「合法利益」在歐盟資料法制中的實際角色

從歷史經驗到 AI 與簡化議程制度

在 GDPR 第 6 條所列舉的六種個人資料處理合法性基礎中，「合法利益」（legitimate interest／berechtigtes Interesse）並非原本設計用以支撐大規模、持續性資料處理的主要依據。其制度定位相對明確：適用於那些不適合以同意作為法律基礎、亦不屬於法定義務或公權力行使，但在組織日常運作中客觀上會發生的資料處理行為。

此類行為在大型組織中並不罕見，例如內部管理、資通安全防護、反詐欺機制、系統維運，或為確保基本營運所進行的必要分析。GDPR 在條文設計上，正是為了這類情境，保留合法利益作為一項有限且受拘束的法律基礎。第 6 條第 1 項 (f) 款並未提供概括性授權，而是明確以處理是否「為特定合法利益所必要」作為前提，其英文條文使用 “processing is necessary for the purposes of the legitimate interests”。

在相當長的一段時間內，這樣的制度定位並未出現實質動搖。然而，隨著資料處理實務條件的變化，特別是近年生成式人工智慧模型訓練、資料再利用，以及跨平台資料流通的快速擴張，資料處理的型態已發生結構性轉變。

在資料量高度集中、來源分散，且資料並非直接向資料主體蒐集的情境下，同意作為主要法律基礎，實務上愈來愈難以操作。要求控制者在資料蒐集階段即逐一確認資料主體身分、聯繫方式，並取得具體、即時且可理解的同意，往往不具可行性。即便形式上取得同意，實務中亦常見事後補作或統一格式處理的情況。

此類同意安排未必能確保資料主體真正理解資料將如何被使用，反而可能使同意機制流於形式，進而削弱其原本作為權利保障工具的功能。在制度層次上，問題已不僅是執行困難，而是同意作為法律工具，在特定資料處理情境中逐漸喪失其規範效力。

在此等實務條件下，控制者自然轉向其他仍可運作的合法性基礎。合法利益因而被更頻繁援引，並在部分情境中實際成為支撐資料處理活動的主要法律依據。這一發展並非源於法條設計的變更，而是在既有法律框架下，因可行選項有限所形成的制度結果。

然而，第 6 條第 1 項 (f) 款的限制並未因此消失。該款明確保留其否定條件：僅在控制者或第三方所主張的利益未被資料主體的利益，或其基本權利與自由所凌駕時，方得以合法利益作為處理依據。其英文條文為 “except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject”。

問題因此具體化：當合法利益被用來支撐大量、持續且高度技術化的資料處理活動時，GDPR 原本用以制衡此一路徑的權利保障機制，是否仍能在實務上維持其可操作性與實質效力。

合法利益在條文中的限制

從條文結構觀察，GDPR 第 6 條第 1 項 (f) 款本身即非開放性授權。該款同時設置兩項累積要件，且缺一不可：第一，資料處理必須對於特定合法利益具備實質必要性；第二，控制者或第三方所主張的利益，不得在利益衡量上凌駕於資料主體的權益、基本權利與自由之上。

英文條文以 “necessary” 與 “overridden” 形成雙重門檻；德文正式文本亦以 „erforderlich“ 與 „sofern nicht … überwiegen“ 採取相同邏輯。此一設計意味著，合法利益並非一種預設狀態，而是一個必須針對每一具體處理行為重新成立的法律結論。

歐盟監理與司法實務因而逐步形成相對穩定的檢視順序。首先，所主張的利益必須具體且合法，不能僅以抽象的商業需求、效率提升或技術發展作為理由。其次，資料處理是否具備實質必要性，亦即在可行範圍內，是否存在侵害程度更低、但能達成相同目的的替代方案。最後，必須進行利益衡量，檢視資料主體在該情境下是否可以合理預期此一處理行為，以及該行為對其權利與自由所造成的實際影響。

歐盟資料保護委員會近年的指引，特別將資料主體的合理期待（“the reasonable expectations of the data subject”）列為衡量測試的核心因素。此三層檢視並非學理分類，而是用以判斷處理行為是否得以持續存在的制度工具；只要其中任一層次無法成立，合法利益即不成立。

