江雅绮/LINE隐私更新─台个资法规比欧盟松
▲这次LINE的隐私更新事件,意外让我们发现,欧盟GDPR和台湾《个资法》之间的落差。(图/翻摄自LINE官网)
LINE在全台已有1900万的使用者,在网路平台业者绝对是名列前茅。但令人惊讶的是,近日LINE更新隐私权政策,忽然要求使用者必须同意所有个资提供(包括要使用者同意LINE隐私权政策的变更、同意LINE为了行销目的使用及分享本人资讯、同意LINE分享优化服务资讯以协助服务优化),方能继续使用LINE的服务。
LINE要求 提供个资才能使用
之所以令人惊讶,是因为欧盟的《一般资料保护法规》(General Data Protection Regulation, GDPR)甫于5月底施行生效,台湾各相关主管机关,也为了协助台湾涉及欧盟市场的产业符合GDPR的规范,相当忙碌。但LINE这种要「使用者同意提供个资、否则不能使用服务」的方式,仔细检视恐怕已经违反了GDPR规定的原则。
GDPR的精神,就是把个人资料的掌控权还给使用者(资料主体),要求在搜集、处理个人资料时,必须取得资料主体的同意。而GDPR所谓的「同意」,并非使用者有勾选「同意」就算。它必需是在资料主体被充分明确的告知下,所为之具体、自由的同意。
因此,很多情况下的「同意」,并不合乎GDPR的规定。例如,GDPR第七条中就提到:如仅是单纯沉默、或预设选项为同意或不为表示等,这都不能算是GDPR下的「同意」。
欧盟规定 须不受迫且可撤回
所谓具体的同意,包含各种目的下的个资处理都要取得同意,倘如处理个资具有多重目的,则全部目的均应取得同意,而非含含糊糊的一个「同意」。
所谓受有充分告知的同意,如个人资料处理系基于资料主体之同意者,处理个资者除应举证证明资料主体之同意,并应确保资料主体知悉同意之事实及范围。
GDPR尤其注重此同意是资料主体未受强迫、「自由给予」的同意。因此,若资料主体并非出于真意、或无从自由选择;无法于不损及其权益之情况下得随时撤销其同意;更重要的是,若另一方以将契约之履行与否、服务之提供与否,系于使用者超出契约履行目的的「同意」与否,则这样就会被推定为「不自由的同意」了。最后,「撤回同意」和「给予同意」的程序,应该一样容易(而非更加复杂)。
以上述的GDPR标准来检验LINE此次的隐私权政策变更,可以说,它至少触及了GDPR下列几项要求:
使用者在不自由的情况下给予同意:因为使用者不同意,就无法继续使用LINE的服务。但LINE要求使用者同意的项目中,有关为了行销目的使用及分享个资,并不是LINE的服务所必需的。
使用者要撤回同意,远比给予同意困难:在网友的压力之下,LINE也从善如流,立刻提供网友如何撤回上述同意的资讯。但试过的网友就知道,按下同意只要一个键,撤回同意却要分别到「设定」中一一把那些资料的选项捞出来、一一关掉。
不过,台湾网友不是欧盟网友,不是GDPR的保护对象。而就台湾的《个人资料保护法》而言,经「当事人同意」,是可以搜集、处理和利用个人资料的。台湾《个资法》的「同意」于第7条中规定指「当事人经搜集者告知本法所定应告知事项后,所为允许之意思表示。」但并没有像GDPR规定的那么详细:没有提到若另一方将服务提供与否、系于当事人「同意」与否时怎么办。更没有提到「撤回同意」和「给予同意」的程序,应该一样容易。
LINE在此情况之下,取得的「同意」符合台湾《个资法》的规定。因此,不妨说这次LINE的隐私更新事件,意外让我们发现,GDPR和台湾《个资法》之间的落差。
●作者江雅绮,台北科技大学智财所副教授、行政院「数位国家创新经济推动小组」民间咨询委员会委员。以上言论不代表本网立场,88论坛欢迎更多声音与讨论,来稿请寄editor88@ettoday.net