吳祚丞/側欄廣告讀心術!瀏覽器記使用者偏好是否侵個資?
▲數位行銷廣告最常使用的是cookie技術,無論是Google或Facebook都有,讓每一則廣告都能有效投放在對該產品有興趣的客羣。(圖/CFP)
網路使用者都有相同的經驗,在上網瀏覽網站時,網頁上出現的小廣告所推銷的商品,正好就是自己有興趣,甚至是正在考慮是否要購買的商品,起初還以爲只是巧合,不以爲意,尤其出現的廣告恰好就是自己心儀已久卻遲遲下不了手的商品正在進行限時促銷,說不定還覺得有些幸運,索性就點了廣告「搶到」好康。但因爲類似情形一再發生,才發現其實不是巧合,也開始懷疑是否有一雙無形的眼睛,正時時盯着自己。沒錯,這就是目前最盛行的一種數位行銷手法─目標式廣告(targeted advertising)。
爲了讓每一則廣告都能有效投放在對該產品有興趣的客羣,以提升廣告效益,並減少廣告資金支出,同時避免因向非客羣投放廣告而困擾閱聽者,反而造成對品牌的反感,廣告主大多樂意利用數位行銷廣告宣傳商品服務,藉由擷取消費者「網路足跡」加以分析,再針對不同的客羣的「需要」,投其所好發送廣告。而對消費者(或網路使用者)而言,既然「被看廣告」無可避免,看自己有興趣的廣告,或許不會那麼無聊,但也不免擔心自己的個資是否被不當使用。
用cookie分析使用者習慣和喜好,有利廣告主投放相關連廣告
數位行銷廣告最常使用的是cookie技術,此技術指在使用者利用瀏覽器瀏覽網頁時,由網站伴隨網頁資料送入一小段文字檔案(cookie)至使用者端電腦,並儲存在該電腦記憶體或硬碟中,以方便該網站之後讀取並識別該電腦。例如:當瀏覽購物網站時,網站的伺服器會向使用者電腦傳送一段cookie,內容爲紀錄使用者將何商品放入購物車,並隨使用者陸續選取商品而追加該cookie中的商品資訊,等到使用者點選結帳時,只要讀取該段cookie,就能知道用戶選購的全部商品爲何。
又例如爲了登入某網站而輸入帳戶名稱及密碼,若使用者勾選同意下次自動登入,該帳號及密碼便會以cookie(通常會加密)儲存在電腦,等到下次再登入該網站帳戶時,只要cookie還沒過期,瀏覽器便會將該段cookie傳送給網站進行驗證,自動完成登入。另外,有些瀏覽器會在cookie中紀錄網路使用者造訪過那些網站,曾在購物網站中瀏覽過哪些商品,倘若讀取到這些cookie,便能分析其中資訊,知悉該使用者的習慣、喜好、興趣等,便利廣告主向目標對象投放相關連的廣告。
史上最嚴格的個資保護法─GDPR
號稱史上最嚴格的個資保護法即「歐盟一般資料保護規範」(簡稱GDPR)於今年5月25日正式上路,GDPR中針對cookie做出規範,規定若cookie可以識別到特定個人,就應被認定屬於個人資料。依照我國《個人資料保護法》第2條第1項規定,個人資料指自然人的姓名、國民身分證統一編號、護照號碼、病歷、犯罪紀錄等得以直接或間接方式識別該個人的資料。
一般而言,cookie中存放的是使用該電腦者的網頁瀏覽紀錄、網路購物紀錄,或是登入帳號及密碼(指並非直接以身分證號碼或姓名等個資當作爲帳號的情形)等資料,因爲無法直接辨識特定個人,應不屬於「直接識別個資」;再者,由於cookie的缺陷之一,就是隻能對應到某一部電腦與其中某瀏覽器的組合,並無法定位到一個具體的人,因此,即使是擷取到cookie中的網頁瀏覽歷程,通常也無法因此間接識別到特定個人,但是,若取得該cookie資料的網站可以透過與其他資料對照、組合、連結,識別到特定個人,則該cookie資料則屬於「間接識別個資」,使用cookie的行爲便構成個資法所稱蒐集(擷取用戶端的cookie)、處理(對cookie中的個人資料進行分析)及利用(例如:發送廣告)個人資料行爲,必須符合《個資法》規定。
我國對於認定「間接識別個資」尚無明確標準
目前我國司法實務對於認定是否屬於「間接識別個資」尚無明確標準,通常是在個案中,綜合各種情況與事證,從利用人本身(亦即蒐集、處理及利用個資者)角度,判斷利用人能否以合理、可能、容易的方法識別到特定個人,加以審認是否屬於個資,且個案上法院見解也有歧異。
爲了避免誤踩《個資法》紅線,有意利用cookie進行網路行銷廣告的廣告主或瀏覽器公司,應當對於所蒐集的cookie是否屬於個資採取比較寬鬆的認定,並且掌握「告知」、「明確且經事前同意」、「得撤回同意」及「得要求刪除」等原則,在其網站或瀏覽器的「個資保護政策」或「隱私權條款」中明訂完備的cookie使用條款,用以規範內部人員採用cookie技術蒐集、利用及處理個人資料的目的、方式、限制、保護義務,以及防制個資外泄的控制措施等;同時也要對網站外部使用者聲明網站或瀏覽器處理隱私權及個資的作法,最重要的是要事先取得使用者的明確同意,同意前,應先讓使用者明確知悉網站利用cookie所蒐集到的資料,除用於「提供網站必要的功能」,以及「增進該使用者瀏覽的經驗」外,也可能供作發送數位行銷廣告之用,以取得明確、有效的同意,確保使用cookie個資發送廣告的合法性。
另一方面,電腦使用者瞭解cookie的運作原理技術後,應已知悉網站使用cookie,固然有助於增進網路瀏覽的功能及提升使用效能,但也同時存在個資外泄風險,在點選同意前,應先詳細閱讀該網站對於cookie的同意條款內容,包括其蒐集、使用的目的爲何、如何使用,以及能否將cookie提供予第三方運用等等,切莫圖一時之快,便習慣性、毫不考慮的點選同意,以免讓自己的個資外泄。
●吳祚丞,協合國際法律事務所顧問律師。以上言論不代表本網立場,《雲論》歡迎更多聲音與討論,來稿請寄editor88@ettoday.net