明毓律師事務所HSU & Associates
2021/8/30 / 法律知識

「繼續閱覽代表我同意」?淺談GDPR及CPRA對於同意有效性之認定

 

相信許多人對Cookie及隱私權政策彈跳視窗並不陌生,當我們點進去欲瀏覽的網頁時,啪一下忽然跳出一個小視窗寫著「繼續閱覽即表示你同意我們使用Cookie」,仔細一看,小視窗僅有「我知道了」按鍵,沒有其他選項,若不按下「我知道了」,小視窗將形影不離地跟著你瀏覽網頁,這樣看來,除了「同意」以外我們沒有其他選擇,而這樣的「同意」算是真正有效的同意嗎?在我國,對於Cookie是否為個人資料尚無明確規定,然而,歐盟一般資料保護規範(General Data Protection Regulation, GDPR)與將於2023 年生效之加州隱私權利法(California Privacy Rights Act, CPRA)均已認定Cookie屬於得識別個人之「個人資料」,應適用個人資料保護相關規範。因此,上開情境中,若網頁在我們毫無選擇餘地的「同意」下使用Cookie,是否能算是個資法規範上的有效同意呢?

 

我國個資法第7條雖有當事人同意之規定,惟該條著重於蒐集者之告知義務;就「當事人如何作成同意」,僅規定「當事人所為允許之意思表示」、「當事人單獨所為之意思表示」;至於「同意的意思表示」應具備哪些要件始為有效之同意?若網頁已經預先幫我在「我同意」框框打勾,或是如同前述作法,連個「我同意」框框都沒有,直接告知「繼續閱覽即表示同意」,算是有效的同意嗎?我國個資法或施行細則對此並無進一步規範。

 

當事人同意是否有效之重點在於:是否具備自主性?意即,當事人除了應清楚知道是誰要蒐集其個資、蒐集了哪些個資、為何蒐集、之後將如何利用外,也有自由選擇要不要提供之權利,若已同意提供,未來亦得反悔隨時撤回同意。根據GDPR規定,「同意」應為當事人自主給予(freely given)、具體(specific)、受充分告知(informed)及明確(unambiguous)的。所謂「自主給予」是指當事人在出於真意且得以自由選擇下所為之同意,若當事人根本沒有選擇餘地,或者「同意」並非履行契約所必要者,但控管者卻告知當事人不同意提供個資的話,將會損及當事人權益,當事人因而所為之「同意」,均非GDPR下之「自主給予」。而「具體」及「受充分告知」代表,控管者應充分告知當事人控管者身分、蒐集處理個資之特定目的、蒐集處理個資之範圍、當事人得隨時撤回同意等事項,使當事人能清楚明瞭所同意的特定範圍,並且針對該範圍進行同意,因此,不同的個資處理目的應取得分別之同意,若控管者原本蒐集處理個資之目的已超出原本告知的範圍,此時即應再行告知,再次取得當事人同意。最後,「明確」是指當事人應以清楚、肯定的方式表示同意,若是單純沈默(silence)、已經預設勾選同意(pre-ticked boxes)或是不作為(inactivity)等,都不能算是有效的同意。
 

歐盟個資保護委員會(The European Data Protection Board,EDPB)於2020年5年4日公布了更新版「當事人同意指引」(Guidelines 05/2020 on consent under Regulation 2016/679),再次闡明了有效的同意應具備哪些要件。雖然該指引不具拘束力,但因EDPB公布的指引旨在指導歐盟各會員國之個資保護主管機關如何適用GDPR,因此,該指引亦為適用GDPR時之一項重要參考。根據該指引所示,當事人同意是否「明確」,應視當事人之同意是否為一「清楚、肯定之行動 」(a clear and affirmative action);而單純的「往下捲動網頁」或是「在網站間滑動」(scrolling or swiping through a webpage),均非有效同意。

 

除了GDPR對「同意」有更細部之規範外,2020年通過的CPRA同樣參考GDPR,重新定義了「同意」的意義。過去美國隱私規範僅有規定在處理特定個資情形下(例如網站蒐集13歲以下兒童、健康等資訊時)才需要取得當事人「選擇加入的同意」(opt-in consent)。而2023年1月將生效的CPRA要求,若控管者欲將個資利用於特定目的而蒐集或使用所有種類的個資時,應有更高的當事人同意標準。CPRA對於「同意」的定義大致上與GDPR相同,除同樣要求同意應出於「自主給予」、「具體」、「受充分告知」及「明確」外,更明確將「消費者採取的一般行動(例如對於包含蒐集個資或其他與個資不相關資訊條款之概括同意)」、「僅僅滑過、暫停、按下不要提醒我或是關掉網站跳出來的要求同意視窗」、「利用黑暗模式(dark pattern)誘使消費者提供同意」等三種特定情形排除在「同意」定義範圍內。

 

回到本文開頭情境,「繼續閱覽即表示你同意我們使用Cookie」之彈跳視窗是否違反個人資料保護法相關規範對於「同意」的要求呢?由上述介紹可知,該彈跳視窗僅算是一種「不作為」,或是「單純的捲動頁面」,不符合「同意」應有之「清楚、肯定行動 」要求,並非「明確」的同意,故非有效的同意。

文章分類
近期文章
召集股東會:是雙胞胎!恭喜老爺,賀喜夫人!?
萬華區民眾健保卡註記事件之隱私疑雲——兼談「剖析」之基本概念
從隱私保障角度檢討疫情警示簡訊:「細胞廣播」與「類細胞簡訊」之運用
匿名化或假名化?資料去識別化之概念釐清
召集股東會:喚醒沉睡在股份中的表決權
誰在暗處解讀戰術?——即時轉播對於營業秘密保護的可能影響
「繼續閱覽代表我同意」?淺談GDPR及CPRA對於同意有效性之認定
以「臺灣社交距離app」找到人與人的連結,但我的個資也被連結了嗎?
召集股東會:誕生吧!決議!
除了GDPR外,你還要知道 ePrivacy Regulation
馬賽克理論簡介——隱私內涵之再反省
打擊盜版?尊重言論自由?——在光譜間擺盪的網路平台業者
Facebook透明報告出爐!機器學習讓打擊盜版更有效率
全國通用「簡訊實聯制」上路:效率防疫倒映之隱私隱憂
天網是什麼?簡評「電子圍籬」及「雲龍系統」運用的隱私疑慮
如影隨形的小甜餅將何去何從:從第三方 Cookies 的使用限縮談「 Cookies 同意」
GoPro、UBER主動出擊! 原來定期檢索競爭對手商標很重要
你的同意不是你的同意!?從歐盟個資保護委員會公布之05/2020指引看當事人同意效力
人工智慧近期國際動態—美國FTC針對人工智慧偏見之建議與歐盟人工智慧法律框架草案
個資外洩怎知道?從Facebook近日個資侵害事件看個資事故之通知
Cookie掰掰,但Google的FLoC群組真能更加保護用戶隱私?
刷臉換登機?淺談近期人臉辨識相關規範
美國消費者隱私保護專法第二槍
加州消費者隱私保護法(CCPA)升級版?加州隱私權利法(CPRA)要來了!
疫情與人權—簡介以色列法院對於電子足跡的看法
會議裡有不速之客!Zoom與紐約州檢察長達成資安保護協議
隱私聲明惹的禍?臉書被罰650萬美元
微軟承諾:保障跨境傳輸的用戶資料
Google因追蹤無痕模式使用者而面臨50億美元求償
Facebook將停用歐洲使用者Ig及Messenger部分功能