2018年7月15日 星期日

Line隱私更新 你發現GDPR和台灣個資法的落差了嗎

江雅綺(作者為台北科技大學智財所副教授、永社社員)

上報/評論 2018.07.14
http://www.upmedia.mg/news_info.php?SerialNo=44512

 LINE在全台已有 1900 萬的使用者,在網路平台業者絕對是名列前茅。但令人驚訝的是,近日LINE更新隱私權政策,忽然要求使用者必須同意所有個資提供(包括要使用者同意LINE隱私權政策的變更、同意LINE為了行銷目的使用及分享本人資訊、同意LINE分享優化服務資訊以協助服務優化),方能繼續使用LINE的服務。

之所以令人驚訝,是因為歐盟的《一般資料保護法規》(General Data Protection Regulation, GDPR)甫於5月底施行生效,台灣各相關主管機關,也為了協助台灣涉及歐盟市場的產業符合GDPR的規範,相當忙碌。但LINE這種要「使用者同意提供個資、否則不能使用服務」的方式,仔細檢視恐怕已經違反了GDPR規定的原則。

GDPR的精神,就是把個人資料的掌控權還給使用者(資料主體),要求在蒐集、處理個人資料時,必須取得資料主體的同意。而GDPR所謂的「同意」,並非使用者有勾選「同意」就算。它必需是在資料主體被充分明確的告知下,所為之具體、自由的同意。

因此,很多情況下的「同意」,並不合乎GDPR的規定。例如,GDPR第七條中就提到:如僅是單純沉默、或預設選項為同意或不為表示等,這都不能算是GDPR下的「同意」。

所謂具體的同意,包含各種目的下的個資處理都要取得同意,倘如處理個資具有多重目的,則全部目的均應取得同意,而非含含糊糊的一個「同意」。

所謂受有充分告知的同意,如個人資料處理係基於資料主體之同意者,處理個資者除應舉證證明資料主體之同意,並應確保資料主體知悉同意之事實及範圍。

GDPR尤其注重此同意是資料主體未受強迫、「自由給予」的同意。因此,若資料主體並非出於真意、或無從自由選擇;無法於不損及其權益之情況下得隨時撤銷其同意;更重要的是,若另一方以將契約之履行與否、服務之提供與否,繫於使用者超出契約履行目的的「同意」與否,則這樣就會被推定為「不自由的同意」了。最後,「撤回同意」和「給予同意」的程序,應該一樣容易(而非更加複雜)

以上述的GDPR標準來檢驗LINE此次的隱私權政策變更,可以說,它至少觸及了GDPR下列幾項要求:

使用者在不自由的情況下給予同意:因為使用者不同意,就無法繼續使用LINE的服務。但LINE要求使用者同意的項目中,有關為了行銷目的使用及分享個資,並不是LINE的服務所必需的。 
使用者要撤回同意,遠比給予同意困難:在網友的壓力之下,LINE也從善如流,立刻提供網友如何撤回上述同意的資訊。但試過的網友就知道,按下同意只要一個鍵,撤回同意卻要分別到「設定」中一一把那些資料的選項撈出來、一一關掉。

不過,台灣網友不是歐盟網友,不是GDPR的保護對象。而就台灣的《個人資料保護法》而言,經「當事人同意」,是可以蒐集、處理和利用個人資料的。台灣個資法的「同意」,於《個資法》第7條中規定指「當事人經蒐集者告知本法所定應告知事項後,所為允許之意思表示。」但並沒有像GDPR規定的那麼詳細:沒有提到若另一方將服務提供與否、繫於當事人「同意」與否時怎麼辦。更沒有提到「撤回同意」和「給予同意」的程序,應該一樣容易。

LINE在此情況之下,取得的「同意」符合台灣《個資法》的規定。因此,不妨說這次LINE的隱私更新事件,意外讓我們發現,GDPR 和台灣個資法之間的落差。