諮詢預約 要說全球最知名的隱私規範為何,相信所有人腦中第一個想到的便是GDPR;畢竟自2018年GDPR正式施行以來,鋪天蓋地的新聞報導與分析介紹,讓大家想不注意GDPR都難。然而,除了GDPR之外,歐盟還有另一個不容我們忽視的隱私規範,那就是「隱私及電子通訊規則」(ePrivacy Regulation)。
歐盟執委會於2017年提出ePrivacy Regulation草案,原本預計於2018年通過,卻未能如期達成,延宕多年後,終於在今年(2021)有了一大進展,今年2 月10日,歐盟理事會(Council of the European Union)就修正後之ePrivacy Regulation內容達成共識,而此版本也將作為後續歐洲議會、歐盟理事會、歐盟執委會三方談判之基礎。
ePrivacy Regulation旨在取代2002年通過之隱私及電子通訊指令(ePrivacy Directive),該指令雖已就通訊秘密性、流量資料、位置資料、Cookie等問題進行相關規範。然而,隨著科技的日新月異,ePrivacy Directive內容顯然已不足以因應這近20年來的科技快速變遷。再者,OTT服務的興起,除了使業者得直接利用網際網路向消費者提供服務外(例如Gmail、Netflix),消費者亦得使用skype、Line、WhatsApp等網路電話(Voice over IP)彼此聯繫,這使得傳統電子通訊服務提供者之重要性漸漸不若以往;相較之下,提供上述服務之業者以及這些新型態服務反而更有管制之必要。而ePrivacy Directive過去僅適用於傳統電子通訊服務提供者(例如傳統電信公司),那些藉由網路提供「類似」電子通訊服務之業者則不在ePrivacy Directive規範範圍內。有鑑於此,去年(2020)12月,歐洲通訊電子規則(EU Electronic Communications Code, EECC)將ePrivacy Directive的範圍擴張到包含上述態樣之新興服務,期能在ePrivacy Regulation通過前,填補此部分之不足。
自歐盟理事會2 月10日所達成共識之修正版ePrivacy Regulation內容觀之,ePrivacy Regulation適用範圍除包括利用OTT服務傳輸之電子通訊內容、電子通訊元資料(Metadata)、機器對機器溝通、終端使用者裝置上之資訊、電子直接行銷(例如透過email、SMS行銷)等外,亦具有以下重點:
-
適用範圍:ePrivacy Regulation保護自然人及法人之電子通訊機密性,適用客體包含了目前及未來的新興通訊方式,例如一般通話、即時訊息、Email、網路電話及透過社群媒體傳送的個人訊息,而適用之相關主體為電子通訊服務提供者、公用目錄提供者、使用電子通訊服務直接行銷的組織、藉由Cookie或相似技術蒐集或儲存資料之組織。
-
域外效力:如同GDPR一般,ePrivacy Regulation具有域外效力,亦即,適用到所有在歐盟境內之使用者。因此,無論處理使用者個人資料之組織是否位於歐盟境內,只要該組織有向歐盟居民進行電子直接行銷傳送,或是在處理資料過程中,有牽涉到歐盟居民之電子通訊內容、電子通訊元資料等,均應遵守ePrivacy Regulation之規範。
-
元資料(metadata):原則上,處理使用者元資料1時應事先取得其同意,惟在特定情形下,例如因計費目的、為了偵測或停止使用者詐欺、保護使用者權益2、為了履行與使用者之電子通訊契約等;而有處理使用者元資料之必要時,得例外在不事先取得使用者同意下處理。
-
Cookie:除了例外情形外,當業者有向使用者蒐集Cookie時,仍應取得使用者明確之同意,且該業者每隔一段時間(至少一年一次)應提醒使用者其有撤回同意之權利。此外,該草案亦提出,在技術可行前提下,應讓使用者得藉由在瀏覽器設定白名單之方式,給予同意。
-
同意標準:ePrivacy Regulation維持與GDPR相同之同意標準,即自主給予、具體、受充分告知及明確,且因法人亦同樣受ePrivacy Regulation保護,該草案將同意機制擴及法人,法人亦可透過其代表人表示同意。
-
註解:
-
註解1:例如撥打過的電話號碼、通話時間、通話長度或位置
-
註解2:理事會草案特別提及為了人道目的,例如有監測疫情或防止其擴散之必要