【個資週報3】Cookie「同意」之規則與邊界|2020/05/30~2020/06/05
達文西個資週報
盤點全球最新焦點
2020/05/30~2020/06/05
全文約2000字,閱讀約需7分鐘
達文西短評
本週我們為大家整理了14則全球個資法重要焦點。其中,我想特別跟大家聊聊網站使用者對cookie的「同意」問題。
上週德國聯邦最高法院對Planet49案作出判決,網站在cookie通知中,不得預先勾選「同意」。我們已經以「快訊」報導,這個案件2014年從德國地方法院起訴,一路上訴到德國聯邦最高法院,還被提交至歐盟法院進行法律解釋,終於在今年塵埃落定。另外,我們還刊登了「重磅」文章,分析了歐盟及其會員國個資保護主管機關對於cookie wall適法性的立場。
相信大家對於cookie並不陌生。現在瀏覽網頁時,經常會一進入網站就看到橫幅(banner)或彈出視窗(pop-up)式樣的cookie通知。許多人面對這種通知,都是直接點擊「同意」讓其消失。不知道大家有沒有想過,為什麼法院和主管機關會對cookie的「同意」問題如此重視?
Cookie同意問題的最大爭點,是網站是否可使用cookie分析使用者行為或對使用者行銷。這類cookie對於網站的功能並非必要,但卻是許多網站獲取經濟收入的基礎。因此不難想象,網站會盡可能地促使使用者同意分析或行銷cookie。其中不乏諸多「陰招」,如透過預先勾選來「誘導」同意,或以「不同意cookie條款就閃邊」的cookie wall來「強迫」同意。
從監理者的角度,則是要盡可能確保使用者自主給予(freely given)特定(specific)知情(informed)與明確(unambiguous)的同意。法律總會落後於實務。前開種種「陰招」,往往已超越立法者在立法時的想象。但法律的原則又有靈活性,法院與主管機關依據法律原則作出解釋,確保業者之「創新」不致偏離立法者本意太遠。
回到cookie同意這個話題,作為使用者,我們雖然不希望自己的線上行為被追蹤、記錄、分析或作行銷用途,但也不得不承認,網站蒐集分析使用者的資料,有時是支撐網站免費服務的「必要之惡」。如何創新商業模式,讓使用者隱私與網站的生存不再是零和遊戲,是值得監理者、業者與普通使用者思考的問題。
許斌
於達文西
2020.06.05
法規動態
- 5月22日,國家發展委員會作出第1090002348號函釋,投信事業之私募基金在金融機構開戶時,依洗錢防制法向金融機構提供該基金客戶資料,於私募基金與客戶間契約關係而言,為個資法第20條第1項第1款「法律明文規定」之資料特定目的外之利用。
- 5月28日,德國聯邦最高法院依CJEU見解判決Planet49案,認定網站cookie條款不得預先勾選同意。
- 本事務所關於該施行細則之快訊請見:https://www.davinci.idv.tw/news/774。
- 6月1日,加州檢察長辦公室(Office of the California Attorney General)提交「加州消費者隱私保護法」(California Consumer Privacy Act, CCPA)施行細則(Regulation)草案定稿。
- 本事務所關於該施行細則之快訊請見:https://www.davinci.idv.tw/news/776。
- 6月3日,歐盟理事會主席向歐盟理事會下屬之常設代表委員會(Permanent Representatives Committee)提交「隱私與電子通訊規則」(Regulation on Privacy and Electronic Communications)進展報告。報告指出,目前最新版本的隱私與電子通訊規則草案有一項重要特徵,即引入「正當利益」(legitimate interest)作為處理電子通訊元資料(metadata)與使用cookie或類似技術之法律依據之一。
- 6月1日,阿拉伯聯合大公國頒行「2020年第5號杜拜國際金融中心資料保護法」(Dubai International Financial Centre (DIFC) Data Protection Law No. 5 of 2020)。該法將於2020年7月1日生效,現行的2007年第1號杜拜國際金融中心資料保護法」(Dubai International Financial Centre (DIFC) Data Protection Law No. 1 of 2007)也將隨之廢止。
- 6月2日,美國民主黨與共和黨參議員聯合提出「曝露通知隱私法案」(Exposure Notification Privacy Act),要求保護新冠肺炎接觸史追蹤應用程式使用者之隱私,防範將所蒐集到的資料用於商業目的。
監理動態
- 6月1日,美國加州居民指控Google Chrome在「私密瀏覽」模式下仍記錄用戶線上行為,提起集體訴訟,索賠額超50億美元。
- 本事務所關於該案之快訊請見:https://www.davinci.idv.tw/news/777。
- 5月29日,比利時資料保護署(Data Protection Authority, DPA)認定非營利組織經資料主體反對,仍向其寄送募款宣傳材料之行為,構成為行銷目的非法利用個人資料。
- 5月29日,美國公民自由聯盟(American Civil Liberties Union, ACLU)依據伊利諾伊州生物特徵辨識資訊隱私法(Biometric Information Privacy Act),針對人臉辨識科技公司Clearview AI提起集體訴訟,要求後者停止蒐集臉紋這一生物辨識資訊。這是Clearview今年至少第三次被訴。
- 5月30日,繼眾議員聯名要求後,美國民主黨與共和黨的參議員亦要求美國聯邦貿易委員會(Federal Trade Commission, FTC)調查TikTok違反兒童隱私保護法令問題。
- 5月27日,澳洲競爭及消費者委員會(Australian Competition & Consumer Commission, ACCC)啟動消費者資料權(Consumer Data Right)認證平台。
最佳實務動態
- 5月30日,Zoom宣布其將為付費使用者強化通訊加密,保障使用者之視訊資料安全。
- 5月29日,美國國家鐵路客運公司(Amtrak)向佛蒙特州檢察長(Attorney General)通報,其資料庫遭駭客入侵,客戶之個人資料被洩露。
- Amtrak關於該事件之通報原文請見:https://ago.vermont.gov/blog/2020/05/29/amtrak-sbn-to-consumers/。
- 5月29日,線上購物平台網站Minted約500萬名顧客資料被洩露。
- Minted關於該事件之公告原文請見:https://www.minted.com/data-incident-notice。
※ 歡迎註明出處後轉載。