吴祚丞/侧栏广告读心术!浏览器记使用者偏好是否侵个资?
▲数位行销广告最常使用的是cookie技术,无论是Google或Facebook都有,让每一则广告都能有效投放在对该产品有兴趣的客群。(图/CFP)
网路使用者都有相同的经验,在上网浏览网站时,网页上出现的小广告所推销的商品,正好就是自己有兴趣,甚至是正在考虑是否要购买的商品,起初还以为只是巧合,不以为意,尤其出现的广告恰好就是自己心仪已久却迟迟下不了手的商品正在进行限时促销,说不定还觉得有些幸运,索性就点了广告「抢到」好康。但因为类似情形一再发生,才发现其实不是巧合,也开始怀疑是否有一双无形的眼睛,正时时盯着自己。没错,这就是目前最盛行的一种数位行销手法─目标式广告(targeted advertising)。
为了让每一则广告都能有效投放在对该产品有兴趣的客群,以提升广告效益,并减少广告资金支出,同时避免因向非客群投放广告而困扰阅听者,反而造成对品牌的反感,广告主大多乐意利用数位行销广告宣传商品服务,借由撷取消费者「网路足迹」加以分析,再针对不同的客群的「需要」,投其所好发送广告。而对消费者(或网路使用者)而言,既然「被看广告」无可避免,看自己有兴趣的广告,或许不会那么无聊,但也不免担心自己的个资是否被不当使用。
用cookie分析使用者习惯和喜好,有利广告主投放相关连广告
数位行销广告最常使用的是cookie技术,此技术指在使用者利用浏览器浏览网页时,由网站伴随网页资料送入一小段文字档案(cookie)至使用者端电脑,并储存在该电脑记忆体或硬碟中,以方便该网站之后读取并识别该电脑。例如:当浏览购物网站时,网站的伺服器会向使用者电脑传送一段cookie,内容为纪录使用者将何商品放入购物车,并随使用者陆续选取商品而追加该cookie中的商品资讯,等到使用者点选结帐时,只要读取该段cookie,就能知道用户选购的全部商品为何。
又例如为了登入某网站而输入帐户名称及密码,若使用者勾选同意下次自动登入,该帐号及密码便会以cookie(通常会加密)储存在电脑,等到下次再登入该网站帐户时,只要cookie还没过期,浏览器便会将该段cookie传送给网站进行验证,自动完成登入。另外,有些浏览器会在cookie中纪录网路使用者造访过那些网站,曾在购物网站中浏览过哪些商品,倘若读取到这些cookie,便能分析其中资讯,知悉该使用者的习惯、喜好、兴趣等,便利广告主向目标对象投放相关连的广告。
史上最严格的个资保护法─GDPR
号称史上最严格的个资保护法即「欧盟一般资料保护规范」(简称GDPR)于今年5月25日正式上路,GDPR中针对cookie做出规范,规定若cookie可以识别到特定个人,就应被认定属于个人资料。依照我国《个人资料保护法》第2条第1项规定,个人资料指自然人的姓名、国民身分证统一编号、护照号码、病历、犯罪纪录等得以直接或间接方式识别该个人的资料。
一般而言,cookie中存放的是使用该电脑者的网页浏览纪录、网路购物纪录,或是登入帐号及密码(指并非直接以身分证号码或姓名等个资当作为帐号的情形)等资料,因为无法直接辨识特定个人,应不属于「直接识别个资」;再者,由于cookie的缺陷之一,就是只能对应到某一部电脑与其中某浏览器的组合,并无法定位到一个具体的人,因此,即使是撷取到cookie中的网页浏览历程,通常也无法因此间接识别到特定个人,但是,若取得该cookie资料的网站可以透过与其他资料对照、组合、连结,识别到特定个人,则该cookie资料则属于「间接识别个资」,使用cookie的行为便构成个资法所称搜集(撷取用户端的cookie)、处理(对cookie中的个人资料进行分析)及利用(例如:发送广告)个人资料行为,必须符合《个资法》规定。
我国对于认定「间接识别个资」尚无明确标准
目前我国司法实务对于认定是否属于「间接识别个资」尚无明确标准,通常是在个案中,综合各种情况与事证,从利用人本身(亦即搜集、处理及利用个资者)角度,判断利用人能否以合理、可能、容易的方法识别到特定个人,加以审认是否属于个资,且个案上法院见解也有歧异。
为了避免误踩《个资法》红线,有意利用cookie进行网路行销广告的广告主或浏览器公司,应当对于所搜集的cookie是否属于个资采取比较宽松的认定,并且掌握「告知」、「明确且经事前同意」、「得撤回同意」及「得要求删除」等原则,在其网站或浏览器的「个资保护政策」或「隐私权条款」中明订完备的cookie使用条款,用以规范内部人员采用cookie技术搜集、利用及处理个人资料的目的、方式、限制、保护义务,以及防制个资外泄的控制措施等;同时也要对网站外部使用者声明网站或浏览器处理隐私权及个资的作法,最重要的是要事先取得使用者的明确同意,同意前,应先让使用者明确知悉网站利用cookie所搜集到的资料,除用于「提供网站必要的功能」,以及「增进该使用者浏览的经验」外,也可能供作发送数位行销广告之用,以取得明确、有效的同意,确保使用cookie个资发送广告的合法性。
另一方面,电脑使用者了解cookie的运作原理技术后,应已知悉网站使用cookie,固然有助于增进网路浏览的功能及提升使用效能,但也同时存在个资外泄风险,在点选同意前,应先详细阅读该网站对于cookie的同意条款内容,包括其搜集、使用的目的为何、如何使用,以及能否将cookie提供予第三方运用等等,切莫图一时之快,便习惯性、毫不考虑的点选同意,以免让自己的个资外泄。
●吴祚丞,协合国际法律事务所顾问律师。以上言论不代表本网立场,《云论》欢迎更多声音与讨论,来稿请寄editor88@ettoday.net