撰文：許    斌 博士

審閱：葉奇鑫 律師

王慕民 律師

 

全文約3100字，閱讀約需11分鐘

 

你的網站是否開放歐洲地區使用者瀏覽？又是否會對歐洲使用者放置cookie？如果答案為「是」，我們這篇文章，值得你特別留意。

 

今年cookie成為歐洲個資法遵的一個熱門議題，我們將帶你瞭解英國和歐盟關於cookie法規範改革的不同方向，並結合歐洲各國監理實務，幫你判讀當前法遵重點。

 

不止GDPR：歐洲cookie法概觀

GDPR是歐盟最出名的個資法規，但網站使用cookie前須經使用者同意，卻是歐盟在GDPR制定前已行之有年的要求。2002年，歐盟通過電子隱私指令（ePrivacy Directive）（註1），規範電子通訊之隱私保護。這一指令在第5.3條要求，在使用者「終端裝置」內儲存或存取「資訊」，除對於資訊服務有絕對必要性外，應依當時的個資保護指令（Data Protection Directive，後被GDPR取代）告知使用者有關資訊，並取得使用者同意。

 

這一指令在立法理由中，明文把cookie列作第5.3條所稱之「資訊」之一。換句話說，如果網站想要在使用者裝置中放置cookie、或讀取既有cookie的內容，原則須依歐盟個資保護法規取得使用者知情明確同意。

 

電子隱私指令不像GDPR可以直接適用，而是需要被會員國轉化成國內法。例如，英國於2003年制定電子隱私條例（PECR）（註2），作為實施電子隱私指令的國內法。雖然這種立法模式給各國保留了較大監理彈性，但還是給當時網路行業造成了很大衝擊。一夕之間，成千上萬個網站都增設了cookie banner和cookie政策。這一指令也獲得了「cookie法」（cookie law）的別稱。

 

GDPR取代個資保護指令後，歐盟cookie法關於當事人同意的要求相應變嚴。例如，歐盟層面GDPR解釋機關歐洲個人資料保護委員會（EDPB）曾作出指引（註3），明確「不同意cookie就不能使用服務」的「cookie墻」方式取得的同意無效。

 

英國個資法切割歐盟GDPR，先從cookie法入手？

英國雖已於今年起徹底脫歐，但仍舊沿用歐盟的大部分法律制度，個資法也不例外。歐盟GDPR的實質內容，目前在英國以UK GDPR的名義繼續適用（註4）。但英國自8月底開始個資法制變革動作頻頻，頗有要與歐盟法「切割」的意味。主責資料監理政策規劃的英國文化媒體暨體育部（DCMS）先是公布英國自己的資料跨境傳輸標準（註5），接著又預告資料法制改革計畫並公開徵求意見（註6）。

 

Cookie法規似乎是英國對歐盟制度「動手」的第一步。英國DCMS部長在接受媒體訪問時，吐露計劃從cookie法規入手改革（註7）。不久之後，英國專責個資保護之資訊委員（Information Commissioner）召集G7國家個資保護主管機關圓桌會議，商討cookie同意機制變革議題（註8）。

 

有趣的是，歐盟謀求改革cookie法制已有數年之久，並終於在今年取得實質進展（註9）。因此，雙方關於cookie法規日後走向的互動與角力，將左右未來歐洲地區cookie法遵的樣貌。

 

從指令到條例，歐盟醞釀cookie法效力升級

隨著GDPR於2016年通過，歐盟個資法從需要透過國內法實施的「指令」，升級為對各國直接適用的「條例」，會員國個資法的一致性大大提升。此後，歐盟旋即開始醞釀電子隱私法規「從指令到條例」的升級，由歐盟執委會於2017年1月正式提出構想（註10）。

 

2021年2月，歐盟理事會（Council of the EU）形成了各國初步同意的電子隱私條例草案（註11），並交予歐洲議會正式談判。對於cookie的使用，條例草案仍以「告知—同意」為基礎，但規範內容將在現行基礎上大大擴充：

