同意與合法利益：您應該選擇哪個進行營銷？

GDPR 第 6 條允許您在包括同意和合法利益在內的六種合法基礎下處理用戶的個人數據：

GDPR 第 6(1)(a) 條——同意作為處理數據的合法依據：數據主體已同意出於一個或多個特定目的處理其個人數據；

GDPR 第 6(1)(f) 條——為了控制者或第三方追求的合法利益，必須進行處理，除非此類利益被數據主體的利益或基本權利和自由所取代保護個人數據，特別是在數據主體是兒童的情況下。

這兩個也是為營銷目的處理個人數據的討論最多的法律依據。

其中，同意基礎的工作非常簡單……因為用戶已“同意”您的數據處理。

然而，問題在於，它並不總是適合營銷過程。

然後給營銷人員留下了合法利益條款。

從表面上看，合法權益看起來像是一個可以允許大量個人數據處理的籠統術語。 但是使用合法權益作為法律依據需要仔細考慮，因為只有在數據處理實際上是必要的情況下，它們才能被視為處理數據的合法依據。

出於營銷目的在同意和合法利益之間進行選擇

使用同意作為法律依據處理個人數據被認為是非常安全的，因為同意是“黃金標準”。

與合法權益的基礎相比，它也是處理數據的更強大的基礎，因為它是明確的。 你問用戶，他們說“是的！”。

但是，每次您想要處理某種類型的個人數據時獲得同意意味著讓您的用戶選擇加入大量不同的同意表格。

事實上，GDPR 就如何合法地尋求同意提供了一些非常明確和嚴格的指令：

[…] 同意的表示必須是明確的，並包含明確的肯定行動（選擇加入）。 它特別禁止預先勾選的選擇加入框。 它還需要針對不同處理操作的不同（“細粒度”）同意選項。 同意應與其他條款和條件分開，通常不應作為註冊服務的先決條件。

另一方面，合法權益的法律依據相當靈活。

首先，GDPR 允許營銷人員根據合法權益為直接營銷目的處理個人數據：

…為直接營銷目的處理個人數據可能被視為出於合法利益。

此外，ICO（信息專員辦公室，一家總部位於英國的獨立機構，指導企業如何應用英國的數據隱私法，例如 GDPR）解釋了這種營銷中的合法利益（例如“促進銷售”的利益）如何能夠制定處理數據的真正目的：

[W] 我們在向現有客戶推銷我們的商品以增加銷售額方面擁有合法權益。

ICO 還解釋了在多種情況下，合法利益如何成為最合適的基礎，例如：

• 處理不是法律要求的，但對您或其他人有明顯的好處；
• 對個人的隱私影響有限；
• 個人應該合理地期望您以這種方式使用他們的數據； 和
• 當個人不太可能反對處理時，您不能或不想給予個人完全的前期控制權（即同意）或通過破壞性的同意請求打擾他們。

對於手頭的每個營銷需求（或目的），營銷人員需要仔細決定要使用的不同合法依據（從 GDPR 允許數據處理的六個合法依據中選擇）。 在這六個中，同意和合法利益是通常用於一般（或未登錄）訪問者的網站個性化的兩個合法基礎。 （本文重點介紹如何使用合法權益合法基礎來個性化您的網站體驗。）

一般來說，包括合法權益條款下的案件需要深思熟慮。 為了讓這有點容易，ICO 設計了一個由三部分組成的測試，以幫助您確定您手頭的目的是否真的符合合法權益條款的合法基礎。

這是 ICO 根據 GDPR 確定合法權益的三部分測試：

1. 目的測試——處理背後是否存在合法利益？
   要將合法權益作為處理個人數據的合法依據，您需要首先說明您需要處理相關個人數據。 在想要處理它的背後，你需要一個明確的目的。
2. 必要性測試——為此目的是否需要處理？
   要將合法權益用作處理個人數據的合法依據，您需要證明沒有其他侵入性較小的方式可以實現您的目的，並且您的處理是“相稱且有充分針對性以實現其目標…… ”
3. 平衡測試——個人的利益、權利或自由是否凌駕於合法利益之上？
   在您的案件通過前兩項測試後，您需要確保處理相關個人數據不會侵犯其個人數據將被處理的個人的權利和自由。

