正當利益

「正當利益」是歐盟《一般資料保護規則》（GDPR）第 6(1)(f) 條所規定的六項個人資料處理合法性基礎之一。它允許資料控制者（即企業）在未經資料主體明確同意的情況下，為其自身或第三方所追求的正當利益而處理必要的個人資料。然而，此基礎的適用有嚴格前提：企業的利益不得凌駕於資料主體的「基本權利與自由」。與「同意」基礎不同，「正當利益」要求企業主動進行「正當利益評估」（Legitimate Interests Assessment, LIA），包含目的、必要性與平衡三階段測試，並將評估結果文件化以備查核。在隱私資訊管理系統（PIMS）如 ISO/IEC 27701 的框架下，正確識別與管理合法性基礎是降低法遵風險的核心控制措施，誤用「正當利益」可能導致高額罰款。

企業應用「正當利益」時，必須執行並記錄一份「正當利益評估」（LIA），此評估包含三個核心步驟： 1. **目的測試（Purpose Test）**：首先，企業必須清楚界定其追求的「正當利益」為何，例如是為了防止詐欺、確保網路與資訊系統安全，或是進行直接行銷。此利益必須合法、明確且具體。 2. **必要性測試（Necessity Test）**：接著，評估為達成上述目的，所進行的個資處理活動是否為「必要」。企業需考量是否有其他侵害性較低的方式可達成相同目的。若有，則不應依賴此基礎。 3. **平衡測試（Balancing Test）**：此為最關鍵步驟。企業必須權衡自身的商業利益與資料主體的權利與自由。考量因素包含資料的敏感性、對當事人的潛在衝擊、以及當事人對此處理是否有合理的預期。例如，利用客戶公開資訊進行B2B行銷，其衝擊可能低於追蹤用戶的私密網路行為。完成LIA文件，不僅能將合規率提升至95%以上，更能有效降低主管機關裁罰的風險。

台灣企業在應用GDPR的「正當利益」時，主要面臨三大挑戰： 1. **法規概念混淆**：台灣《個人資料保護法》的合法性基礎主要圍繞在「告知後同意」或法律明文規定，缺乏與「正當利益」直接對應的彈性概念，導致法務與行銷團隊在處理歐盟個資時，難以正確判斷適用情境。 2. **平衡測試執行困難**：平衡測試涉及主觀的法律與倫理判斷，需權衡商業需求與個人隱私，台灣企業普遍缺乏具備此種跨領域評估能力的專業人才。 3. **文件化與舉證責任**：企業必須承擔舉證責任，透過詳盡的「正當利益評估」（LIA）文件證明其決策的合理性。對資源有限的中小企業而言，建立並維持此類文件記錄是一大負擔。 **對策**： * **優先行動**：針對法務、合規與行銷人員，進行為期1個月的GDPR實務工作坊，聚焦LIA三階段測試演練。 * **中期方案**：導入標準化LIA評估範本與流程，確保評估的一致性與完整性，預計3個月內完成。 * **長期策略**：與積穗科研等外部專家合作，建立內部審查機制，培養種子人員。

積穗科研股份有限公司專注台灣企業Legitimate interest相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact