熱門文章

【重磅】「不同意cookie條款就閃邊」合法嗎?—歐盟EDPB對cookie wall適法性之新見解

撰文:許  斌 博士/特約研究員

審閱:葉奇鑫 律師

王慕民 律師

 

全文約1500字,閱讀約需6分鐘

 

在歐盟GDPR的框架下,當事人(資料主體)的「同意」是控管者處理個資的合法性基礎之一。網站(經營者)如要在提供服務之必要範圍外,處理使用者的個資,須尊重使用者的資訊自主權,徵得使用者同意。「自主給予」(freely given)是有效同意的要件之一,第29條個資保護工作小組(Article 29 Data Protection Working Party)於2018年4月通過「關於第2016/679號規則(GDPR)中的同意之指引」(Guidelines on consent under Regulation 2016/679,以下簡稱「2018年版同意指引」),對同意的自主性問題提出詳細說明(本事務所受國家發展委員會委託,對該指引進行全文翻譯,請見文後註1)。

 

  • 遊走於灰色地帶的cookie wall

雖有上開規定與指引,網站仍有一些行為遊走在灰色地帶,cookie wall就是其中一例。所謂cookie wall,是指要求使用者在瀏覽網頁前,先接受網站的cookie設定。Cookie wall通常呈現為遮罩頁面全部內容的cookie通知,使用者如不點擊通知中的「接受」按鍵,則無法訪問網站的任何內容。此類cookie通知往往不提供個人化設定的選項,而是要求使用者接受全部cookie條款(包含同意網站為追蹤、分析、行銷等目的使用非必要cookie)。

 

可想而知,這種以「不同意cookie條款就閃邊」的方式「要挾」得來的同意是否有效,不無爭議。一方面,使用者若要訪問網站,除給予同意外,並無其他方法,因此似乎不符自主給予要件。另一方面,網站經營者亦可主張cookie wall為其商業決定,其作為業者,應有選擇「是否將內容與服務提供給願以被追蹤、分析、行銷、投遞廣告作為對價的使用者」之自由。

 

  • 歐盟會員國主管機關之不同立場

 

2018年版同意指引並未明文提及透過cookie wall獲得的同意是否符合「自主給予」的條件,歐盟各國主管機關對此立場亦不一致。

 

法國的國家資訊自由委員會(Commission Nationale de l'Informatique et des Libertés, CNIL)認為cookie wall並不合法。CNIL於2019年7月發布cookie指引(註2),其中認為cookie wall不符個資保護法規,蓋用戶如拒絕同意,將承受顯著不利益。

 

英國的資訊委員辦公室(Information Commissioner's Office, ICO)則認為cookie wall之適法性有斟酌空間。ICO同樣於2019年7月發布cookie指引(註3),一方面指出透過cookie wall獲得的同意「很難」(unlikely)有效,另一方面也注意到言論自由、營業自由等其他考量要素的影響。

 

西班牙資料保護局(Agencia Española de Protección de Datos, AEPD)之見解與前開兩主管機關大相徑庭。AEPD於2019年11月發布cookie指引(註4),認為在使用者充分知情的前提下,透過cookie wall獲得的同意原則有效;若拒絕訪問將導致使用者無法行使其法定權利,則例外無效。

 

  • 歐盟EDPB之明確回應

 

2020年5月4日,歐洲個人資料保護委員會(European Data Protection Board, EDPB)發布了「2018年版同意指引」的更新版本(Guidelines 05/2020 on consent under Regulation 2016/679,以下簡稱「2020年版同意指引」),對cookie wall的適法性問題作出明確回應。

 

「2020年版同意指引」(註5)重申「2018年版同意指引」關於選擇自由性之見解,即「控管者不得以市場上存在提供相同服務的第三方為由,主張資料主體可自由選擇是否給予同意」。在此基礎上,「2020年版同意指引」進一步舉例闡明,若要主張同意為自主給予,則網站經營者「不得以使用者同意在其裝置上存取資訊(即cookie檔案)作為提供服務或功能之前提」。因此,cookie wall並未向使用者提供真正選擇,透過cookie wall取得之同意應認定為無效。

 

EDPB之指引雖不具法律約束力,但對於GDPR之解釋與適用有重要參考意義。如前所述,目前歐盟各會員國對cookie wall的適法性立場並不一致。「2020年版同意指引」之公布,將如何影響會員國主管機關對此一問題的態度,達文西個資暨高科技法律事務所將為大家持續關注。

 

註1:本事務所受國家發展委員會委託翻譯之「關於第2016/679號規則(GDPR)中的同意之指引」中英對照全文請見:https://www.davinci.idv.tw/download

註2:法國NCIL cookie指引原文請見:https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038783337

註3:英國ICO cookie指引原文請見:

https://ico.org.uk/media/for-organisations/guide-to-pecr/guidance-on-the-use-of-cookies-and-similar-technologies-1-0.pdf

註4:西班牙AEPD cookie指引原文請見:

https://www.aepd.es/sites/default/files/2019-12/guia-cookies_1.pdf

註5:EDPB「2020年版同意指引」原文請見:https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf

 

※  歡迎註明出處後轉載

更多詳情請洽 達文西個資暨高科技法律事務所
service@davinci.idv.tw