icon-cookie
The website uses cookies to optimize your user experience. Using this website grants us the permission to collect certain information essential to the provision of our services to you, but you may change the cookie settings within your browser any time you wish. Learn more
I agree
blank_error__heading
blank_error__body
Text direction?

歐盟個資法GDPR來了!網站主該如何因應? - The News Lens 關鍵評論網

我們想讓你知道的是

這幾天,因應歐盟GDPR的規範,許多國外網站都向用戶寄出了確認信,就怕遭到鉅額的罰款,面對這波個資保護的風雨,台灣的網站主應該如何因應呢?

唸給你聽
powered by Cyberon

文:TenMaxADTechLab

面對預計於2018年5月25日正式生效的GDPR(General Data Protection Regulation,一般資料保護法規),網站主該做哪些因應措施呢?以下讓我們先瞭解一下GDPR法規中的三種不同角色,並進一步說明目前建議網站主應該如何取得網站訪客的同意。

若您對GDPR的影響還不是很清楚,請先參閱以下兩個參考連結:
[1] https://www.microsoft.com/taiwan/security/gdpr/
[2] https://www.ithome.com.tw/tags/gdpr

深入了解GDPR的三個角色

歐盟新的資料保護法GDPR對於數位廣告生態圈會有什麼影響呢?首先,讓我們先瞭解一下GDPR法規中的三種不同的角色。

如下圖所示,在GDPR的法規中,主要分成三個不同的角色:Data Subject、Data Controller與Data Processor。對應到數位廣告生態圈,Data Subject等於網站的訪客(Audience),Data Controller等於網站主(Publisher),而像TenMax這類廣告平台(AdTech)則歸為Data Processor。

GDRP_Roles_800
PhotoCredit:TenMax
GDPR法規中的三種不同角色與在數位廣告生態圈的對應
GDPR的立法精神

如下圖整理,我們可以類比台灣的「《個人資料保護法》(簡稱個資法)」,這些新法規的立法精神並不在於限制企業蒐集個人隱私資料,而是要求企業應該善盡告知、管理、保護、報告的責任。

GDPR_Intro_800px
PhotoCredit:TenMax
給網站主的建議行動方案

行動方案一:新增徵求訪客同意的彈出視窗

GDPR之所以造成許多討論,是因為將數位廣告生態圈會使用到的資料,如Cookie、IP、裝置識別碼(包括Android的Google廣告ID 〔AAID〕、iOS裝置的廣告識別碼〔 IDFA〕、Device Fingerprint都算)、地理位置(GPS座標,或用IP反推得知的地理區域)等都被歸為歐盟公民的個人隱私資料。因此,為了滿足GDPR的規範,網站主必須告知並徵求網站訪客的同意。

如下圖所示,網站主必須使用Cookie Banner、Cookie Bar或彈出視窗來徵求網站訪客的同意。依照GDPR的規範,徵求同意的內容必須包含以下幾項:

  • (1)網站主名稱將與哪些廣告平台名稱共享資料
  • (2)蒐集資料的目的
  • (3)資料保存的期限
  • (4) 諮詢窗口隱私權政策連結
  • (5)不同意,或(6)同意
GDPR_Ask_Permission
PhotoCredit:TenMax
建議網站主徵求訪客同意的視窗內容 圖片來源:

雖然網站主目前暫時可援引在GDPR第47條釋義(Recital 47)中提到為了「直接行銷目的(direct-marketing purposes)」,可構成正當理由(Legitimate Interests,合法利益)。將線上廣告視為「基於正當理由,在不徵求使用者同意的狀況下,蒐集並處理個資(例如cookie、IP)」。但是須注意根據用戶行為的「再行銷(Retargeting)」並不適用此釋義。

此外,目前歐盟還有另一個ePrivacy法案正在制定中,會比GDPR更加嚴格。ePrivacy法令草案裡第20條釋義(Recital20)中強制一定要徵求使用者同意,舉凡cookie、IP位址、GPS座標,甚至device fingerprint等不正當追蹤使用者行為的技術,都被視為嚴重侵犯使用者隱私權。因此,建議網站主最好先遵守GDPR要求加入徵求同意的動作。

行動方案二:更新「隱私權政策」連結內容

配合行動方案一,請貴網站更新「隱私權政策」的內容,並將連結一併公布於徵求訪客同意的彈出視窗中。由於貴網站可能埋了許多不同廣告平台的廣告代碼(Ad Tag),也可能有埋網頁分析的追蹤碼(例如Google Analytics)、做再行銷使用的追蹤像素(Tracking Pixel),因此在此建議您將這些資訊與隱私權政策(Privacy Policy)的說明放在一起,其中條列一則是關於TenMax廣告的隱私權政策連結。範例格式如下:

合作廣告平台: *TenMax廣告 -隱私權政策詳見https://www.tenmax.io/privacy-policy -資料保存六個月

其次,依照GDPR第59條釋義,在貴網站的隱私權政策中,請包含以下七種權利的相關說明,並提供窗口(也就是GDPR要求設置的「資料保護長(Data Protection Officer)」,讓訪客明白有權要求在一個月內行使以下權益:

  • 被告知的權益–The right to be informed
  • 諮詢的權利–The right of acess(現行個資法已包含)
  • 修正的權利–The right to rectification
  • 刪除的權利(被遺忘權)–The right to erasure = right to be forgotten
  • 限制資料處理的權利–The right to restrict processing
  • 調閱的權利–The right to data portability(以結構化、通用、可供機器讀取的格式)
  • 反對的權利–The right to object
延伸閱讀

本文經TenMaxADTechLab授權刊登,原文發表於此

責任編輯:丁肇九
核稿編輯:翁世航

Measure
Measure
Related Notes
Get a free MyMarkup account to save this article and view it later on any device.
Create account

End User License Agreement

Summary | 5 Annotations
2018年5月25日正式生效的GDPR(General Data Protection Regulation,一般資料保護法規)
2018/05/28 03:34
在GDPR的法規中,主要分成三個不同的角色:Data Subject、Data Controller與Data Processor
2018/05/28 03:34
GDPR之所以造成許多討論,是因為將數位廣告生態圈會使用到的資料,如Cookie、IP、裝置識別碼(包括Android的Google廣告ID 〔AAID〕、iOS裝置的廣告識別碼〔 IDFA〕、Device Fingerprint都算)、地理位置(GPS座標,或用IP反推得知的地理區域)等都被歸為歐盟公民的個人隱私資料。因此,為了滿足GDPR的規範,網站主必須告知並徵求網站訪客的同意
2018/05/28 03:46
訪客明白有權要求在一個月內行使以下權益:
2018/05/28 03:48
刪除的權利(被遺忘權)
2018/05/28 03:48