【重磅】你的網站在歐洲使用cookie嗎?一文搞懂歐洲醞釀中的cookie法變革
撰文:許 斌 博士
審閱:葉奇鑫 律師
王慕民 律師
全文約3100字,閱讀約需11分鐘
你的網站是否開放歐洲地區使用者瀏覽?又是否會對歐洲使用者放置cookie?如果答案為「是」,我們這篇文章,值得你特別留意。
今年cookie成為歐洲個資法遵的一個熱門議題,我們將帶你瞭解英國和歐盟關於cookie法規範改革的不同方向,並結合歐洲各國監理實務,幫你判讀當前法遵重點。
不止GDPR:歐洲cookie法概觀
GDPR是歐盟最出名的個資法規,但網站使用cookie前須經使用者同意,卻是歐盟在GDPR制定前已行之有年的要求。2002年,歐盟通過電子隱私指令(ePrivacy Directive)(註1),規範電子通訊之隱私保護。這一指令在第5.3條要求,在使用者「終端裝置」內儲存或存取「資訊」,除對於資訊服務有絕對必要性外,應依當時的個資保護指令(Data Protection Directive,後被GDPR取代)告知使用者有關資訊,並取得使用者同意。
這一指令在立法理由中,明文把cookie列作第5.3條所稱之「資訊」之一。換句話說,如果網站想要在使用者裝置中放置cookie、或讀取既有cookie的內容,原則須依歐盟個資保護法規取得使用者知情明確同意。
電子隱私指令不像GDPR可以直接適用,而是需要被會員國轉化成國內法。例如,英國於2003年制定電子隱私條例(PECR)(註2),作為實施電子隱私指令的國內法。雖然這種立法模式給各國保留了較大監理彈性,但還是給當時網路行業造成了很大衝擊。一夕之間,成千上萬個網站都增設了cookie banner和cookie政策。這一指令也獲得了「cookie法」(cookie law)的別稱。
GDPR取代個資保護指令後,歐盟cookie法關於當事人同意的要求相應變嚴。例如,歐盟層面GDPR解釋機關歐洲個人資料保護委員會(EDPB)曾作出指引(註3),明確「不同意cookie就不能使用服務」的「cookie墻」方式取得的同意無效。
英國個資法切割歐盟GDPR,先從cookie法入手?
英國雖已於今年起徹底脫歐,但仍舊沿用歐盟的大部分法律制度,個資法也不例外。歐盟GDPR的實質內容,目前在英國以UK GDPR的名義繼續適用(註4)。但英國自8月底開始個資法制變革動作頻頻,頗有要與歐盟法「切割」的意味。主責資料監理政策規劃的英國文化媒體暨體育部(DCMS)先是公布英國自己的資料跨境傳輸標準(註5),接著又預告資料法制改革計畫並公開徵求意見(註6)。
Cookie法規似乎是英國對歐盟制度「動手」的第一步。英國DCMS部長在接受媒體訪問時,吐露計劃從cookie法規入手改革(註7)。不久之後,英國專責個資保護之資訊委員(Information Commissioner)召集G7國家個資保護主管機關圓桌會議,商討cookie同意機制變革議題(註8)。
有趣的是,歐盟謀求改革cookie法制已有數年之久,並終於在今年取得實質進展(註9)。因此,雙方關於cookie法規日後走向的互動與角力,將左右未來歐洲地區cookie法遵的樣貌。
從指令到條例,歐盟醞釀cookie法效力升級
隨著GDPR於2016年通過,歐盟個資法從需要透過國內法實施的「指令」,升級為對各國直接適用的「條例」,會員國個資法的一致性大大提升。此後,歐盟旋即開始醞釀電子隱私法規「從指令到條例」的升級,由歐盟執委會於2017年1月正式提出構想(註10)。
2021年2月,歐盟理事會(Council of the EU)形成了各國初步同意的電子隱私條例草案(註11),並交予歐洲議會正式談判。對於cookie的使用,條例草案仍以「告知—同意」為基礎,但規範內容將在現行基礎上大大擴充:
- 無需同意使用cookie的情境更多樣:現行指令下,僅有絕對必要cookie無需取得同意,而條例草案計劃對維護服務安全、特定使用者分析等也豁免同意。
- 取得cookie同意的方法更靈活:條例草案承認,大量cookie banner將造成使用者「同意疲勞」,因此認同使用者以瀏覽器設定cookie「白名單」方式給予的同意。此外,對於cookie墻的限制,也計劃有條件放寬。
- 強化cookie同意之撤回權:雖然現行指令已有撤回同意之規範,條例草案將更進一步,要求業者定期(至少每12個月)向使用者提示撤回同意之權利。
