#GDPR #個人資料 #網路行銷 #廣告

在購物網站上看鞋子,下一秒的其他瀏覽器就跟著出現鞋子的廣告?在購物網站上看到好看的衣服,冷靜三天後再重新打開購物網站,他竟然還記得我看過的商品,我明明沒有登入或放入購物車啊?
上述都是Cookie的功能,這是企業投放廣告最重要的利器,但他有那麼可怕嗎?需要注意哪些法律規定?


Cookie有兩種,一種是第一方Cookie,另外一種是第三方Cookie,這兩個差別為製作者。

第一方Cookie,是我們造訪網站所自己發行的Cookie,最常使用的項目就是自動記住帳號密碼,或是記住瀏覽過後的內容。這種Cookie只會存在那個網站中,限定於保存瀏覽紀錄、記住登入資訊等等,因此是很必要的Cookie,英國IPA特別將這種Cookie排除在管制之外,因為這對於使用者的隱私侵害程度非常低,並且也是網站經營很重要的工具。詳情請見下圖。

第一次造訪時,會將在該商家網站的瀏覽紀錄等紀錄成文字(Cookie)傳送至商家的網站。
第二次造訪時,該商家的網站會將上次的儲存的Cookie傳到個人的瀏覽器。

第三方Cookie,是由第三方所發佈的Cookie,也就是由廣告商或其他非網站經營者所發行的Cookie。搜集資料範圍是所有的閱覽過的網站,例如看過A購物網站、B新聞網站、C部落格等等,追蹤所有閱覽過的痕跡。這類的Cookie會跨網站搜集使用者所有閱覽的資訊,用來提供該使用者關注的廣告。

目前歐盟、日本等都要求使用第三方Cookie必須要得到明確同意,並且要提供可以拒絕的選項。

Cookie聽起來沒有很可怕嘛,為什麼要這麼害怕呢?

2019年日本發生Cookie被惡用的例子。

日本規模排名前兩大某一求職網站,每年幾乎都有70萬日本大學畢業生使用。登錄該網站的大學生向某企業求職後,該企業向該求職網站請求資料,請求資料內容並非該名大學生的畢業學校等資訊,而是請求求職網站提供他們畢業生到職率的分析,換言之希望求職網站告訴他們這名大學生會不會錄取後放棄(因為大部分的學生同時都會申請數間公司,這和我們學測申請大學的狀況很像),求職網站透過使用者的閱覽紀錄(求職網站保有之Cookie)等用大數據推算出這名大學生錄取後放棄或到職的機率。若是該企業發現到職率過低時就直接不予錄取。

因此日本針對這次事件之後進行修法,為什麼需要修法呢?

其實「到職率」的分析,並不是個人資料(例如身分證字號等等),而是求職網站經過閱覽紀錄所算得之分數。這個分數無法直接連結到個人,所以他是目前個資法規範的漏洞。因此日本針對此次事件後新增了一個子項目,為個人關聯資料,個人關聯資料是非屬於個人資料,但可以透過與其他個人資料結合後形成個人資料。提供個人關聯資料給第三方時(如在上面求職網站的範例,求職網站要提供給企業時)也需要個人的同意。

個人資料的保護,我國目前還停留在石器時代,但國際趨勢已經相當明顯會朝著保護個人的方式前進,因此從事涉外貿易時必須要清楚知道個人資料保護之相關外國法令,以避免徒遭訴訟風險。