諮詢預約 相信許多人對Cookie及隱私權政策彈跳視窗並不陌生,當我們點進去欲瀏覽的網頁時,啪一下忽然跳出一個小視窗寫著「繼續閱覽即表示你同意我們使用Cookie」,仔細一看,小視窗僅有「我知道了」按鍵,沒有其他選項,若不按下「我知道了」,小視窗將形影不離地跟著你瀏覽網頁,這樣看來,除了「同意」以外我們沒有其他選擇,而這樣的「同意」算是真正有效的同意嗎?在我國,對於Cookie是否為個人資料尚無明確規定,然而,歐盟一般資料保護規範(General Data Protection Regulation, GDPR)與將於2023 年生效之加州隱私權利法(California Privacy Rights Act, CPRA)均已認定Cookie屬於得識別個人之「個人資料」,應適用個人資料保護相關規範。因此,上開情境中,若網頁在我們毫無選擇餘地的「同意」下使用Cookie,是否能算是個資法規範上的有效同意呢?
我國個資法第7條雖有當事人同意之規定,惟該條著重於蒐集者之告知義務;就「當事人如何作成同意」,僅規定「當事人所為允許之意思表示」、「當事人單獨所為之意思表示」;至於「同意的意思表示」應具備哪些要件始為有效之同意?若網頁已經預先幫我在「我同意」框框打勾,或是如同前述作法,連個「我同意」框框都沒有,直接告知「繼續閱覽即表示同意」,算是有效的同意嗎?我國個資法或施行細則對此並無進一步規範。
當事人同意是否有效之重點在於:是否具備自主性?意即,當事人除了應清楚知道是誰要蒐集其個資、蒐集了哪些個資、為何蒐集、之後將如何利用外,也有自由選擇要不要提供之權利,若已同意提供,未來亦得反悔隨時撤回同意。根據GDPR規定,「同意」應為當事人自主給予(freely given)、具體(specific)、受充分告知(informed)及明確(unambiguous)的。所謂「自主給予」是指當事人在出於真意且得以自由選擇下所為之同意,若當事人根本沒有選擇餘地,或者「同意」並非履行契約所必要者,但控管者卻告知當事人不同意提供個資的話,將會損及當事人權益,當事人因而所為之「同意」,均非GDPR下之「自主給予」。而「具體」及「受充分告知」代表,控管者應充分告知當事人控管者身分、蒐集處理個資之特定目的、蒐集處理個資之範圍、當事人得隨時撤回同意等事項,使當事人能清楚明瞭所同意的特定範圍,並且針對該範圍進行同意,因此,不同的個資處理目的應取得分別之同意,若控管者原本蒐集處理個資之目的已超出原本告知的範圍,此時即應再行告知,再次取得當事人同意。最後,「明確」是指當事人應以清楚、肯定的方式表示同意,若是單純沈默(silence)、已經預設勾選同意(pre-ticked boxes)或是不作為(inactivity)等,都不能算是有效的同意。
歐盟個資保護委員會(The European Data Protection Board,EDPB)於2020年5年4日公布了更新版「當事人同意指引」(Guidelines 05/2020 on consent under Regulation 2016/679),再次闡明了有效的同意應具備哪些要件。雖然該指引不具拘束力,但因EDPB公布的指引旨在指導歐盟各會員國之個資保護主管機關如何適用GDPR,因此,該指引亦為適用GDPR時之一項重要參考。根據該指引所示,當事人同意是否「明確」,應視當事人之同意是否為一「清楚、肯定之行動 」(a clear and affirmative action);而單純的「往下捲動網頁」或是「在網站間滑動」(scrolling or swiping through a webpage),均非有效同意。
除了GDPR對「同意」有更細部之規範外,2020年通過的CPRA同樣參考GDPR,重新定義了「同意」的意義。過去美國隱私規範僅有規定在處理特定個資情形下(例如網站蒐集13歲以下兒童、健康等資訊時)才需要取得當事人「選擇加入的同意」(opt-in consent)。而2023年1月將生效的CPRA要求,若控管者欲將個資利用於特定目的而蒐集或使用所有種類的個資時,應有更高的當事人同意標準。CPRA對於「同意」的定義大致上與GDPR相同,除同樣要求同意應出於「自主給予」、「具體」、「受充分告知」及「明確」外,更明確將「消費者採取的一般行動(例如對於包含蒐集個資或其他與個資不相關資訊條款之概括同意)」、「僅僅滑過、暫停、按下不要提醒我或是關掉網站跳出來的要求同意視窗」、「利用黑暗模式(dark pattern)誘使消費者提供同意」等三種特定情形排除在「同意」定義範圍內。
回到本文開頭情境,「繼續閱覽即表示你同意我們使用Cookie」之彈跳視窗是否違反個人資料保護法相關規範對於「同意」的要求呢?由上述介紹可知,該彈跳視窗僅算是一種「不作為」,或是「單純的捲動頁面」,不符合「同意」應有之「清楚、肯定行動 」要求,並非「明確」的同意,故非有效的同意。