更新时间:2026-03-27 GMT+08:00
合法利益评估(LIA)
LIA,全称Legitimate Interests Assessment(合法利益评估),是指公司在依据“正当利益”而非“法律义务、合同、数据主体同意”来处理个人信息时所需进行的“自我评估”。这可以比喻为开车上路前,需要自我检查是否带齐了驾照、系好了安全带等事项。
前提条件
- DI填写该法人实体为数据控制者。
- DI填写个人数据处理合法性基础为:追求合法利益。
- DI填写数据主体在GDPR(数据保护条例)所适用的地区内(系统自动判定)。
创建LIA
- 登录隐私合规管理中心。
- 在左侧菜单栏,选择进入“合法利益评估(LIA)”页面。
- 单击页面左上角“创建LIA”,进入“创建LIA”页面。
- 输入“LIA名称”,单击下拉框选择“S码”,在“数据清单”模块选择绑定关联的DI数据,如果通过待办管理进来,则默认绑定待办中的DI。
- 单击“下一步”,进入“编辑LIA”页面。
- 选择“是否线下已完成合法利益评估?”:
- 如果线下已完成评估报告,则选择“是”。
- 单击“添加文件”上传报告附件发起评审。
- 单击“发起评审”,发起评审进入审批。
- 如果未完成评估报告,则选择“否”。
- 回答线上问题:
- 选择你所处理的数据活动?确认你所填写的LIA对应的DI是否一致。
- 你为什么要处理这些数据?该问题需要明确处理的目的并简要解释原因。
- 你期望通过该处理活动获取到什么?根据实际情况填写。
- 如果您不能继续进行该活动会产生什么影响?需要确认该活动是否会对业务或者运营产生影响,如有请简要描述。
- 您的处理活动是否遵守相关数据法律法规?该问题需要确认是否有按照相关法律法规要求做数据保护措施,如有,请将具体的法律法规要求简要描述,如根据GDPR用户画像要求收集个人信息。
- 此处理过程实际上是否有助于促进所确定的目的?该问题需要确认您是否明确清晰该收集个人信息是达到对应目的所必须的,解释下为什么需要通过这个处理过程达到对应的目的。
- 当前处理活动是合理的处理方式吗?该问题需要内部再确认下处理活动是否合理,如自我评估不合理,则可能需要和法务沟通确认是否沿用该处理方式。
- 是否有另一种较少干扰的方式来获得相同的效果?该问题需要确认的是该处理活动是否遵循最小必要性原则处理,比如说可能不需要收集用户那么多个人信息就可以达到同样的效果。
- 您与数据主体的关系本质是什么?根据下列选项选出一个与数据主体之间的商业关系定义。
- 是否有任何数据特别敏感或私有?该问题需要确认所收集的个人信息字段是否有特别敏感个人信息,需要与DI填写内容保持一致。
- 人们会期望您以计划中的方式使用他们的数据吗?该问题请站在被收集人角度判断是否愿意用该方式处理他们的个人数据。
- 您是否愿意向人们解释您对数据的使用?如果数据主体向您提出了疑问,是否能有充分的理由解释对他们个人数据处理的方式?
- 有些人可能会反对或发现它具有侵扰性吗?该问题请站在被收集人角度判断是否愿意用该方式处理他们的个人数据。
- 对个人可能有什么影响?该问题请根据实际情况勾选下列选项。
- 对数据主体会产生多大影响?该问题请根据实际情况勾选下列选项。
- 正在处理儿童数据吗?该问题请根据实际情况勾选下列选项。
- 是否有该数据主体类型容易遭受损失?该问题请确认是否容易侵犯到数据主体个人利益。
- 是否采取任何保护措施以最小化该影响?该问题请根据实际情况勾选下列选项,如数据加密,本地化存储等数据保护措施。
- 是否提供了退出的选项?这里是指是否给到个人简单、随时、免费的方式来反对/停止基于“合法利益”的处理,比如“取消订阅”的方式。
- 所有风险是否得到消减?此问题并不是要将风险“清零”,而是确认已针对识别出的每个风险是否采取了具体的保护措施,把风险降到可接受的水平。
- 评估结论,根据上述评估情况,从目的性测试、必要性测试、平衡性测试三个角度总结该处理活动是否基于合法性利益发生。
- 单击“下一步”,进入“生成报告”环节,确认内容后单击“发起评审”进入审批。
- 回答线上问题:
- 如果线下已完成评估报告,则选择“是”。
