很高，它可以使用其受众的人口统计信息来微调其产品页面的消息传递。

这种个性化不仅微妙而有意义，而且处理的个人数据也不会让人感到打扰。

3.通信数据处理

通过电子邮件或短信进行个性化营销传播始终需要明确的同意。

此外，发布 GDPR、将某人的电子邮件添加到您的 CRM 并向他们发送营销电子邮件只是因为他们通过您的联系表与您联系并使用他们的电子邮件是不合法的。 您需要使用联系表格下方的同意框，明确征求访问者的同意。

此外，GDPR 不能孤立地发挥作用。 因此，您的电子邮件（或 SMS）营销活动必须符合相关法律法规，例如为用户提供退订链接等。

也就是说，如果您已获得订阅者对此类通信的同意，那么您可以根据此类订阅者与您的营销电子邮件或 SMS 的交互来个性化您的网站体验。 这应合理地包含在合法权益条款中。

例如，一家旅游公司可以使用其与订户的通信历史记录向他们展示个性化页面。 例如，可能会向对豪华旅行表现出兴趣（比如说通过单击链接）的订户显示一个宣传豪华酒店住宿套餐的页面。 或者，可能会向经济型旅行者展示经济型酒店的一些精选优惠。

4. 通过 cookie、网络信标等进行的行为数据处理。

行为数据处理与网站分析数据处理非常相似。 就像网站分析数据一样，用于为行为洞察驱动的活动提供支持的个人数据也是匿名的。 GDPR 在处理匿名数据方面非常灵活。

访问者与网站交互的见解（例如他们查看的页面和点击数据）可用于提供上下文丰富的网站体验。

例如，企业级软件公司可以跟踪访问者的行为数据，并为他们的回访提供更加个性化的体验。 例如，似乎正在探索某个解决方案的访问者可能会在他们下次访问网站时看到相同解决方案的试用页面或注册表单。

5. 轮廓数据处理

就像网站分析和行为数据处理一样，公司可以使用合法权益基础来使用匿名个人数据来创建用户配置文件（分析）。

例如，一个小工具比较网站可能会使用其用户的匿名个人数据来识别其主要受众类型。 然后，它可以为每个人提供个性化的优惠和促销活动（例如，向其高端受众群体推荐高端手机，并向其预算友好的细分市场展示廉价手机的折扣）。

关于使用合法权益的指导文档不仅建议将此类依据作为合法权益下处理个人数据的合法依据，而且还支持使用社交媒体数据进行此类用户画像。 该文档指出公司可以使用：

... [A]n 社交媒体提供商提供的算法可以更好地将其广告定位到“相似者”——即与该企业自己的客户具有相似特征的其他个人。 该企业上传其客户所需的最少个人数据，以实现社交媒体定位，但不包括那些反对营销的人。 分析是在社交媒体平台内进行的，以实现定位，但这纯粹是出于营销目的，并且企业已评估它不会对这些人产生任何法律或类似的重大影响。

6. 第二方和第三方数据处理

除了第一方数据（即公司自行收集的数据——例如，来自其 Google Analytics 帐户的数据）之外，不少公司还使用第二方和第三方数据。

这些数据——来自合作伙伴和数据交换——使营销人员能够深入了解他们的受众的心理、技术和人口统计数据。 它通常用于建立详细的客户档案。 反过来，它们被用来创建更相关的内容和消息传递，并将它们传递给普通受众的关键部分。

例如，B2B 企业可以使用此类数据来识别其受众中的关键细分市场，并针对每个细分市场提供个性化的内容推荐。

如果您需要使用此类来源数据，请确保您仅与遵循公平和合法数据收集和处理做法的数据提供商和交易所合作。

7. 购买历史数据处理

电子商务商店可能会根据访问者的交易历史为其提供个性化的产品推荐。

DPN（数据保护网络，一家总部位于英国的机构，提供数据保护和隐私方面的专家建议）为合法权益的使用提供了大量指导。 它表明，在线商店使用用户的购买历史进行个性化产品推荐可以成为个人数据处理法律依据的良好基础：

拥有广泛产品范围的零售商会根据客户的交易历史进行自动化处理，以预测他们可能感兴趣的其他产品和服务。

8.账户历史数据处理

帐户数据处理可被视为等同于购买历史数据处理，但用于 B2B 设置。

B2B 公司可以使用其用户的帐户历史数据来提供更丰富的上下文内容体验。 例如，B2B 公司可以使用其客户的数据为他们提供更相关和更好的升级或交叉销售优惠。

9. Cookie 数据处理

Cookie 数据可以通过多种方式帮助提供非侵入性且相关的个性化网站体验。 大多数可以提供有效体验的 cookie 类型甚至不需要明确的用户同意，因为它们的使用和退出说明可以在网站的隐私页面上进行解释。

例如，商业网站可以使用 cookie 数据来确定要向潜在客户提供哪些内容，以便在销售漏斗中进一步推动他们。 即使以对隐私友好的方式，也有无数种 cookie 数据的使用方式。 事实上，上述示例中的所有数据大部分都是以某种形式的 cookie 收集和存储的。

有关根据合法权益条款处理数据的更多示例，请查看欧盟通用数据保护条例下的合法权益使用指南。

把它包起来……

为您的营销目的选择两个选项（合法权益或同意）中的任何一个都需要根据具体情况进行考虑。 虽然合法权益可以（并且现在）是大多数营销人员处理个人数据的最常见合法依据，但必须谨慎使用。

此外，虽然合法权益条款可以涵盖许多网站个性化策略，但您仍然必须进行合法权益评估并寻求合法在线隐私从业者的帮助，以确保在使用它之前更加确定。

在 Convert Experiences，我们授权像您一样的营销人员为您的用户提供 GDPR 安全和隐私友好的个性化网站体验。 我们还对我们根据合法权益条款使用的所有数据进行了彻底的 LIA，以支持此类个性化。 在这里查看。 如果您希望提供通过设计提供隐私和默认提供隐私的网站个性化，请查看转换体验。