• 無需同意使用cookie的情境更多樣：現行指令下，僅有絕對必要cookie無需取得同意，而條例草案計劃對維護服務安全、特定使用者分析等也豁免同意。
• 取得cookie同意的方法更靈活：條例草案承認，大量cookie banner將造成使用者「同意疲勞」，因此認同使用者以瀏覽器設定cookie「白名單」方式給予的同意。此外，對於cookie墻的限制，也計劃有條件放寬。
• 強化cookie同意之撤回權：雖然現行指令已有撤回同意之規範，條例草案將更進一步，要求業者定期（至少每12個月）向使用者提示撤回同意之權利。
• 仿照GDPR的長臂管轄：由於現行指令需要透過國內法實施，其並未明確規定適用的地域範圍，而是留給各國自行決定。條例草案則擬明確引入長臂管轄機制，統一要求若業者對歐盟境內使用者放置cookie，原則將須遵守該條例。

 

從以上幾點觀察，條例草案對歐盟cookie法的修改可謂「有張有弛」。一方面，同意的取得條件相對放寬，也更加貼合網站的營運現實。另一方面，長臂管轄條款可能顯著擴張受管轄的網站範圍，可能使大批網站需要新建cookie法遵制度。

 

從法規強制到業者自律，英國醞釀cookie法鬆綁

英國在其2021年9月預告之資料法制改革計畫中，表示其正考慮擴大無須同意使用cookie之情境，就擴大後的範圍，大致有兩項方案：

• 其一是將使用者分析cookie納入豁免同意範圍，但仍要求業者向使用者充分告知此類cookie的相關資訊；
• 其二是在對使用者隱私影響程度較低的範圍內，將豁免擴及業者的「正當利益」（legitimate interest）。

 

關於取得使用者同意的方式，英國的資料法制改革計畫提出了不同構想，包括使用瀏覽器或裝置設定、由第三方協助管理同意等，以求降低大量cookie pop-up造成「同意疲勞」，便利使用者集中精力處理更重要的決定。

 

前開方案都與歐盟電子隱私條例草案的改革方向基本一致，但英國的資料法制改革計畫還提出了更為激進的方案，即廢除對一切cookie的事前同意要求，但要求業者在使用cookie技術時，遵守UK GDPR關於合法、公平、透明等方面的基本原則。若英國最終選擇這一最寬鬆的方案，cookie的使用法其國內可謂完全轉由個資法主導。加之英國亦在考量擴張業者正當利益的適用範圍，放寬個資處理紀錄保持、個資保護影響評估等方面的要求，英國其與歐盟關於cookie監理的密度將有顯著落差。

 

監理者重視+民間助力，小cookie可能招來大麻煩

近年來，cookie違法已經與「天價裁罰」聯繫到一起。2020年12月，法國國家資訊自由委員會（CNIL）認為Google和Amazon都存在「默默植入」廣告cookie行為，對Google重罰1億歐元（約合新台幣34億元）、對Amazon重罰3500萬歐元（約合新台幣11億元）。兩項裁罰的依據，正是電子隱私指令所對應的法國國內法條文（註12）。

 

民間新技術的出現，把中小型網站也放到監理者的「執法雷達」上。今年5月，歐洲民間團體NOYB宣布，其已開發出專用軟體，自動偵測判斷網站cookie banner是否合法，並自動生成投訴書，要求網站限期改善。若網站未及時處理，NOYB會轉而向主管機關提出申訴。該團體計畫於2021年內檢視1萬家歐洲地區常用網站的cookie法遵狀況（註13）。

 

面對NOYB提出的大量cookie違法申訴，歐洲個人資料保護委員會（EDPB）依據GDPR授權，決議設立行動小組，協調各會員國資料保護主管機關對這些申訴的回應與處置（註14）。

