編譯：許　斌 博士/特約研究員

審閱：葉奇鑫 律師

　　　王慕民 律師

2020年4月6日，愛爾蘭資料保護委員會（Data Protection Commission, DPC）發布了一份新的Cookie指引（Guidance Note: Cookies and Other Tracking Technologies）。該指引以2019年下半年DPC對各類網站Cookie使用狀況的調查為背景，為組織如何利用Cookie提供具體指引。重要內容整理如下：

• 非必要Cookie及類似技術的接受與否，皆須供使用者在網站或應用程式的登陸頁面（landing page）設定，包括local storage object、flash cookie、軟體開發套件（software development kit, SDK）、pixel tracker（或pixel gif）、讚按鈕和社群分享工具、設備指紋採樣（device fingerprinting）技術等。
• 允許透過Cookie橫幅（Cookie banner）或彈出視窗方式取得使用者同意，但須符合下列條件：
  • Cookie橫幅或彈出視窗須表明該組織會為特定目的使用Cookie或類似技術，並就此徵求使用者同意；還應允許使用者拒絕非必要Cookie或類似技術，或獲知Cookie或類似技術使用狀況的更多資訊。不得以「若繼續瀏覽本網站，則表示您已同意我們使用Cookie」之方式取得默示同意。
  • Cookie橫幅或彈出視窗不得「誘導」使用者接受Cookie。實際操作中，若Cookie橫幅上設有「接受」按鈕，則須以同樣顯著的方式提供「拒絕」按鈕，或允許使用者前往其他頁面管理Cookie設定。
  • 該設定頁面須詳細說明Cookie或類似追蹤技術的類型與目的，以及Cookie蒐集的資料將由哪些第三方處理。針對不同類型、不同目的的Cookie或類似技術，須分別向使用者提供接受或拒絕的選項。應由使用者勾選同意者，不得預設為已勾選；採用滑塊開關者，不得預設為開。為便利使用者，即使選項框或滑塊開關已用不同顏色區別不同選項，也須清楚標明「開」、「關」等具體功能。
• 須允許使用者隨時改變Cookie偏好設定，如在每個頁面都設置Cookie按鈕（或選項按鈕），點擊即可顯示滑塊開關或具體選項。
• 若以Cookie記錄使用者的同意，則此Cookie的有效期為6個月。6個月後，須重新取得使用者同意。
• 須採行適當組織上與技術上的措施，確保使用者能有效授予及撤回同意。
• 若要使用分析Cookie（analytics cookie）、目標Cookie（targeting cookie）或行銷Cookie（marketing cookies），須事先取得使用者同意。一般認為，第一方（first-party）分析Cookie帶來的風險相對較低，而第三方分析Cookie則可能造成較高風險。
• 資料控管者須判斷在其網站或應用程式上使用Cookie或類似技術的第三方是否具有（共同）控管者或受託處理者地位。當網站或應用程式使用第三方插件或其他組件時，尤其應考慮是否成立（共同）控管者地位。必要時，組織須根據資料處理的實際狀況，與第三方達成適當安排。

DPC強調，居於控管者地位的組織均須遵守Cookie相關的法令規範，並給予各組織六個月的調適期間。六個月期間結束後，DPC將採取措施，實施該指引。

※ DPC指引全文請見：https://www.dataprotection.ie/sites/default/files/uploads/2020-04/Guidance%20note%20on%20cookies%20and%20other%20tracking%20technologies.pdf