歐盟個資法GDPR來了!網站主該如何因應?

歐盟個資法GDPR來了!網站主該如何因應?
Photo Credit: Reuters/達志影像
我們想讓你知道的是

這幾天,因應歐盟GDPR的規範,許多國外網站都向用戶寄出了確認信,就怕遭到鉅額的罰款,面對這波個資保護的風雨,台灣的網站主應該如何因應呢?

唸給你聽
powered by Cyberon

文:TenMaxADTechLab

面對預計於2018年5月25日正式生效的GDPR(General Data Protection Regulation,一般資料保護法規),網站主該做哪些因應措施呢?以下讓我們先瞭解一下GDPR法規中的三種不同角色,並進一步說明目前建議網站主應該如何取得網站訪客的同意。

若您對GDPR的影響還不是很清楚,請先參閱以下兩個參考連結:
[1] https://www.microsoft.com/taiwan/security/gdpr/
[2] https://www.ithome.com.tw/tags/gdpr

深入了解GDPR的三個角色

歐盟新的資料保護法GDPR對於數位廣告生態圈會有什麼影響呢?首先,讓我們先瞭解一下GDPR法規中的三種不同的角色。

如下圖所示,在GDPR的法規中,主要分成三個不同的角色:Data Subject、Data Controller與Data Processor。對應到數位廣告生態圈,Data Subject等於網站的訪客(Audience),Data Controller等於網站主(Publisher),而像TenMax這類廣告平台(AdTech)則歸為Data Processor。

GDRP_Roles_800
PhotoCredit:TenMax
GDPR法規中的三種不同角色與在數位廣告生態圈的對應
GDPR的立法精神

如下圖整理,我們可以類比台灣的「《個人資料保護法》(簡稱個資法)」,這些新法規的立法精神並不在於限制企業蒐集個人隱私資料,而是要求企業應該善盡告知、管理、保護、報告的責任。

GDPR_Intro_800px
PhotoCredit:TenMax
給網站主的建議行動方案

行動方案一:新增徵求訪客同意的彈出視窗

GDPR之所以造成許多討論,是因為將數位廣告生態圈會使用到的資料,如Cookie、IP、裝置識別碼(包括Android的Google廣告ID 〔AAID〕、iOS裝置的廣告識別碼〔 IDFA〕、Device Fingerprint都算)、地理位置(GPS座標,或用IP反推得知的地理區域)等都被歸為歐盟公民的個人隱私資料。因此,為了滿足GDPR的規範,網站主必須告知並徵求網站訪客的同意。

如下圖所示,網站主必須使用Cookie Banner、Cookie Bar或彈出視窗來徵求網站訪客的同意。依照GDPR的規範,徵求同意的內容必須包含以下幾項:

  • (1)網站主名稱將與哪些廣告平台名稱共享資料
  • (2)蒐集資料的目的
  • (3)資料保存的期限
  • (4) 諮詢窗口隱私權政策連結
  • (5)不同意,或(6)同意
GDPR_Ask_Permission
PhotoCredit:TenMax
建議網站主徵求訪客同意的視窗內容 圖片來源:

雖然網站主目前暫時可援引在GDPR第47條釋義(Recital 47)中提到為了「直接行銷目的(direct-marketing purposes)」,可構成正當理由(Legitimate Interests,合法利益)。將線上廣告視為「基於正當理由,在不徵求使用者同意的狀況下,蒐集並處理個資(例如cookie、IP)」。但是須注意根據用戶行為的「再行銷(Retargeting)」並不適用此釋義。

此外,目前歐盟還有另一個ePrivacy法案正在制定中,會比GDPR更加嚴格。ePrivacy法令草案裡第20條釋義(Recital20)中強制一定要徵求使用者同意,舉凡cookie、IP位址、GPS座標,甚至device fingerprint等不正當追蹤使用者行為的技術,都被視為嚴重侵犯使用者隱私權。因此,建議網站主最好先遵守GDPR要求加入徵求同意的動作。

行動方案二:更新「隱私權政策」連結內容

配合行動方案一,請貴網站更新「隱私權政策」的內容,並將連結一併公布於徵求訪客同意的彈出視窗中。由於貴網站可能埋了許多不同廣告平台的廣告代碼(Ad Tag),也可能有埋網頁分析的追蹤碼(例如Google Analytics)、做再行銷使用的追蹤像素(Tracking Pixel),因此在此建議您將這些資訊與隱私權政策(Privacy Policy)的說明放在一起,其中條列一則是關於TenMax廣告的隱私權政策連結。範例格式如下:

合作廣告平台: *TenMax廣告 -隱私權政策詳見https://www.tenmax.io/privacy-policy -資料保存六個月

其次,依照GDPR第59條釋義,在貴網站的隱私權政策中,請包含以下七種權利的相關說明,並提供窗口(也就是GDPR要求設置的「資料保護長(Data Protection Officer)」,讓訪客明白有權要求在一個月內行使以下權益:

  • 被告知的權益–The right to be informed
  • 諮詢的權利–The right of acess(現行個資法已包含)
  • 修正的權利–The right to rectification
  • 刪除的權利(被遺忘權)–The right to erasure = right to be forgotten
  • 限制資料處理的權利–The right to restrict processing
  • 調閱的權利–The right to data portability(以結構化、通用、可供機器讀取的格式)
  • 反對的權利–The right to object
延伸閱讀

本文經TenMaxADTechLab授權刊登,原文發表於此

責任編輯:丁肇九
核稿編輯:翁世航

或許你會想看
更多『評論』文章 更多『layout.economy』文章 更多『TenMax ADTech Lab』文章
Loader