江雅绮/LINE隐私更新─台个资法规比欧盟松

▲这次LINE的隐私更新事件,意外让我们发现,欧盟GDPR和台湾《个资法》之间的落差。(图/翻摄自LINE官网

LINE在全台已有1900万的使用者,在网路平台业者绝对是名列前茅。但令人惊讶的是,近日LINE更新隐私权政策,忽然要求使用者必须同意所有个资提供(包括要使用者同意LINE隐私权政策的变更、同意LINE为了行销目的使用及分享本人资讯、同意LINE分享优化服务资讯以协助服务优化),方能继续使用LINE的服务。

LINE要求 提供个资才能使用

之所以令人惊讶,是因为欧盟的《一般资料保护法规》(General Data Protection Regulation, GDPR)甫于5月底施行生效,台湾各相关主管机关,也为了协助台湾涉及欧盟市场产业符合GDPR的规范,相当忙碌。但LINE这种要「使用者同意提供个资、否则不能使用服务」的方式,仔细检视恐怕已经违反了GDPR规定原则

GDPR的精神,就是把个人资料的掌控权还给使用者(资料主体),要求在搜集、处理个人资料时,必须取得资料主体的同意。而GDPR所谓的「同意」,并非使用者有勾选「同意」就算。它必需是在资料主体被充分明确的告知下,所为之具体、自由的同意。

因此,很多情况下的「同意」,并不合乎GDPR的规定。例如,GDPR第七条中就提到:如仅是单纯沉默、或预设选项为同意或不为表示等,这都不能算是GDPR下的「同意」。

欧盟规定 须不受迫且可撤回

所谓具体的同意,包含各种目的下的个资处理都要取得同意,倘如处理个资具有多重目的,则全部目的均应取得同意,而非含含糊糊的一个「同意」。

所谓受有充分告知的同意,如个人资料处理系基于资料主体之同意者,处理个资者除应举证证明资料主体之同意,并应确保资料主体知悉同意之事实范围

GDPR尤其注重此同意是资料主体未受强迫、「自由给予」的同意。因此,若资料主体并非出于真意、或无从自由选择;无法于不损及其权益之情况下得随时撤销其同意;更重要的是,若另一方以将契约之履行与否、服务之提供与否,系于使用者超出契约履行目的的「同意」与否,则这样就会被推定为「不自由的同意」了。最后,「撤回同意」和「给予同意」的程序,应该一样容易(而非更加复杂)。

以上述的GDPR标准检验LINE此次的隐私权政策变更,可以说,它至少触及了GDPR下列几项要求:

使用者在不自由的情况下给予同意:因为使用者不同意,就无法继续使用LINE的服务。但LINE要求使用者同意的项目中,有关为了行销目的使用及分享个资,并不是LINE的服务所必需的。

使用者要撤回同意,远比给予同意困难:在网友压力之下,LINE也从善如流,立刻提供网友如何撤回上述同意的资讯。但试过的网友就知道,按下同意只要一个键,撤回同意却要分别到「设定」中一一把那些资料的选项捞出来、一一关掉。

LINE作法 违GDPR但台合法

不过,台湾网友不是欧盟网友,不是GDPR的保护对象。而就台湾的《个人资料保护法》而言,经「当事人同意」,是可以搜集、处理和利用个人资料的。台湾《个资法》的「同意」于第7条中规定指「当事人经搜集者告知本法所定应告知事项后,所为允许之意思表示。」但并没有像GDPR规定的那么详细:没有提到若另一方将服务提供与否、系于当事人「同意」与否时怎么办。更没有提到「撤回同意」和「给予同意」的程序,应该一样容易。

LINE在此情况之下,取得的「同意」符合台湾《个资法》的规定。因此,不妨说这次LINE的隐私更新事件,意外让我们发现,GDPR和台湾《个资法》之间的落差。

►►►随时加入观点与讨论,给云论粉丝团按个赞!

作者江雅绮,台北科技大学财所副教授行政院数位国家创新经济推动小组民间咨询委员会委员。以上言论代表本网立场,88论坛欢迎更多声音与讨论,来稿请寄editor88@ettoday.net