有了這個，現在讓我們看一些可能屬於 GDPR 合法權益條款的非常常見的個人數據處理示例。

使用合法利益處理個人數據的 10 個例子

在我們看到實際示例之前，請了解下面列出的每個示例都有大量注意事項。 這些例子只是為了給你一些營銷目的的建議，可以在合法利益條款下探索。

開始 …

1、IP地址數據處理

根據您捕獲的數據量，IP 地址可以說明很多。 例如，您可以使用它來查找訪問者的位置，或者您也可以使用它來找出他們工作的公司（在我們的 ABM 101 文章中了解更多信息）。

合法權益是可用於處理用戶 IP 地址數據（歸類為個人數據）的合法依據之一。 使用 IP 地址的合法權益條款下的營銷目的的一個示例可能是提供本地化優惠。

例如，電子商務商店可以向從季風季節瀏覽的人推銷雨衣。 或者，在線商店可能會使用訪問者的位置數據向訪問者所在區域提供限時免費送貨服務。

同樣，B2B 公司可以使用訪問者的公司（從他們的 IP 地址識別）以圖像或內容的形式向他們展示一些動態的個性化，例如公司名稱或行業。

注意：如果您使用訪問者的 IP 地址來個性化他們的網站體驗，如果您將它們用於天氣或位置服務，最好不要將它們存儲在您的數據庫中。 這樣，當在同一地點收集關於一個人的多個數據點時，這些數據不會造成問題。

2. 網站分析數據處理

大多數網站出於性能優化的目的收集訪問者的瀏覽數據。 這通常包含在合法權益條款中。 通常，此類數據並不代表問題，因為它通常是匿名的，並且大多數分析工具（如 Google Analytics）都禁止處理/存儲 PII（個人身份信息）。

此類數據處理的趨勢可用於形成廣泛的個性化網站體驗的基礎。

例如，使用谷歌分析，您可以識別您網站上失去大部分潛在客戶的頁面。 您還可以使用 Google Analytics 中的一些高級細分選項來識別流失的細分受眾群。 這樣的數據處理可以為您生成許多關於人口統計數據和更多關於您正在失去的流量的見解。

使用這些見解，您還可以測試為這些細分市場提供更個性化的網站體驗。

例如，如果電子商務商店發現某個產品頁面的流失率很高，它可以使用其受眾的人口統計信息來微調其產品頁面的消息傳遞。

這種個性化不僅微妙而有意義，而且處理的個人數據也不會讓人感到打擾。

3.通信數據處理

通過電子郵件或短信進行個性化營銷傳播始終需要明確的同意。

此外，發布 GDPR、將某人的電子郵件添加到您的 CRM 並向他們發送營銷電子郵件只是因為他們通過您的聯繫表與您聯繫並使用他們的電子郵件是不合法的。 您需要使用聯繫表格下方的同意框，明確徵求訪問者的同意。

此外，GDPR 不能孤立地發揮作用。 因此，您的電子郵件（或 SMS）營銷活動必須符合相關法律法規，例如為用戶提供退訂鏈接等。

也就是說，如果您已獲得訂閱者對此類通信的同意，那麼您可以根據此類訂閱者與您的營銷電子郵件或 SMS 的交互來個性化您的網站體驗。 這應合理地包含在合法權益條款中。

例如，一家旅遊公司可以使用其與訂戶的通信歷史記錄向他們展示個性化頁面。 例如，可能會向對豪華旅行表現出興趣（比如說通過單擊鏈接）的訂戶顯示一個宣傳豪華酒店住宿套餐的頁面。 或者，可能會向經濟型旅行者展示經濟型酒店的一些精選優惠。

4. 通過 cookie、網絡信標等進行的行為數據處理。

行為數據處理與網站分析數據處理非常相似。 就像網站分析數據一樣，用於為行為洞察驅動的活動提供支持的個人數據也是匿名的。 GDPR 在處理匿名數據方面非常靈活。

訪問者與網站交互的見解（例如他們查看的頁面和點擊數據）可用於提供上下文豐富的網站體驗。

例如，企業級軟件公司可以跟踪訪問者的行為數據，並為他們的回訪提供更加個性化的體驗。 例如，似乎正在探索某個解決方案的訪問者可能會在他們下次訪問網站時看到相同解決方案的試用頁面或註冊表單。