 

不要以為主管機關面對cookie違法只有罰款一招。2020年12月，比利時資料保護署（DPA）與域名管理機構DNS Belgium簽訂協議。雙方決定展開執法合作，將不符個資保護標準的網站「提出市場」。若網站違反GDPR又拒不改正，DNS Belgium將依比利時DPA請求，對網站採取切斷連結等措施（註15）。

 

由以上可以看出，cookie在歐洲已經成了執法成本較低、違反成本可能很高的事項。雖然未來英國可能會鬆綁cookie同意要求，但歐盟整體朝向與GDPR協調一致，並無大幅放寬監管的趨勢。況且歐盟和英國的改革都還在醞釀之中，台灣企業在當前階段，仍應以確實遵循現行法為重心。

---

註1：歐盟電子隱私指令原文請見：https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX%3A32002L0058。

註2：英國電子隱私條例原文請見：https://www.legislation.gov.uk/uksi/2003/2426。

註3：EDPB同意指引原文請見：https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf。

註4：英國資訊委員辦公室（ICO）對UK GDPR之說明原文請見：https://ico.org.uk/for-organisations/dp-at-the-end-of-the-transition-period/data-protection-and-the-eu-in-detail/the-uk-gdpr/。

註5：英國政府2021年8月26日公布之資料跨境傳輸標準原文請見：https://www.gov.uk/government/publications/uk-approach-to-international-data-transfers/international-data-transfers-building-trust-delivering-growth-and-firing-up-innovation。

註6：英國政府2021年9月10日公布資料法制改革方案原文請見：https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/1022315/Data_Reform_Consultation_Document__Accessible_.pdf。

註7：相關報導原文請見：https://www.bbc.com/news/technology-58340333。

註8：英國ICO相關新聞稿原文請見：https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2021/09/g7-data-protection-and-privacy-authorities-meeting-communiqu%C3%A9/。

註9：歐盟理事會相關新聞稿原文請見：https://www.consilium.europa.eu/en/press/press-releases/2021/02/10/confidentiality-of-electronic-communications-council-agrees-its-position-on-eprivacy-rules/#。

註10：歐盟執委會電子隱私條例提案原文請見：https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52017PC0010。

註11：歐盟理事會2021年2月電子隱私條例草案原文請見：https://data.consilium.europa.eu/doc/document/ST-6087-2021-INIT/en/pdf。

註12：法國資訊技術、資料文檔與自由法原文請見：https://www.cnil.fr/fr/la-loi-informatique-et-libertes。

註13：NOBY Cookies法遵行動聲明原文請見：https://noyb.eu/en/noyb-aims-end-cookie-banner-terror-and-issues-more-500-gdpr-complaints。

註14：EDPB相關新聞稿原文請見：https://edpb.europa.eu/news/news/2021/edpb-establishes-cookie-banner-taskforce_en。

註15：DNS Belgium相關新聞稿請見：https://www.dnsbelgium.be/en/news/block-fraudulent-websites。

 

※歡迎註明出處後轉載。

---

延伸閱讀：

• 「不同意cookie條款就閃邊」合法嗎？—歐盟EDPB對cookie wall適法性之新見解：https://www.davinci.idv.tw/news/773。
• 網站cookie條款不得預先勾選同意！ —德國聯邦最高法院依CJEU見解判決Planet49案：https://www.davinci.idv.tw/news/774。
• 愛爾蘭DPC發布新版Cookie指引：https://www.davinci.idv.tw/news/756。
• 個資週報3｜Cookie「同意」之規則與邊界：https://www.davinci.idv.tw/news/779。
• 重罰1億歐元！法國CNIL出手懲治cookie違法，Google、Amazon雙雙被罰：https://www.davinci.idv.tw/news/894。
• 比利時DPA與DNS展開合作，違反GDPR網站可能被「下架」：https://www.davinci.idv.tw/news/886。