【快訊】愛爾蘭DPC發布新版Cookie指引
2020-04-13
編譯:許 斌 博士/特約研究員
審閱:葉奇鑫 律師
王慕民 律師
2020年4月6日,愛爾蘭資料保護委員會(Data Protection Commission, DPC)發布了一份新的Cookie指引(Guidance Note: Cookies and Other Tracking Technologies)。該指引以2019年下半年DPC對各類網站Cookie使用狀況的調查為背景,為組織如何利用Cookie提供具體指引。重要內容整理如下:
- 非必要Cookie及類似技術的接受與否,皆須供使用者在網站或應用程式的登陸頁面(landing page)設定,包括local storage object、flash cookie、軟體開發套件(software development kit, SDK)、pixel tracker(或pixel gif)、讚按鈕和社群分享工具、設備指紋採樣(device fingerprinting)技術等。
- 允許透過Cookie橫幅(Cookie banner)或彈出視窗方式取得使用者同意,但須符合下列條件:
- Cookie橫幅或彈出視窗須表明該組織會為特定目的使用Cookie或類似技術,並就此徵求使用者同意;還應允許使用者拒絕非必要Cookie或類似技術,或獲知Cookie或類似技術使用狀況的更多資訊。不得以「若繼續瀏覽本網站,則表示您已同意我們使用Cookie」之方式取得默示同意。
- Cookie橫幅或彈出視窗不得「誘導」使用者接受Cookie。實際操作中,若Cookie橫幅上設有「接受」按鈕,則須以同樣顯著的方式提供「拒絕」按鈕,或允許使用者前往其他頁面管理Cookie設定。
- 該設定頁面須詳細說明Cookie或類似追蹤技術的類型與目的,以及Cookie蒐集的資料將由哪些第三方處理。針對不同類型、不同目的的Cookie或類似技術,須分別向使用者提供接受或拒絕的選項。應由使用者勾選同意者,不得預設為已勾選;採用滑塊開關者,不得預設為開。為便利使用者,即使選項框或滑塊開關已用不同顏色區別不同選項,也須清楚標明「開」、「關」等具體功能。
- 須允許使用者隨時改變Cookie偏好設定,如在每個頁面都設置Cookie按鈕(或選項按鈕),點擊即可顯示滑塊開關或具體選項。
- 若以Cookie記錄使用者的同意,則此Cookie的有效期為6個月。6個月後,須重新取得使用者同意。
- 須採行適當組織上與技術上的措施,確保使用者能有效授予及撤回同意。
- 若要使用分析Cookie(analytics cookie)、目標Cookie(targeting cookie)或行銷Cookie(marketing cookies),須事先取得使用者同意。一般認為,第一方(first-party)分析Cookie帶來的風險相對較低,而第三方分析Cookie則可能造成較高風險。
- 資料控管者須判斷在其網站或應用程式上使用Cookie或類似技術的第三方是否具有(共同)控管者或受託處理者地位。當網站或應用程式使用第三方插件或其他組件時,尤其應考慮是否成立(共同)控管者地位。必要時,組織須根據資料處理的實際狀況,與第三方達成適當安排。
DPC強調,居於控管者地位的組織均須遵守Cookie相關的法令規範,並給予各組織六個月的調適期間。六個月期間結束後,DPC將採取措施,實施該指引。