明毓律師事務所HSU & Associates
2021/6/24 / 時事探討

如影隨形的小甜餅將何去何從:從第三方 Cookies 的使用限縮談「 Cookies 同意」


Cookies 是網站為了辨識用戶而自動產生的小型文字檔案,記錄用戶的來源、身份、點閱內容,並儲存於用戶的瀏覽器上,便利網站辨識用戶下一次的訪問,提供更順暢方便的網路體驗。透過 Cookies 的協助,用戶不必每次造訪網站都重新調整語言地區選項或重複輸入會員資料;如果沒有 Cookies ,伺服器無法記憶用戶偏好,與用戶之間將難以建立通暢的互動情境。Cookies 的應用固然帶來更便利舒適的網路瀏覽體驗,然而,由於 Cookies 所記錄的個人資訊如使用者名稱、使用的電腦及瀏覽器,以及瀏覽的網頁等可能涉及敏感資訊,因此引發用戶隱私及個資安全的討論,尤其當各網站之間允許「第三方 Cookies」跨網域追蹤的時候。

 

常使用網路的你一定有以下的經驗:從社群網站連結到購物網站瀏覽自己感興趣的商品之後,相同或類似商品在社群網站的廣告欄位頻頻出現;這類的廣告應用就是來自於第三方 Cookies。Cookies 分為第一方 Cookies 與第三方 Cookies ,第一方 Cookies 係由用戶造訪的網頁所創建,而第三方 Cookies 並非由用戶所存取的網頁伺服器所發行,而是由網頁上廣告發佈商的伺服器所發行。當用戶瀏覽網頁時,第三方 Cookies 會跨網域獲取使用者的瀏覽記錄,進行受眾鎖定,便利廣告商精準投放廣告。第三方 Cookies 固然為數位時代帶來不一樣的廣告思維,然而網站允許第三方蒐集用戶的網路足跡,將造成不知情用戶的隱私侵害,有心人亦可能攔截盜取個資。

 

隨著歐盟一般資料保護規則(GDPR)與加州消費者隱私規範(CCPA)等隱私保護法案將 Cookies 列入應保護個人資料之一環,各大瀏覽器服務提供商也開始逐步限縮網頁使用的 Cookies 追蹤功能。於 Safiri 推出「反跨網站追蹤」功能,火狐則將「封鎖第三方 Cookies 」設為預設開啟之後,市佔率超過七成的 Chrome 也於 2020 年初宣布其將於兩年內逐步排除第三方 Cookies 的使用,但直接由 Google 建立的第一方 Cookies 應用則不受本宣言的影響。因此, Google 所掌握的大量第一方 Cookies 之應用在未來將益顯重要。

 

網路服務提供商對 Cookies 應用的限縮是否代表個人化廣告的消失?實際上並非如此,只是意味著廣告商必須更積極取得消費者的同意與授權,以取得運用消費者資訊的正當基礎。至於應如何調整與消費者之間的隱私互動方式,或可參照歐洲法院於 2019 年 10 月所做成的第一件與 Cookies 使用相關的判決(Court of Justice of the European Union. PRESS RELEASE No 125/19)。於此判決中,歐洲法院認為,其一,使用「預先勾選的方框」並不能證明用戶已同意該特定網站使用 Cookies ,因為此種措施無法展現出用戶控制個資之自主性;其二,若用戶無法充分理解特定網站的 Cookies 如何運作,則即使該網站已取得用戶關於 Cookies 使用之同意,該同意亦不應視為有效的同意,因為此同意並不符合法定充分告知之要件。歐洲法院雖未進一步解釋 Cookies 同意之其他問題,如,當瀏覽網站用戶的選擇僅有「同意使用」或是「離開網站」此類情況時, Cookies 之蒐集利用是否合法,即尚無定論。但此一判決已替個資法規之應用建立了可因循的實務觀點,甚至可能對未來歐洲國家之隱私立法產生重要影響。於企業思考應如何調整網站設定及隱私條款以符應個資法規發展趨勢時,若能從用戶之「資料自主權」與「積極明確同意」再反省,當可創造對於用戶隱私保障更加周全之網站體驗。

 

參考資料:

 

1. General Data Protection Regulation (GDPR)

2. California Consumer Privacy Act (CCPA)

3. Hunton Andrews Kurth LLP, ’CJEU Reaches Decision in Case Involving Cookie Consent under EU Data Protection Law’ (Oct 3 2019)

4. Court of Justice of the European Union. PRESS RELEASE No 125/19. Luxembourg, 1 October 2019.

5. ‘Cookies crumbling as Google phases them out’ (BBC, Jan 15 2020)

文章分類
近期文章
召集股東會:是雙胞胎!恭喜老爺,賀喜夫人!?
萬華區民眾健保卡註記事件之隱私疑雲——兼談「剖析」之基本概念
從隱私保障角度檢討疫情警示簡訊:「細胞廣播」與「類細胞簡訊」之運用
匿名化或假名化?資料去識別化之概念釐清
召集股東會:喚醒沉睡在股份中的表決權
誰在暗處解讀戰術?——即時轉播對於營業秘密保護的可能影響
「繼續閱覽代表我同意」?淺談GDPR及CPRA對於同意有效性之認定
以「臺灣社交距離app」找到人與人的連結,但我的個資也被連結了嗎?
召集股東會:誕生吧!決議!
除了GDPR外,你還要知道 ePrivacy Regulation
馬賽克理論簡介——隱私內涵之再反省
打擊盜版?尊重言論自由?——在光譜間擺盪的網路平台業者
Facebook透明報告出爐!機器學習讓打擊盜版更有效率
全國通用「簡訊實聯制」上路:效率防疫倒映之隱私隱憂
天網是什麼?簡評「電子圍籬」及「雲龍系統」運用的隱私疑慮
如影隨形的小甜餅將何去何從:從第三方 Cookies 的使用限縮談「 Cookies 同意」
GoPro、UBER主動出擊! 原來定期檢索競爭對手商標很重要
你的同意不是你的同意!?從歐盟個資保護委員會公布之05/2020指引看當事人同意效力
人工智慧近期國際動態—美國FTC針對人工智慧偏見之建議與歐盟人工智慧法律框架草案
個資外洩怎知道?從Facebook近日個資侵害事件看個資事故之通知
Cookie掰掰,但Google的FLoC群組真能更加保護用戶隱私?
刷臉換登機?淺談近期人臉辨識相關規範
美國消費者隱私保護專法第二槍
加州消費者隱私保護法(CCPA)升級版?加州隱私權利法(CPRA)要來了!
疫情與人權—簡介以色列法院對於電子足跡的看法
會議裡有不速之客!Zoom與紐約州檢察長達成資安保護協議
隱私聲明惹的禍?臉書被罰650萬美元
微軟承諾:保障跨境傳輸的用戶資料
Google因追蹤無痕模式使用者而面臨50億美元求償
Facebook將停用歐洲使用者Ig及Messenger部分功能