5. 輪廓數據處理

就像網站分析和行為數據處理一樣，公司可以使用合法權益基礎來使用匿名個人數據來創建用戶配置文件（分析）。

例如，一個小工具比較網站可能會使用其用戶的匿名個人數據來識別其主要受眾類型。 然後，它可以為每個人提供個性化的優惠和促銷活動（例如，向其高端受眾群體推薦高端手機，並向其預算友好的細分市場展示廉價手機的折扣）。

關於使用合法權益的指導文檔不僅建議將此類依據作為合法權益下處理個人數據的合法依據，而且還支持使用社交媒體數據進行此類用戶畫像。 該文檔指出公司可以使用：

... [A]n 社交媒體提供商提供的算法可以更好地將其廣告定位到“相似者”——即與該企業自己的客戶具有相似特徵的其他個人。 該企業上傳其客戶所需的最少個人數據，以實現社交媒體定位，但不包括那些反對營銷的人。 分析是在社交媒體平台內進行的，以實現定位，但這純粹是出於營銷目的，並且企業已評估它不會對這些人產生任何法律或類似的重大影響。

6. 第二方和第三方數據處理

除了第一方數據（即公司自行收集的數據——例如，來自其 Google Analytics 帳戶的數據）之外，不少公司還使用第二方和第三方數據。

這些數據——來自合作夥伴和數據交換——使營銷人員能夠深入了解他們的受眾的心理、技術和人口統計數據。 它通常用於建立詳細的客戶檔案。 反過來，它們被用來創建更相關的內容和消息傳遞，並將它們傳遞給普通受眾的關鍵部分。

例如，B2B 企業可以使用此類數據來識別其受眾中的關鍵細分市場，並針對每個細分市場提供個性化的內容推薦。

如果您需要使用此類來源數據，請確保您僅與遵循公平和合法數據收集和處理做法的數據提供商和交易所合作。

7. 購買歷史數據處理

電子商務商店可能會根據訪問者的交易歷史為其提供個性化的產品推薦。

DPN（數據保護網絡，一家總部位於英國的機構，提供數據保護和隱私方面的專家建議）為合法權益的使用提供了大量指導。 它表明，在線商店使用用戶的購買歷史進行個性化產品推薦可以成為個人數據處理法律依據的良好基礎：

擁有廣泛產品範圍的零售商會根據客戶的交易歷史進行自動化處理，以預測他們可能感興趣的其他產品和服務。

8.賬戶歷史數據處理

帳戶數據處理可被視為等同於購買歷史數據處理，但用於 B2B 設置。

B2B 公司可以使用其用戶的帳戶歷史數據來提供更豐富的上下文內容體驗。 例如，B2B 公司可以使用其客戶的數據為他們提供更相關和更好的升級或交叉銷售優惠。

9. Cookie 數據處理

Cookie 數據可以通過多種方式幫助提供非侵入性且相關的個性化網站體驗。 大多數可以提供有效體驗的 cookie 類型甚至不需要明確的用戶同意，因為它們的使用和退出說明可以在網站的隱私頁面上進行解釋。

例如，商業網站可以使用 cookie 數據來確定要向潛在客戶提供哪些內容，以便在銷售漏斗中進一步推動他們。 即使以對隱私友好的方式，也有無數種 cookie 數據的使用方式。 事實上，上述示例中的所有數據大部分都是以某種形式的 cookie 收集和存儲的。

有關根據合法權益條款處理數據的更多示例，請查看歐盟通用數據保護條例下的合法權益使用指南。

把它包起來……

為您的營銷目的選擇兩個選項（合法權益或同意）中的任何一個都需要根據具體情況進行考慮。 雖然合法權益可以（並且現在）是大多數營銷人員處理個人數據的最常見合法依據，但必須謹慎使用。

此外，雖然合法權益條款可以涵蓋許多網站個性化策略，但您仍然必須進行合法權益評估並尋求合法在線隱私從業者的幫助，以確保在使用它之前更加確定。

在 Convert Experiences，我們授權像您一樣的營銷人員為您的用戶提供 GDPR 安全和隱私友好的個性化網站體驗。 我們還對我們根據合法權益條款使用的所有數據進行了徹底的 LIA，以支持此類個性化。 在這裡查看。 如果您希望提供通過設計提供隱私和默認提供隱私的網站個性化，請查看轉換體驗。