明毓律師事務所HSU & Associates
2021/8/24 / 法律知識

除了GDPR外,你還要知道 ePrivacy Regulation

要說全球最知名的隱私規範為何,相信所有人腦中第一個想到的便是GDPR;畢竟自2018年GDPR正式施行以來,鋪天蓋地的新聞報導與分析介紹,讓大家想不注意GDPR都難。然而,除了GDPR之外,歐盟還有另一個不容我們忽視的隱私規範,那就是「隱私及電子通訊規則」(ePrivacy Regulation)。

 

歐盟執委會於2017年提出ePrivacy Regulation草案,原本預計於2018年通過,卻未能如期達成,延宕多年後,終於在今年(2021)有了一大進展,今年2 月10日,歐盟理事會(Council of the European Union)就修正後之ePrivacy Regulation內容達成共識,而此版本也將作為後續歐洲議會、歐盟理事會、歐盟執委會三方談判之基礎。

 

ePrivacy Regulation旨在取代2002年通過之隱私及電子通訊指令(ePrivacy Directive),該指令雖已就通訊秘密性、流量資料、位置資料、Cookie等問題進行相關規範。然而,隨著科技的日新月異,ePrivacy Directive內容顯然已不足以因應這近20年來的科技快速變遷。再者,OTT服務的興起,除了使業者得直接利用網際網路向消費者提供服務外(例如Gmail、Netflix),消費者亦得使用skype、Line、WhatsApp等網路電話(Voice over IP)彼此聯繫,這使得傳統電子通訊服務提供者之重要性漸漸不若以往;相較之下,提供上述服務之業者以及這些新型態服務反而更有管制之必要。而ePrivacy Directive過去僅適用於傳統電子通訊服務提供者(例如傳統電信公司),那些藉由網路提供「類似」電子通訊服務之業者則不在ePrivacy Directive規範範圍內。有鑑於此,去年(2020)12月,歐洲通訊電子規則(EU Electronic Communications Code, EECC)將ePrivacy Directive的範圍擴張到包含上述態樣之新興服務,期能在ePrivacy Regulation通過前,填補此部分之不足。

 

自歐盟理事會2 月10日所達成共識之修正版ePrivacy Regulation內容觀之,ePrivacy Regulation適用範圍除包括利用OTT服務傳輸之電子通訊內容、電子通訊元資料(Metadata)、機器對機器溝通、終端使用者裝置上之資訊、電子直接行銷(例如透過email、SMS行銷)等外,亦具有以下重點:

 
  • 適用範圍:ePrivacy Regulation保護自然人及法人之電子通訊機密性,適用客體包含了目前及未來的新興通訊方式,例如一般通話、即時訊息、Email、網路電話及透過社群媒體傳送的個人訊息,而適用之相關主體為電子通訊服務提供者、公用目錄提供者、使用電子通訊服務直接行銷的組織、藉由Cookie或相似技術蒐集或儲存資料之組織。

  • 域外效力:如同GDPR一般,ePrivacy Regulation具有域外效力,亦即,適用到所有在歐盟境內之使用者。因此,無論處理使用者個人資料之組織是否位於歐盟境內,只要該組織有向歐盟居民進行電子直接行銷傳送,或是在處理資料過程中,有牽涉到歐盟居民之電子通訊內容、電子通訊元資料等,均應遵守ePrivacy Regulation之規範。

  • 元資料(metadata):原則上,處理使用者元資料1時應事先取得其同意,惟在特定情形下,例如因計費目的、為了偵測或停止使用者詐欺、保護使用者權益2、為了履行與使用者之電子通訊契約等;而有處理使用者元資料之必要時,得例外在不事先取得使用者同意下處理。

  • Cookie:除了例外情形外,當業者有向使用者蒐集Cookie時,仍應取得使用者明確之同意,且該業者每隔一段時間(至少一年一次)應提醒使用者其有撤回同意之權利。此外,該草案亦提出,在技術可行前提下,應讓使用者得藉由在瀏覽器設定白名單之方式,給予同意。

  • 同意標準:ePrivacy Regulation維持與GDPR相同之同意標準,即自主給予、具體、受充分告知及明確,且因法人亦同樣受ePrivacy Regulation保護,該草案將同意機制擴及法人,法人亦可透過其代表人表示同意。



 
  • 註解:

  1. 註解1:例如撥打過的電話號碼、通話時間、通話長度或位置

  2. 註解2:理事會草案特別提及為了人道目的,例如有監測疫情或防止其擴散之必要

Articles
Latest
posts
拜登《發展數位資產行政命令》簡介
加密貨幣該怎麼管?美國《金融創新責任法案》簡介(下篇)
加密貨幣該怎麼管? 美國《金融創新責任法案》簡介(上篇)
公益與營業秘密揭露之兩難——簡介TRIPS Covid-19豁免提案
認識歐盟新版標準契約條款:個資國際傳輸新發展
深偽技術移花接木——面對人工智慧,個資法準備好了嗎?
疫苗通行證將上線?淺談「台北通app」之個資蒐用問題
中國個人信息保護法開跑!十大重點一次看!
真的假的!?埋在發財致富路的陷阱 ——淺談詐欺取財罪與非法吸金罪
謝絕來電計畫——公正第三方介入當事人同意機制之可行性?
召集股東會:是雙胞胎!恭喜老爺,賀喜夫人!?
萬華區民眾健保卡註記事件之隱私疑雲——兼談「剖析」之基本概念
從隱私保障角度檢討疫情警示簡訊:「細胞廣播」與「類細胞簡訊」之運用
匿名化或假名化?資料去識別化之概念釐清
召集股東會:喚醒沉睡在股份中的表決權
誰在暗處解讀戰術?——即時轉播對於營業秘密保護的可能影響
「繼續閱覽代表我同意」?淺談GDPR及CPRA對於同意有效性之認定
以「臺灣社交距離app」找到人與人的連結,但我的個資也被連結了嗎?
召集股東會:誕生吧!決議!
除了GDPR外,你還要知道 ePrivacy Regulation
馬賽克理論簡介——隱私內涵之再反省
打擊盜版?尊重言論自由?——在光譜間擺盪的網路平台業者
Facebook透明報告出爐!機器學習讓打擊盜版更有效率
全國通用「簡訊實聯制」上路:效率防疫倒映之隱私隱憂
天網是什麼?簡評「電子圍籬」及「雲龍系統」運用的隱私疑慮
如影隨形的小甜餅將何去何從:從第三方 Cookies 的使用限縮談「 Cookies 同意」
GoPro、UBER主動出擊! 原來定期檢索競爭對手商標很重要
你的同意不是你的同意!?從歐盟個資保護委員會公布之05/2020指引看當事人同意效力
人工智慧近期國際動態—美國FTC針對人工智慧偏見之建議與歐盟人工智慧法律框架草案
個資外洩怎知道?從Facebook近日個資侵害事件看個資事故之通知