明毓律師事務所HSU & Associates
2021/5/25 / 時事探討

你的同意不是你的同意!?從歐盟個資保護委員會公布之05/2020指引看當事人同意效力

歐盟個資保護委員會(The European Data Protection Board, 下稱「EDPB」)曾於2018年通過「當事人同意指引」(Guidelines on consent under Regulation 2016/679);兩年後的2020年5月4日,EDPB公布了更新版(Guidelines 05/2020 on consent under Regulation 2016/679)(下稱「本指引」)。

 

本指引旨在確認以下事項:

  • 當事人同意網站cookie說明之有效性

  • 網頁捲動或類似行為可否作為清楚或肯定之同意表示

 

網站提供者常藉由跳出cookie視窗擋住網站內容之方式,要求當事人必須先同意網站使用cookie,以及cookie所顯示之個資蒐集及使用方式後,始得閱覽網站內容。本指引第40點認為,當事人如果要閱覽該網站內容,除了勾選「同意」cookie外,別無其他選擇,當事人在此種情形下,並無真正的選擇餘地,此種同意不能被視為是在自由情況下所給予之同意,因此,不能被視為有效之同意。

 

此外,根據本指引第86點指出,GDPR前言(Recitals)第32條要求當事人同意應為「清楚、肯定之行動 」(a clear and affirmative action)、「應涵蓋基於相同或多個目的所為之全部處理活動。如個人資料之處理具有多重目的者,應就全部目的取得同意」;而網頁捲動或類似行為不符合前言第32條之要求,這種同意方式將使得當事人難以區分資料控管者對於資料所採取之不同處理或利用活動,在此情況下,取得一明確之同意是不可能的。

 

現今大多數網站都使用cookie彈出式視窗,抑或網頁捲動方式向消費者告知其個資使用政策,EDPB所公布之更新版GDPR當事人同意指引對於當事人同意做出更具體深入之說明,除了將促使各網站業者必須全面檢視並修改其個資使用同意機制外,勢必將提供造訪該網站之消費者更周全的保障,確保消費者是在受充分告知下所自由形成之同意。

 

參考資料:

  1. EDPB publishes GDPR consent guidelines

  2. EU: EDPB adopts updated guidelines on consent under the GDPR

  3. Guidelines 05/2020 on consent under Regulation 2016/679