為什麼德國對合法利益特別謹慎

德國對合法利益的態度，無法僅從 GDPR 條文本身理解，而必須回溯至其對資料集中使用的歷史經驗。

在納粹時期，人口登記、宗教、族群與職業等資料，並非非法蒐集，而是在當時法律與行政體系下被系統性整理與運用。資料的集中、分類與交叉使用，使迫害得以制度化進行。問題並非是否存在形式上的合法目的，而在於個人一旦被納入資料體系，即逐步喪失對自身處境的可預期性與控制空間。

戰後東德的 Stasi 體系，進一步強化了此一集體記憶。大量個人資料在「國家安全」與「公共利益」名義下被蒐集、分析與運用，形式上合法，實質上卻全面侵蝕個人自由。此一歷史經驗，使德國法律文化對任何可被抽象化、擴張解釋的正當理由，保持高度警惕。

這也是德國聯邦憲法法院在 1983 年人口普查判決中提出「資訊自決權」概念的背景。法院關注的並非主觀隱私感受，而是一項制度性問題：若個人無法合理預期其資料將如何被使用，將直接影響其 „freie Entfaltung der Persönlichkeit“，即自由人格發展的可能性。

回到 GDPR，此一歷史與憲政脈絡自然導出一項操作原則：合法利益可以存在，但必須被嚴格限制；一旦合法利益的適用方式，使資料主體的權利在實務上變得不可行，問題即出在制度設計本身，而非權利要求過高。

德國實務：權利是否仍可行使，為首要檢驗標準

在德國監理實務中，合法利益通常被置於一個高度具體的檢驗框架下：資料主體是否仍能知悉其資料的使用方式，是否仍能提出反對，以及該反對是否具有實際效果。

此一檢驗方式，與 GDPR 第 21 條所設計的反對權密切相連。第 21 條明確規定，當資料主體提出反對時，控制者原則上不得繼續處理，除非能提出「更具體且具說服力的正當理由」，其英文條文使用 “compelling legitimate grounds”。

因此，在涉及大規模追蹤、跨網站整合、第三方資料共享，或高度技術化處理的情境中，德國監理機關對「必要性」與「合理期待」的要求普遍偏高。當傳統權利行使方式無法直接適用時，監理機關傾向要求控制者提出等效或補償性的制度安排，以維持權利效果，而非接受「技術上不可行」作為結論。

近期德國法院於 AI 訓練案件中的態度，亦未偏離此一主軸。法院在特定案件中接受合法利益的前提，是控制者能具體說明其告知方式、反對機制與風險控制措施。此一做法並非降低標準，而是要求控制者將權利保障轉化為可運作、可驗證的制度安排。

為什麼法國走上不同的制度路徑

相較之下，法國的制度背景有所不同。法國資料保護的核心關切，歷來並非防止國家權力本身，而是避免行政系統失控。1970 年代 SAFARI 計畫引發爭議後，法國的回應並非否定資料整合，而是設立專責監管機構（CNIL），負責制定規則、管理風險並監督執行。

此一制度路徑延續至今，在 AI 與資料經濟議題上尤為明顯。法國並不否認同意在部分情境下不可行，因此直接承認合法利益作為可用法律基礎之一。CNIL 的實務文件中，將合法利益視為一項可操作路徑，但同時要求完整的合法利益評估、資料來源與處理情境分析、風險緩解措施，並在必要時進行資料保護衝擊評估。

法國關注的重點不在於單一個案是否可以進行，而在於該類處理活動是否能被制度化管理。權利保障不是透過全面禁止，而是透過流程設計、文件化與持續監督來落實。

放回歐盟簡化議程

歐盟近年關於「簡化」的討論，實際上難以迴避合法利益的角色。企業所感受到的負擔，往往不在條文本身，而在適用上的不確定性：哪些情境可以使用、需達到何種制度密度，以及不同成員國是否會給出一致答案。

德國與法國在合法利益上的差異，使此一問題無法僅透過技術性修補處理。德國的關切在於權利是否仍可實際行使；法國的關切在於制度是否仍能被有效治理。歐盟層級在討論 GDPR 簡化或調整時，實際面對的是一項結構性協調問題：在不使資料主體權利失效的前提下，合法利益可以適用至何種範圍，以及必須承擔何種制度成本。

合法利益並非歐盟是否保留的選項，而是已被實務大量使用的制度工具。真正需要被處理的，是在不同歷史與制度背景下，其使用邊界，以及使用該工具所必須承擔的制度後果。