達文西個資週報

盤點全球最新焦點

 

2020/05/30~2020/06/05

全文約2000字，閱讀約需7分鐘

 

達文西短評

 

本週我們為大家整理了14則全球個資法重要焦點。其中，我想特別跟大家聊聊網站使用者對cookie的「同意」問題。

 

上週德國聯邦最高法院對Planet49案作出判決，網站在cookie通知中，不得預先勾選「同意」。我們已經以「快訊」報導，這個案件2014年從德國地方法院起訴，一路上訴到德國聯邦最高法院，還被提交至歐盟法院進行法律解釋，終於在今年塵埃落定。另外，我們還刊登了「重磅」文章，分析了歐盟及其會員國個資保護主管機關對於cookie wall適法性的立場。

 

相信大家對於cookie並不陌生。現在瀏覽網頁時，經常會一進入網站就看到橫幅（banner）或彈出視窗（pop-up）式樣的cookie通知。許多人面對這種通知，都是直接點擊「同意」讓其消失。不知道大家有沒有想過，為什麼法院和主管機關會對cookie的「同意」問題如此重視？

 

Cookie同意問題的最大爭點，是網站是否可使用cookie分析使用者行為或對使用者行銷。這類cookie對於網站的功能並非必要，但卻是許多網站獲取經濟收入的基礎。因此不難想象，網站會盡可能地促使使用者同意分析或行銷cookie。其中不乏諸多「陰招」，如透過預先勾選來「誘導」同意，或以「不同意cookie條款就閃邊」的cookie wall來「強迫」同意。

 

從監理者的角度，則是要盡可能確保使用者自主給予（freely given）特定（specific）知情（informed）與明確（unambiguous）的同意。法律總會落後於實務。前開種種「陰招」，往往已超越立法者在立法時的想象。但法律的原則又有靈活性，法院與主管機關依據法律原則作出解釋，確保業者之「創新」不致偏離立法者本意太遠。

 

回到cookie同意這個話題，作為使用者，我們雖然不希望自己的線上行為被追蹤、記錄、分析或作行銷用途，但也不得不承認，網站蒐集分析使用者的資料，有時是支撐網站免費服務的「必要之惡」。如何創新商業模式，讓使用者隱私與網站的生存不再是零和遊戲，是值得監理者、業者與普通使用者思考的問題。

 

許斌

於達文西

2020.06.05

 

法規動態

• 5月22日，國家發展委員會作出第1090002348號函釋，投信事業之私募基金在金融機構開戶時，依洗錢防制法向金融機構提供該基金客戶資料，於私募基金與客戶間契約關係而言，為個資法第20條第1項第1款「法律明文規定」之資料特定目的外之利用。
  • 第1090002348號函釋原文請見：https://www.laws.taipei.gov.tw/lawsystem/wfLaw_Interpretation_Content.aspx?SOID=186682。

 

• 5月28日，德國聯邦最高法院依CJEU見解判決Planet49案，認定網站cookie條款不得預先勾選同意。
  • 本事務所關於該施行細則之快訊請見：https://www.davinci.idv.tw/news/774。

 

• 6月1日，加州檢察長辦公室（Office of the California Attorney General）提交「加州消費者隱私保護法」（California Consumer Privacy Act, CCPA）施行細則（Regulation）草案定稿。
  • 本事務所關於該施行細則之快訊請見：https://www.davinci.idv.tw/news/776。

 

• 6月3日，歐盟理事會主席向歐盟理事會下屬之常設代表委員會（Permanent Representatives Committee）提交「隱私與電子通訊規則」（Regulation on Privacy and Electronic Communications）進展報告。報告指出，目前最新版本的隱私與電子通訊規則草案有一項重要特徵，即引入「正當利益」（legitimate interest）作為處理電子通訊元資料（metadata）與使用cookie或類似技術之法律依據之一。
  • 歐盟理事會主席之進展報告原文請見：https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CONSIL:ST_8204_2020_COR_1&qid=1591325585085&from=EN。
  • 目前最新版本的隱私與電子通訊規則草案原文請見：https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CONSIL:ST_5979_2020_INIT&qid=1591325585085&from=EN。

