1.4.3　合法权益

企业的合法权益可构成其在未征得相关个人同意的情况下进行各种数据处理活动的法律依据，这些合法权益包括：向消费者或员工收集个人信息；从 IoT 设备数据或 AI 活动中获取个人信息；从代表其执行活动的另一家企业获得个人信息。上述情况的前提是，考虑到个人基于与企业的关系做出的合理预期，相关个人的权益或合法权利不高于企业合法处理数据的权利。

通常，当个人是指客户、消费者、患者，或者受雇于企业或与企业有某种关系时，个人（数据主体）与企业（数据控制者）之间存在相关且适当的关系。例如：

●当企业需要使用员工的个人信息来创建利益相关方年度报表或提交国家/地区纳税申报报告时。

●为了国家安全，比如获得患者感染统计数据时，确定国家各个地区感染 COVID-19 的患者人数，以支持控制病毒传播。

●在进行取证分析时确定网络黑客攻击事件的来源。

确定是否适用合法权益取决于对具体情况的评估，包括有关个人在收集其个人信息时是否能够合理预期对其个人信息的分析能够合理进行。如果个人没有合理预期的进一步处理，则个人的利益或合法权利可能高于企业的利益。隐私工程师在创建涉及个人信息使用的服务和产品时，应意识到此类合法权益，这一点很重要。由于需要通过评估来确定合法权益，因此，隐私工程师应该让法律顾问、信息安全官和隐私官来参与决策。

GDPR 通常被视为要求开展合法权益评估的主要法规。然而，其他地方、州和国家法律法规也可能允许在将个人信息用于收集个人信息时未明确说明目的之前考虑合法的利益。