諮詢預約 Cookies 是網站為了辨識用戶而自動產生的小型文字檔案,記錄用戶的來源、身份、點閱內容,並儲存於用戶的瀏覽器上,便利網站辨識用戶下一次的訪問,提供更順暢方便的網路體驗。透過 Cookies 的協助,用戶不必每次造訪網站都重新調整語言地區選項或重複輸入會員資料;如果沒有 Cookies ,伺服器無法記憶用戶偏好,與用戶之間將難以建立通暢的互動情境。Cookies 的應用固然帶來更便利舒適的網路瀏覽體驗,然而,由於 Cookies 所記錄的個人資訊如使用者名稱、使用的電腦及瀏覽器,以及瀏覽的網頁等可能涉及敏感資訊,因此引發用戶隱私及個資安全的討論,尤其當各網站之間允許「第三方 Cookies」跨網域追蹤的時候。
常使用網路的你一定有以下的經驗:從社群網站連結到購物網站瀏覽自己感興趣的商品之後,相同或類似商品在社群網站的廣告欄位頻頻出現;這類的廣告應用就是來自於第三方 Cookies。Cookies 分為第一方 Cookies 與第三方 Cookies ,第一方 Cookies 係由用戶造訪的網頁所創建,而第三方 Cookies 並非由用戶所存取的網頁伺服器所發行,而是由網頁上廣告發佈商的伺服器所發行。當用戶瀏覽網頁時,第三方 Cookies 會跨網域獲取使用者的瀏覽記錄,進行受眾鎖定,便利廣告商精準投放廣告。第三方 Cookies 固然為數位時代帶來不一樣的廣告思維,然而網站允許第三方蒐集用戶的網路足跡,將造成不知情用戶的隱私侵害,有心人亦可能攔截盜取個資。
隨著歐盟一般資料保護規則(GDPR)與加州消費者隱私規範(CCPA)等隱私保護法案將 Cookies 列入應保護個人資料之一環,各大瀏覽器服務提供商也開始逐步限縮網頁使用的 Cookies 追蹤功能。於 Safiri 推出「反跨網站追蹤」功能,火狐則將「封鎖第三方 Cookies 」設為預設開啟之後,市佔率超過七成的 Chrome 也於 2020 年初宣布其將於兩年內逐步排除第三方 Cookies 的使用,但直接由 Google 建立的第一方 Cookies 應用則不受本宣言的影響。因此, Google 所掌握的大量第一方 Cookies 之應用在未來將益顯重要。
網路服務提供商對 Cookies 應用的限縮是否代表個人化廣告的消失?實際上並非如此,只是意味著廣告商必須更積極取得消費者的同意與授權,以取得運用消費者資訊的正當基礎。至於應如何調整與消費者之間的隱私互動方式,或可參照歐洲法院於 2019 年 10 月所做成的第一件與 Cookies 使用相關的判決(Court of Justice of the European Union. PRESS RELEASE No 125/19)。於此判決中,歐洲法院認為,其一,使用「預先勾選的方框」並不能證明用戶已同意該特定網站使用 Cookies ,因為此種措施無法展現出用戶控制個資之自主性;其二,若用戶無法充分理解特定網站的 Cookies 如何運作,則即使該網站已取得用戶關於 Cookies 使用之同意,該同意亦不應視為有效的同意,因為此同意並不符合法定充分告知之要件。歐洲法院雖未進一步解釋 Cookies 同意之其他問題,如,當瀏覽網站用戶的選擇僅有「同意使用」或是「離開網站」此類情況時, Cookies 之蒐集利用是否合法,即尚無定論。但此一判決已替個資法規之應用建立了可因循的實務觀點,甚至可能對未來歐洲國家之隱私立法產生重要影響。於企業思考應如何調整網站設定及隱私條款以符應個資法規發展趨勢時,若能從用戶之「資料自主權」與「積極明確同意」再反省,當可創造對於用戶隱私保障更加周全之網站體驗。
參考資料:
1. General Data Protection Regulation (GDPR)
2. California Consumer Privacy Act (CCPA)
3. Hunton Andrews Kurth LLP, ’CJEU Reaches Decision in Case Involving Cookie Consent under EU Data Protection Law’ (Oct 3 2019)
4. Court of Justice of the European Union. PRESS RELEASE No 125/19. Luxembourg, 1 October 2019.
5. ‘Cookies crumbling as Google phases them out’ (BBC, Jan 15 2020)