命運多舛的歐盟電子隱私權規則

【許慈真/北美智權報 專欄作家】

※如欲轉載本文,請與北美智權報聯絡

2021年底,韓國終於通過GDPR適足性認定,而我國尚在努力談判中——顯見GDPR已逐漸在歐盟境外發揮影響力。然而,當年規劃一同實施的ePrivacy Regulation卻因爭議過大而遲遲未完成立法。

一般資料保護規則(General Data Protection Regulation, "GDPR")被認為是歐盟資料保護邁向現代化的重要里程碑,而原擬於2018年與GDPR一併通過的電子隱私權規則(ePrivacy Regulation, "ePR"),雖同屬促進信賴且安全之數位單一市場的重要環節,卻因各會員國就適用範圍、與GDPR之關係、裝置追蹤、cookie規範等眾多問題無法達成共識而被迫擱置,延宕至今。好消息是,現階段已進展至歐盟執委會、歐盟理事會與歐洲議會的三方會談,協商內容為歐盟理事會所決定之2021年2月10日版本(為第14份草案);但另一方面,由於該草案仍有不少爭議,何時能完成立法依舊充滿變數。

如同GDPR取代1995年資料保護指令(Data Protection Directive),未來ePR通過後也將取代2002年隱私權指令(Privacy Directive),毋須經各會員國立法手續轉換,便能直接產生效力。

規範概述

兩大原則:機密性與同意

根據執委會的構想,「機密性」與「同意」是ePR不可或缺之兩大基石:

  • 所有電子通訊均應予以保密,未經同意,原則上不得收聽、竊聽、掃瞄、攔截、監控、儲存或處理使用者的簡訊、電子郵件或語音電話(Art.5)。
  • 確保使用者線上活動及裝置之機密性,未經同意,不得存取使用者終端設備上的資訊(Art.8)。網站使用cookie或其他技術存取使用者裝置上資訊或追蹤其線上活動之前,也必須徵得同意,但不包括非隱私侵入性、為改善網路使用體驗的cookie,例如記憶購物車內容、在多個頁面填寫線上表格、同一連線階段(session)的登入資訊、訪客人數計算等情形。同時,ePR將提供更便捷的作法,允許使用者在瀏覽器設定同意或拒絕追蹤cookie與其他識別碼。
  • 必須取得同意,方能處理通訊內容(例如所交流之文本、語音、影片、圖像等內容)及元資料(metadata,例如用於追蹤通訊來源及目的地之資料、有關通訊裝置所在地之資料、通訊時點、持續時間及類型等資料),若無法取得使用者同意,高度涉及隱私權的元資料應予以匿名處理或刪除,除非此類資料係為收取款項所必須(Art.6, 6b, 7)。
  • 禁止透過電子郵件、簡訊或自動撥號系統(automated calling machine)發送不請自來的電子訊息(包括垃圾郵件及直接行銷通訊)與行銷電話(Art.14),除非會員國賦予消費者拒絕接聽行銷電話之權利,例如透過預設規範或謝絕來電清單(do-not-call list)加以防堵。市場行銷業者致電時必須顯示號碼,或以特殊前綴表明其為行銷電話。

擴大規範對象

從最新草案來看,ePR規範對象(Art.3)不僅涵蓋早期爭論焦點之OTT服務供應商(例如WhatsApp、Facebook Messenger、Skype等),也擴及更多服務類型,大致上包括:

  • 提供電子通訊服務
  • 提供公用目錄
  • 利用終端設備之處理及儲存能力,或蒐集使用者終端設備所處理、發送或儲存之資訊
  • 利用電子通訊服務發送直接行銷通訊
  • 透過公共網路傳輸之機器對機器資料(例如物聯網)

但由於ePR立法遲滯多時,原本聚焦的OTT服務早在2020年12月已納入歐洲電子通訊法(European Electronic Communications Code)之適用範圍,以便落實部分規範。

增強歐盟境內隱私權保障

執委會認為,透過ePR此單一規範制度,將使歐盟境內所有人與企業之電子通訊共享相同保護水準:使用者能更有效管控垃圾郵件與行銷電話,且以便捷、透明的方式決定是否同意cookie(省去每次造訪網站時點擊cookie橫幅通知的困擾)。企業只要遵守明確規範,仍可在線上廣告繼續使用cookie及其他追蹤技術;一旦使用者同意處理通訊資料,傳統電信業者將有機會提供額外服務並開發新業務,例如根據個人足跡製作熱圖(heat map),協助政府機關與運輸業者擬訂基礎建設計畫。

不過,歐洲資料保護委員會(European Data Protection Board, "EDPB")當初建議之獨立監管機關構想已不復存在,鑑於最終使用者控制權之監督事宜得移交給具相關專業知識的其他監管機關,未來企業可能需面臨不同機關的監管要求。

與GDPR之關聯性

GDPR僅限於保護個人資料,並未涵蓋企業間或個人間之通訊內容(個人資料除外),顯然ePR的適用範圍較廣,包含自然人與法人實體在內。再者,相較於GDPR,ePR規範更為具體且以網路活動為主,因而其不僅用以補充GDPR,同時具備特別法之地位(lex specialis)而優先適用。

EPR之所以能補充GDPR,原因在於其多處援引GDPR界定之術語及規範內容。例如,GDPR有關自然人之同意亦準用於法人(Art.4a),且必須是以清楚肯定之行動,自由給予具體、知情且明確之意思表示。此外,ePR有關法律救濟、責任及處罰等規定也與GDPR雷同,例如行政罰鍰即參考GDPR第83條(Art.23),處罰金額為1000萬歐元或前年度全球總營業額之2%(以較高者為準),若是違規情節重大(例如未遵守通訊保密原則),罰鍰甚至可能高達2000萬歐元或前年度全球總營業額之4%。

