從Google挨罰談個資保護

2019-03-17 經濟日報

在GDPR（歐盟「一般性個資保護規則」）甫施行，法國兩大民間團體NOYB以及LQDN即向法國個資監管機關CNIL針對Google違反GDPR的行為，提出申訴。經過半年多的調查，CNIL認定Google在對用戶進行個人化廣告行為時，就其所蒐集的個人資訊，未有公開處理的透明度、充足資訊以及有效的同意，故於今年1月對Google裁處了高達5,000萬歐元的罰鍰。

本案可說是GDPR施行後，具有指標性意義的鉅額裁罰，尤其在CNIL針對Google個資處理手法上的違反認定，更值得可能受到GDPR管轄的台灣企業借鏡及關注。

CNIL認定Google於本案違反GDPR規定的部分含個資處理缺乏透明度：Google蒐集個資以進行處理的目的、個資儲存的期間、哪些蒐集而來的個資將用於個人化廣告行為上等訊息，散見在不同的分頁文件及連結中，使用戶無法輕易且直覺性地獲得相關資訊。此外，部分個資處理資訊即便有提供，也不一定清晰詳盡，常會有使用戶無法全盤了解其個資處理行為的內容。

非有效同意：CNIL 認為Google自用戶處所取得的個資蒐集、處理及利用的同意，恐非有效的同意。主要理由有二：其一，CNIL發現Google用戶在同意前，並未接受到完整且充足的告知。其二，CNIL並發現Google自用戶處所蒐集而來的同意，並不具體明確。

台灣企業該如何避免重蹈「強迫同意」的覆轍？GDPR有關「同意」的合法性要件認定係規定在第7條中，要求個資當事人必須就其個人資料處理，在受充分告知下，進行具體肯定、自由明確及非屬模糊的指示，始為合法的同意。若單一次同意有涵蓋到不同目的的個資處理行為，必須確認個資當事人就該等同意均有上述合法的同意。

實務上於此較容易產生問題的是「視為同意」、「強迫同意」的情形。由於GDPR前言已明載，就單純沉默、預設選項為同意或不為表示的情況，皆不應構成GDPR規定中所稱的同意，所以如在相關個資告知文件中使用「您如使用本公司所提供之服務（例如：創建帳戶），即視為您已同意本公司的使用者條款及個資處理利用之隱私權政策」等用語條款，即有違背GDPR的意旨。

此外，為取得個資當事人就個資處理利用的同意，不少業者會在網頁上使用彈出式視窗，並加上聲明同意的勾選方框欄位，以作為個資當事人已為同意的證明；然而，從上開Google案例中可知，若是在App程式、網頁等使用者界面設計上，要求使用者須勾選相關同意選項後，始得進行下一個動作或流程的話，即有落入GDPR所禁止的「強迫同意」情形的風險。 最後須注意的是，在個資保護法的要求下，「同意」其實僅係合法處理個資的要件之一，如果有可能以其他法定要件作為合法處理個資的基礎，而又在取得個資當事人同意真摯性上有所疑慮的話，則不妨考慮逕行使用其他合法法定要件的可能性為宜。

（作者是普華商務法律事務所主持律師蔡朝安）