- 仿照GDPR的長臂管轄:由於現行指令需要透過國內法實施,其並未明確規定適用的地域範圍,而是留給各國自行決定。條例草案則擬明確引入長臂管轄機制,統一要求若業者對歐盟境內使用者放置cookie,原則將須遵守該條例。
從以上幾點觀察,條例草案對歐盟cookie法的修改可謂「有張有弛」。一方面,同意的取得條件相對放寬,也更加貼合網站的營運現實。另一方面,長臂管轄條款可能顯著擴張受管轄的網站範圍,可能使大批網站需要新建cookie法遵制度。
從法規強制到業者自律,英國醞釀cookie法鬆綁
英國在其2021年9月預告之資料法制改革計畫中,表示其正考慮擴大無須同意使用cookie之情境,就擴大後的範圍,大致有兩項方案:
- 其一是將使用者分析cookie納入豁免同意範圍,但仍要求業者向使用者充分告知此類cookie的相關資訊;
- 其二是在對使用者隱私影響程度較低的範圍內,將豁免擴及業者的「正當利益」(legitimate interest)。
關於取得使用者同意的方式,英國的資料法制改革計畫提出了不同構想,包括使用瀏覽器或裝置設定、由第三方協助管理同意等,以求降低大量cookie pop-up造成「同意疲勞」,便利使用者集中精力處理更重要的決定。
前開方案都與歐盟電子隱私條例草案的改革方向基本一致,但英國的資料法制改革計畫還提出了更為激進的方案,即廢除對一切cookie的事前同意要求,但要求業者在使用cookie技術時,遵守UK GDPR關於合法、公平、透明等方面的基本原則。若英國最終選擇這一最寬鬆的方案,cookie的使用法其國內可謂完全轉由個資法主導。加之英國亦在考量擴張業者正當利益的適用範圍,放寬個資處理紀錄保持、個資保護影響評估等方面的要求,英國其與歐盟關於cookie監理的密度將有顯著落差。
監理者重視+民間助力,小cookie可能招來大麻煩
近年來,cookie違法已經與「天價裁罰」聯繫到一起。2020年12月,法國國家資訊自由委員會(CNIL)認為Google和Amazon都存在「默默植入」廣告cookie行為,對Google重罰1億歐元(約合新台幣34億元)、對Amazon重罰3500萬歐元(約合新台幣11億元)。兩項裁罰的依據,正是電子隱私指令所對應的法國國內法條文(註12)。
民間新技術的出現,把中小型網站也放到監理者的「執法雷達」上。今年5月,歐洲民間團體NOYB宣布,其已開發出專用軟體,自動偵測判斷網站cookie banner是否合法,並自動生成投訴書,要求網站限期改善。若網站未及時處理,NOYB會轉而向主管機關提出申訴。該團體計畫於2021年內檢視1萬家歐洲地區常用網站的cookie法遵狀況(註13)。
面對NOYB提出的大量cookie違法申訴,歐洲個人資料保護委員會(EDPB)依據GDPR授權,決議設立行動小組,協調各會員國資料保護主管機關對這些申訴的回應與處置(註14)。
不要以為主管機關面對cookie違法只有罰款一招。2020年12月,比利時資料保護署(DPA)與域名管理機構DNS Belgium簽訂協議。雙方決定展開執法合作,將不符個資保護標準的網站「提出市場」。若網站違反GDPR又拒不改正,DNS Belgium將依比利時DPA請求,對網站採取切斷連結等措施(註15)。
由以上可以看出,cookie在歐洲已經成了執法成本較低、違反成本可能很高的事項。雖然未來英國可能會鬆綁cookie同意要求,但歐盟整體朝向與GDPR協調一致,並無大幅放寬監管的趨勢。況且歐盟和英國的改革都還在醞釀之中,台灣企業在當前階段,仍應以確實遵循現行法為重心。
註1:歐盟電子隱私指令原文請見:https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX%3A32002L0058。
註2:英國電子隱私條例原文請見:https://www.legislation.gov.uk/uksi/2003/2426。
註3:EDPB同意指引原文請見:https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf。
註4:英國資訊委員辦公室(ICO)對UK GDPR之說明原文請見:https://ico.org.uk/for-organisations/dp-at-the-end-of-the-transition-period/data-protection-and-the-eu-in-detail/the-uk-gdpr/。