數位廣告業者的擔憂

就線上廣告而言,ePR帶來的恐怕並非利多、而是災難。IAB Europe即撰文批評,該規則僅涉及在裝置層級同意資料分享,因而無法分辨資料使用係為合法或非法,也無法區分哪些網站運作與資料行銷密不可分;再者,簡化同意之表示固然有好處,但實際上可能導致大多數人拒絕同意,迫使數位生態系統中的大量資料流失,進而影響網路效能與使用體驗。當然,這必然會衝擊到高度倚賴資料運用的數位廣告產業——尤其是行為資料(behavioral data)——根據估算,歐盟高達5260億歐元的數位廣告收益可能因此攔腰折半,而賴此維生的企業(例如大多數報章雜誌)營運將更為艱難、甚至倒閉,最終勢必波及到公眾的知情權。

廣開例外大門的疑慮

相對於營收銳減的恐慌與不滿,Privacy international反駁道,廣告技術產業(AdTech)普遍以各種手段追蹤、監控及利用使用者的線上活動足跡與通訊內容,儘管隱私權指令要求予以保護,但侵權事件仍時有所聞;而如今,即使有意藉由ePR加強執法,也必須面臨企業遊說以及引進資料保存(data retention)立法的挑戰。

EDPB同樣提出抨擊,認為草案第6b(1)(f)條(若採取加密或假名化等安全措施,可不必徵得同意而用於兼容性目的)以及第7(4)條(若為預防、調查、偵查或訴追犯罪及防範對公共安全之威脅,得不適用刪除或匿名化之原則)不僅破壞ePR的保護一致性、違反歐洲法院判例法,也等同為資料保存留下一道後門。

結語

根據ePR草案第29條,規則於公告後20日生效且設有兩年過渡期間,但其究竟能否在2022年通過抑或再度延後,目前眾說紛紜。已經投注大量心血的法案鮮少被廢棄,立法只是時間早晚而已,然而,正如部分質疑所言,經過各界遊說及多次修改後,ePR最終恐怕難以秉持最初理想,共同守護GDPR所塑造的數位市場樣貌。


【詳細內容請見《北美智權報》309期;歡迎訂閱《北美智權報》電子報

相關新聞

退場條例/加速私立大學消亡?教育券為改善教育品質最終良方!

自「私立高級中等以上學校退場條例」(下稱《私校退場條例》)草案於2022年4月22日經立法院三讀通過,並於同年5月11日正式公布施行後,似乎加快了私立高中以上學校 (特別是私立大專院校) 的退場速度。誠然,在少子化的嚴重衝擊下,學校招生不足已成常態,特別是後段班的私立學校。

數位發展部成立在即 最大挑戰在哪裡?

今年三月初,立法院三讀通過了《數位發展部組織法》,確定行政院轄下將新增一個數位發展部以專責規劃國家的數位發展政策,最快將於7月時正式掛牌成立。這不但是台灣行政部門組織上的一大變革,也代表了政府對於台灣數位發展政策的重視。

解決台灣缺工問題 不應忽視中高齡族群勞動力

今年以來,「找不到人」是每個產業普遍的問題,也使得企業界對於開放外籍移工和培育技術人才的呼聲愈來愈高。不過,台灣社會在逐步進入高齡化的同時,也有愈來愈龐大的中高齡人口離開職場,對比日、韓等國的例子,台灣應該開始思考,如何才能善用這些資深勞動力了。

單一顏色商標:智慧財產法院判決偉嘉紫色案

同一標識在不同國家註冊是否獲准,往往受制於各國商標審查法制及實務差異而有不同結果。惟核駁與否,其實某程度也透露出主管機關與法院評價證據時所抱持之觀點。

專利入門者應知道的國際優先權知識

當先前技術文獻的數量越多,則所請發明越容易不具備新穎性或進步性。因此,應儘速將完成的發明向智財局提出專利申請案。然而,對於外籍專利申請人,因為國際專利申請的決策時間、專利申請文件翻譯的時間或專利代理人作業的時間等因素,其在我國的專利申請日勢必會晚於其在該國的專利申請日。其將面對兩個申請日之間所產生的技術文獻,而這技術文獻有可能時其發明本身,例如其在該國的專利申請案在台灣專利申請日前即被該國公告其專利申請內容。

2022中國科技產業新政觀察

中國的「十四五規劃」是從2021年至2025年的國家規劃,也是中國制定國民經濟和社會發展的第十四個五年規劃。資策會產業情報研究所(MIC)認為,「十四五規劃」主要在因應美中科技戰,對台灣產業影響最大的在三個方面,也就是半導體產業、5G新基建和數位經濟。

商品推薦

udn討論區

0 則留言
規範
  • 張貼文章或下標籤,不得有違法或侵害他人權益之言論,違者應自負法律責任。
  • 對於明知不實或過度情緒謾罵之言論,經網友檢舉或本網站發現,聯合新聞網有權逕予刪除文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。
  • 對於無意義、與本文無關、明知不實、謾罵之標籤,聯合新聞網有權逕予刪除標籤、停權或解除會員資格。不同意上述規範者,請勿下標籤。
  • 凡「暱稱」涉及謾罵、髒話穢言、侵害他人權利,聯合新聞網有權逕予刪除發言文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。