給網站主的 GDPR 因應建議

給網站主的 GDPR 因應建議

面對預計於 2018 年 5 月 25 日正式生效的 GDPR ( General Data Protection Regulation,一般資料保護法規),網站主該做哪些因應措施呢?以下讓我們先瞭解一下 GDPR 法規中的三種不同角色,並進一步說明目前建議網站主應該如何取得網站訪客的同意。

若您對 GDPR 的影響還不是很清楚,請先參閱以下兩個參考連結:
[1] https://www.microsoft.com/taiwan/security/gdpr/
[2] https://www.ithome.com.tw/tags/gdpr

深入了解 GDPR 的三個角色

歐盟新的資料保護法 GDPR 對於數位廣告生態圈會有什麼影響呢?首先,讓我們先瞭解一下 GDPR 法規中的三種不同的角色。

如下圖 1 所示,在 GDPR 的法規中,主要分成三個不同的角色:Data Subject 、Data Controller 與 Data Processor。對應到數位廣告生態圈,Data Subject 等於網站的訪客 (Audience),Data Controller 等於網站主 (Publisher),而像 TenMax 這類廣告平台 (AdTech) 則歸為 Data Processor。

3 Roles in GDPR

圖 1 : GDPR 法規中的三種不同角色與在數位廣告生態圈的對應

 

GDPR 的立法精神

如下圖 2 整理,我們可以類比台灣的「個人資料保護法(簡稱個資法)」,這些新法規的立法精神並不在於限制企業蒐集個人隱私資料,而是要求企業應該善盡告知、管理、保護、報告的責任。


圖 2
: 從權利義務的不同視角來解釋 GDPR 的立法精神

給網站主的建議行動方案

行動方案一:新增徵求訪客同意的彈出視窗

GDPR 之所以造成許多討論,是因為將數位廣告生態圈會使用到的資料,如 Cookie、IP、裝置識別碼(包括 Android 的 Google 廣告ID (AAID) 、 iOS 裝置的廣告識別碼 (IDFA) 、Device Fingerprint 都算)、地理位置 ( GPS 座標,或用 IP 反推得知的地理區域 ) 等都被歸為歐盟公民的個人隱私資料。因此,為了滿足 GDPR 的規範,網站主必須告知並徵求網站訪客的同意。

如下圖 3 所示,網站主必須使用 Cookie Banner 、 Cookie Bar 或彈出視窗來徵求網站訪客的同意。依照 GDPR 的規範,徵求同意的內容必須包含以下幾項:

  • (1) 網站主名稱 將與哪些 廣告平台名稱 共享資料
  • (2) 蒐集資料的目的
  • (3) 資料保存的期限
  • (4) 諮詢窗口隱私權政策連結
  • (5) 不同意 或 (6) 同意

 


圖 3
: 建議網站主徵求訪客同意的視窗內容
圖片來源:
GDPR & ePrivacy: The Effect on AdTech & MarTech From a Technical Perspective

雖然網站主目前暫時可援引在 GDPR 第 47 條釋義 (Recital 47) 中提到為了「直接行銷目的 (direct-marketing purposes)」,可構成正當理由 ( Legitimate Interests , 合法利益 )。線上廣告視為「基於正當理由,在不徵求使用者同意的狀況下,蒐集並處理個資 (Ex. cookie,IP)」。但是須注意根據用戶行為的「再行銷 (Retargeting)」並不適用此釋義
 
此外,目前歐盟還有另一個 ePrivacy 法案正在制定中,會比 GDPR 更加嚴格。ePrivacy 法令草案裡第 20 條釋義 (Recital 20) 中強制一定要徵求使用者同意,舉凡 cookie, IP 位址, GPS 座標,甚至 device fingerprint 等不正當追蹤使用者行為的技術,都被視為嚴重侵犯使用者隱私權。因此,建議網站主最好先遵守 GDPR 要求加入徵求同意的動作。
 
行動方案二:更新「隱私權政策」連結內容
 
配合行動方案一,請貴網站更新「隱私權政策」的內容,並將連結一併公布於徵求訪客同意的彈出視窗中。由於貴網站可能埋了許多不同廣告平台的廣告代碼 (Ad Tag),也可能有埋網頁分析的追蹤碼 (例如 Google Analytics)、做再行銷使用的追蹤像素 (Tracking Pixel),因此在此建議您將這些資訊與隱私權政策 (Privacy Policy) 的說明放在一起,其中條列一則是關於 TenMax 廣告的隱私權政策連結。範例格式如下:
合作廣告平台:

* TenMax 廣告 
   - 隱私權政策詳見 https://www.tenmax.io/privacy-policy
   - 資料保存六個月
其次,依照 GDPR 第 59 條釋義,在貴網站的隱私權政策中,請包含以下七種權利的相關說明,並提供窗口(也就是 GDPR 要求設置的「資料保護長 (Data Protection Officer)」,讓訪客明白有權要求在一個月內行使以下權益:
    •   被告知的權益 – The right to be informed
    •   諮詢的權利 – The right to be informed (現行個資法已包含)
    •   修正的權利 – The right to rectification
    •   刪除的權利 (被遺忘權) – The right to erasure = right to be forgotten
    •   限制資料處理的權利 – The right to restrict processing
    •   調閱的權利 – The right to data portability ( 以結構化、通用、可供機器讀取的格式 )
    •   反對的權利 – The right to object