註5:英國政府2021年8月26日公布之資料跨境傳輸標準原文請見:https://www.gov.uk/government/publications/uk-approach-to-international-data-transfers/international-data-transfers-building-trust-delivering-growth-and-firing-up-innovation。
註6:英國政府2021年9月10日公布資料法制改革方案原文請見:https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/1022315/Data_Reform_Consultation_Document__Accessible_.pdf。
註7:相關報導原文請見:https://www.bbc.com/news/technology-58340333。
註8:英國ICO相關新聞稿原文請見:https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2021/09/g7-data-protection-and-privacy-authorities-meeting-communiqu%C3%A9/。
註9:歐盟理事會相關新聞稿原文請見:https://www.consilium.europa.eu/en/press/press-releases/2021/02/10/confidentiality-of-electronic-communications-council-agrees-its-position-on-eprivacy-rules/#。
註10:歐盟執委會電子隱私條例提案原文請見:https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52017PC0010。
註11:歐盟理事會2021年2月電子隱私條例草案原文請見:https://data.consilium.europa.eu/doc/document/ST-6087-2021-INIT/en/pdf。
註12:法國資訊技術、資料文檔與自由法原文請見:https://www.cnil.fr/fr/la-loi-informatique-et-libertes。
註13:NOBY Cookies法遵行動聲明原文請見:https://noyb.eu/en/noyb-aims-end-cookie-banner-terror-and-issues-more-500-gdpr-complaints。
註14:EDPB相關新聞稿原文請見:https://edpb.europa.eu/news/news/2021/edpb-establishes-cookie-banner-taskforce_en。
註15:DNS Belgium相關新聞稿請見:https://www.dnsbelgium.be/en/news/block-fraudulent-websites。
※歡迎註明出處後轉載。
延伸閱讀:
- 「不同意cookie條款就閃邊」合法嗎?—歐盟EDPB對cookie wall適法性之新見解:https://www.davinci.idv.tw/news/773。
- 網站cookie條款不得預先勾選同意! —德國聯邦最高法院依CJEU見解判決Planet49案:https://www.davinci.idv.tw/news/774。
- 愛爾蘭DPC發布新版Cookie指引:https://www.davinci.idv.tw/news/756。
- 個資週報3|Cookie「同意」之規則與邊界:https://www.davinci.idv.tw/news/779。
- 重罰1億歐元!法國CNIL出手懲治cookie違法,Google、Amazon雙雙被罰:https://www.davinci.idv.tw/news/894。
- 比利時DPA與DNS展開合作,違反GDPR網站可能被「下架」:https://www.davinci.idv.tw/news/886。