新聞中的法律／經營粉絲頁…別踩個資法紅線

蔡朝安 主持律師／張馨云 副理／林勇麒 律師

經濟日報

今年6月5日，歐洲聯盟法院（CJEU）對於會員國提出有關個人資料保護指令 （下稱「歐盟個資保護指令」）在解釋上的疑慮，作出初步裁決。法院認為在FB經營粉絲頁的公司，同樣屬於個人資料的管控者（controller） ，應履行個資法下規定的義務與責任，且即便個資蒐集、處理的活動並非發生在該公司設立的會員國境內，該國的個資主管機關仍有權採取必要的措施，停止個資侵害的情形。

對經營FB粉絲專頁的企業而言，這是非常值得關注的議題。

2011年11月3日，德國什勒斯維希-霍爾斯坦邦「獨立資料保護中心」（下稱ULD）主張德國「什勒斯維希-霍爾斯坦經濟研究院」（下稱什邦經研院）所經營FB粉絲頁，在未告知訪客的情況下就使用Cookies技術蒐集訪客個資。

ULD以該個資活動違法為由，請什邦經研院關閉其FB粉絲頁。德國高等行政法院雖作出對什邦經研院有利的認定，然再次上訴後，德國聯邦行政法院對相關法條的解釋有疑慮，故暫時停止審理，請歐盟法院先作出裁決。

「共同個資管控者」如何認定？首先，依據歐盟個資保護指令，個資管控者包含獨自或與他人共同決定個資處理目的與手段的法人，但問題在於什邦經研院（FB粉絲頁經營者）是否也是個資「管控者」。

歐盟法院給了肯定的答案，理由在於，雖然實際上蒐集與處理個資的人是FB，但因FB不允許修改粉絲頁的使用條款，故法院認為什邦經研院設立粉絲頁的行為，就等於授權FB將Cookies設置在訪客的電腦蒐集其個資，無論該訪客是否擁有FB帳號。

又，什邦經研院能透過粉絲頁功能參數的設定，分析、過濾訪客的資料，例如性別、年齡、興趣、職業、感情狀態等，以鎖定目標族群，來管理及行銷粉絲頁或企業的活動。

因此，既然什邦經研院與FB是共同決定個資蒐集方式（Cookies）與目的（例如行銷）的人，也同樣是「管控者」，則其管控者的義務並不會因為他不是實際蒐集、處理個資之人而有異。

在今年5月25日，歐盟個人資料保護指令被新的歐盟「一般資料保護法規（GDPR）」取代，兩者規範密度相比較，GDPR實為有過之而無不及。以本案而言，首先，因GDPR並未修正個資保護指令對於管控者的定義，故對於有在經營FB粉絲頁的企業而言，在GDPR施行後，至少必須注意是否負有對於訪客的告知義務及是否切實履行該等義務。

各會員國對其境內的個資活動所享有的獨立監管權力，在歐盟法院的解釋以及GDPR的規範下，得到更深一層地強化。

可以想見，未來被認定是管控者的企業，可能難以透過移轉實際蒐集或處理個資的主體或地點，來減輕GDPR所課予的責任。正本清源之道，乃是正視GDPR及各會員國當地的法規，確實地踐行法遵工作，始能將觸法的風險降至最低。