大數據行銷的紅線 – 淺談利用Cookie從事目標式廣告的相關法令
2017-10-03
本次的法律時事漫談,我們謹就「Cookie是什麼?」、「使用Cookie從事目標式廣告應該注意哪些法律規範?」、「網路使用者如何避免個資透過Cookie外洩?」等問題,做一些初步的介紹。
蔡朝安主持律師 / 鄧萍玟協理/ 趙若傑律師
據報載,知名社群網站為了從事目標式廣告(targeted advertising),透過cookie(中文名稱為:「小型文字檔案」)在用戶瀏覽網頁時蒐集其在網頁瀏覽活動的資料,並以系爭資料為基礎,分析該使用者的個人喜好以進行廣告推送。因為此行為已涉嫌違反當地個人資料保護法,該社群網站可能遭受包含法國、西班牙等歐盟國家高額的罰款。本次的法律時事漫談,我們謹就「Cookie是什麼?」、「使用Cookie從事目標式廣告應該注意哪些法律規範?」、「網路使用者如何避免個資透過Cookie外洩?」等問題,做一些初步的介紹。
「Cookie」是什麼?
Cookie是網景公司的前雇員盧·蒙特利在1993年3月的發明的網業工具,它隨網頁資料載入用戶端電腦,於使用者瀏覽網頁時,可紀錄使用者瀏覽過程的一個小檔案(一般是4KB),方便使用者下次瀏覽網頁時,可從用戶端電腦的Cookie的紀錄載入,並隨同網頁資料回傳到伺服端,無需使用者重複輸入資料。原則上,Cookie僅是協助使用者記憶資料,提供便利性,但隨著網站的設計,網站服務提供者能夠蒐集使用者瀏覽網頁、在特定網頁停留的時間、使用者的年紀、婚姻狀況,甚至政治及宗教傾向等資料,進而可分析出特定使用者的習慣及愛好。網站服務提供者通常會依據使用的熱度,銷售網頁或網頁特定位置,供其他業者刊登廣告或者將行銷資料放入網站的網頁以直接蒐集Cookie的內容,發現潛在的客戶,並針對使用者習慣或愛好發出廣告,使得行銷效益最大化,此即目標式廣告(targeted advertising)。因此,網站服務提供者的Cookie,涉及了用戶端資料的蒐集、處理以及利用。
使用Cookie從事目標式廣告應該注意的法律規範
我國「個人資料保護法」(以下稱「個資法」)規定凡得以直接或間接方式識別特定自然人的資料皆為個資,以及除非有經當事人同意等事由,處理與利用個人資料,應該在蒐集的特定目的必要範圍內。另外,當事人得要求網站服務提供者更正、刪除或停止利用其個人資料。網站服務提供者使用Cookie側寫取得網站的用戶資訊,是可以識別特定某一自然人時,即屬個資法的「蒐集」行為;網站服務提供者經過資料分析後,對用戶進行目標式廣告發送,其資料分析過程,即是個資法的「處理」行為,而廣告發送,就是個資法的「利用」行為。
因此,網站服務提供者將Cookie的內容傳回伺服器,如可識別特定某一自然人時,既屬於個資法的「蒐集」行為,應告知個資當事人蒐集之目的並取得同意。實務上,越來越多的網站服務提供者都會在使用者第一次瀏覽該網站時,以跳出訊息或其他特定的方式,告知並徵詢使用者同意,而且網頁上提供個資保護政策或隱私權條款,以及cookie或類似工具的使用之政策,供使用者閱讀。
舉例說明,如果某個網站在個資當事人瀏覽網頁時告知:「本網站為了提供必要的功能及增進您瀏覽的經驗有使用Cookie,如果您使用本網站即代表您同意本網站使用Cookie。」,當該使用人繼續使用該網站,除非網站服務提供者另外徵得該當事人的同意,否則網站服務提供者只能把用Cookie蒐集到的資料用於「提供必要的功能」或「增進該使用者瀏覽的經驗」。故,網站服務提供者對當事人為目標式廣告行銷時,原則上應合乎社會通念下當事人對隱私權合理期待,亦即「廣告行銷行為內容」與其告知之利用目的「提供必要的功能」、「增進該使用者瀏覽的經驗」間,應有正當合理關聯,不然則有違法之虞。如果網站服務提供者違反此規定,甚至將蒐集到的個資轉賣牟利,該網站服務提供者即很可能違反了個資法及相關法令的規定,而應負擔刑事、民事及行政責任。
此外,其他業者向網站服務提供者購買個資,或直接在網頁植入程式,讀取cookies內容,如涉及個資,因與資當事人並沒有契約或類似契約的關係,於處理或利用個資前也沒有告知與取得個資當事人的同意,其行為也可能涉及違反個資法與相關法令的規範。
網路使用者如何避免個資透過Cookie外洩?
從網路使用者的角度,若瀏覽的網站是有使用Cookie功能,建議詳細閱讀cookie或其他類似工具的使用政策後,再決定是否繼續瀏覽該網站或關閉Cookie,避免個資外洩。另外,也應注意該網站是否通過國際標準之驗證,例如ISO27001、BS10012或者我國經濟部推廣的TPIPAS個資保護制度等,降低個資的外洩的疑慮。
此外,如發現網站服務提供者未經告知而蒐集個資,或不再繼續使用某網站時,可以依照個資法相關規定,要求持網站服務提供者更正、刪除或停止利用其個資。