 

• 6月1日，阿拉伯聯合大公國頒行「2020年第5號杜拜國際金融中心資料保護法」（Dubai International Financial Centre (DIFC) Data Protection Law No. 5 of 2020）。該法將於2020年7月1日生效，現行的2007年第1號杜拜國際金融中心資料保護法」（Dubai International Financial Centre (DIFC) Data Protection Law No. 1 of 2007）也將隨之廢止。
  • DIFC相關新聞稿原文請見：https://www.difc.ae/newsroom/news/mohammed-bin-rashid-enacts-new-difc-data-protection-law/。

 

• 6月2日，美國民主黨與共和黨參議員聯合提出「曝露通知隱私法案」（Exposure Notification Privacy Act），要求保護新冠肺炎接觸史追蹤應用程式使用者之隱私，防範將所蒐集到的資料用於商業目的。
  • 該法案原文請見：https://www.cantwell.senate.gov/imo/media/doc/Exposure%20Notification%20Privacy%20Bill%20Text.pdf。

 

監理動態

 

• 6月1日，美國加州居民指控Google Chrome在「私密瀏覽」模式下仍記錄用戶線上行為，提起集體訴訟，索賠額超50億美元。
  • 本事務所關於該案之快訊請見：https://www.davinci.idv.tw/news/777。

 

• 5月29日，比利時資料保護署（Data Protection Authority, DPA）認定非營利組織經資料主體反對，仍向其寄送募款宣傳材料之行為，構成為行銷目的非法利用個人資料。
  • 比利時DPA之決定原文請見：https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Beslissing_GK_28-2020_NL.pdf。

 

• 5月29日，美國公民自由聯盟（American Civil Liberties Union, ACLU）依據伊利諾伊州生物特徵辨識資訊隱私法（Biometric Information Privacy Act），針對人臉辨識科技公司Clearview AI提起集體訴訟，要求後者停止蒐集臉紋這一生物辨識資訊。這是Clearview今年至少第三次被訴。
  • ACLU之起訴狀原文請見：https://www.aclu.org/legal-document/aclu-v-clearview-ai-complaint。

 

• 5月30日，繼眾議員聯名要求後，美國民主黨與共和黨的參議員亦要求美國聯邦貿易委員會（Federal Trade Commission, FTC）調查TikTok違反兒童隱私保護法令問題。
  • 該案之報導原文請見：https://www.reuters.com/article/us-tiktok-privacy-usa-children/u-s-senators-urge-probe-of-tiktok-on-childrens-privacy-idUSKBN2352YD。

 

• 5月27日，澳洲競爭及消費者委員會（Australian Competition & Consumer Commission, ACCC）啟動消費者資料權（Consumer Data Right）認證平台。
  • ACCC關於該平台之公告原文請見：https://www.accc.gov.au/media-release/consumer-data-right-accreditation-open-to-fintechs-and-banks。

 

最佳實務動態

• 5月30日，Zoom宣布其將為付費使用者強化通訊加密，保障使用者之視訊資料安全。
  • 相關報導原文請見：https://www.reuters.com/article/us-zoom-encryption-exclusive/exclusive-zoom-plans-to-roll-out-strong-encryption-for-paying-customers-only-idUSKBN23600L。

 

• 5月29日，美國國家鐵路客運公司（Amtrak）向佛蒙特州檢察長（Attorney General）通報，其資料庫遭駭客入侵，客戶之個人資料被洩露。
  • Amtrak關於該事件之通報原文請見：https://ago.vermont.gov/blog/2020/05/29/amtrak-sbn-to-consumers/。

 

• 5月29日，線上購物平台網站Minted約500萬名顧客資料被洩露。
  • Minted關於該事件之公告原文請見：https://www.minted.com/data-incident-notice。

 

※ 歡迎註明出處後轉載。