正当利益评估(LIA)— 模板

最后更新:2026年5月13日

本页面是 Statnive 推荐运营者在欧盟基于 GDPR 第6条第1款f项运行无 Cookie 自有(First-Party)网站分析时所记录的正当利益评估(LIA)的面向客户模板。其结构遵循 2024年10月8日的 EDPB 第1/2024号指南关于正当利益

请将本模板作为起点使用。发布前,请结合运营者具体的处理场景,并在您的司法管辖区内咨询合格法律顾问。每当根据第6条第1款f项处理个人数据时,必须有文档化的 LIA;本模板不会取代 ePrivacy 第5条第3项规定的端末设备访问层的同意要求(在该要求适用时)。

步骤 1 — 正当利益的识别

数据控制者:[运营者名称及注册地址]

所追求的利益:

  • 功能性:运营、改进和保障控制者网站的安全 — 一项在 CJEU C-582/14 Breyer 第60–64段(2016年10月19日)下被认可的正当利益。
  • 商业性:衡量受众与内容参与度 — 在 CJEU C-621/22 KNLTB 第47–49段(2024年10月4日,ECLI:EU:C:2024:857)下被认可,该判决确认在合法的前提下纯商业性利益亦可构成第6条第1款f项下的正当利益。

合法性核查:

  • 不违反欧盟法律或成员国法律。
  • 不处理第9条规定的特殊类别数据。
  • 不进行第22条意义上的自动化分析(profiling)。
  • 利益已被清晰表达,真实且现存。

步骤 2 — 必要性

在产生产品和业务决策所需指标的前提下,无法通过侵入性更小的方式合理实现受众测量。已经采取的最小化措施:

  • 无持久性设备标识(无 Cookie、无 localStorage、无指纹识别)。
  • 每日轮换的、按站点限定的 BLAKE3-HMAC 访客签名;前一日的盐值在轮换时销毁。
  • 原始 IP 地址在存储前丢弃;仅短暂保留截断后的网络部分(IPv4 /24、IPv6 /48)用于地理定位。
  • User-Agent 在服务器端缩减为「设备 + 浏览器主版本号 + 操作系统主版本号」;原始 UA 字符串丢弃。
  • 引用来源(Referrer)仅保留主机部分;查询字符串永不进入持久存储。
  • 在仪表板中按最近10进行聚合(依据 CNIL 第16号信息单的建议)。
  • 数据最长保留期为25个月;通过 rollup 表的750天 TTL 自动删除。

已评估的备选方案:

  • 需要同意的网站分析 — 作为主路径被拒绝,因为由此产生的衡量损失(根据 Plausible 的 Cookie 横幅研究,约55.6%的访客会拒绝或关闭横幅)违背了衡量的必要性。
  • 原始访问日志 — 被拒绝,因为原始 IP 相较于带每日盐的哈希方案有更高的再识别风险。
  • 完全不做网站分析 — 被拒绝,因为受众测量数据对于运营和改进服务是必要的。

步骤 3 — 平衡测试

数据主体的利益:基本权利宪章第7条(私生活的尊重)及第8条(个人数据保护)。

数据的性质:间接标识符(哈希签名、源自截断 IP 的地理定位、缩减的 User-Agent),通过当日结束时盐的销毁,在事实上变为不可逆转。根据 EDPB 第01/2025号指南草案关于假名化(2025年1月16日作为草案通过),在合理可能再识别的情况下,上述数据仍属于个人数据;每日盐轮换使其位于假名化谱系中的低风险一端。

合理预期:访客预期运营者了解汇总的访问量与页面热度,而非个体的跨日或跨站监控。本架构在设计上即符合该预期。

对数据主体的影响:

  • 不进行行为广告。
  • 不进行分析(profiling)。
  • 不向第三方共享数据。
  • 不作出影响数据主体的决定。
  • 不进行访客的跨站或跨日追踪(盐轮换可防止两者)。

缓解措施:

  • 当日结束时销毁盐值。
  • 摄入时即截断 IP,再行存储。
  • 保留期上限(25个月)并自动删除。
  • 第21条反对权端点暴露于 POST /api/privacy/opt-out
  • 第15条访问权端点 GET /api/privacy/access
  • 第17条删除权端点 POST /api/privacy/erase
  • 适用时,按第28条签订数据处理协议 — 参见 DPA 模板
  • 数据驻留仅限欧盟内(德国纽伦堡)。
  • 在摄入层尊重 GPC 和 DNT。
  • 自托管部署提供开源代码路径。

结论:所追求的正当利益不会被数据主体的权利及合理预期所凌驾。处理在 GDPR 第6条第1款f项下合法。

审查周期

本 LIA 至少每年审查一次,并在出现以下重大变化时审查:

  • Statnive 所处理的数据(新增字段、新增事件类型)。
  • 适用的判例法(例如影响 BreyerIAB Europe 分析的 CJEU 移送)。
  • 各国监管机构指引(CNIL、DSK、Garante、AEPD、AP、ICO 发布的内容)。
  • 欧盟立法发展(尤其是数字综合法案 COM(2025) 837 提案)。

各国分层

本 LIA 涵盖 GDPR 第6条合法依据这一层。ePrivacy 第5条第3项关于端末设备访问的层由各国转化法分别规制,并由 Statnive 的 无需同意架构 加以应对(端末设备上既无存储也无访问)。各管辖区的具体说明:

  • 法国 — CNIL 第16号信息单受众测量豁免
  • 德国 — § 25 TDDDG 服务器端专用约束
  • 逐国地图(IT、ES、NL、BE、IE、UK、AT)

免责声明

本模板系数据保护研究,并非法律建议。每位 Statnive 客户仍为数据控制者,对自身的 LIA 与 DPIA 负责。在将本模板发布于您的网站或在监管检查中据此主张之前,请在您的司法管辖区内与合格法律顾问加以比对。

问题咨询

如对 LIA 模板有疑问,或希望将其调整以适配特定部署,请联系 support@statnive.com

免费获取 Statnive