GDPR cookie
是否同意網站使用cookie追蹤?遵守歐盟GDPR cookie政策|天矽科技網頁設計
網站中的Cookie視窗
在瀏覽多數網站時,我們常看到自動跳出的一個「要求同意網站放置cookie」的視窗,這是什麼?為什麼要放這個?
▲ 攝陽企業|是否同意使用cookie
網站中的cookie同意視窗,是根據歐盟法律規定的個資法GDPR所設定的,要求網站若是有使用cookie來進行追蹤、收集或處理使用者在網站中的所有資料與數據時,就必須得到使用者同意才可以繼續追蹤使用。
比如 Google說明中心的「歐盟國家/地區的Cookie通知」,其中就寫到Google在其網誌上放置的通知:「這個網站會使用 Google 的 Cookie 來協助提供服務及分析流量。此外,這個網站會將您的 IP 位址、使用者代理程式、效能和安全性指標一併提供給 Google,以確保服務品質、產生使用統計資料,以及偵測並處理濫用情形。」
※ GDPR這項規定不侷限於網路,任何產業皆適用。
台灣須遵守歐盟法規嗎?
既然是歐盟的法律,台灣有需要遵守嗎?
雖然目前台灣與歐盟有互相在其領地設置具大使館功能的代表機構,但歐盟成員國並不承認中華民國,因此是否要在網站中加入是否同意的功能,可以依據企業狀況而訂定,如…
- 企業有在歐盟營運
- 客戶有歐盟公民
- 有雇用歐盟公民的員工
- 有與歐盟供應商合作
- 任何涉及歐盟成員國之行為..等
只要涉及歐盟成員國,無論是企業、個人、非營利組織或政府,都需要遵從這項規定。 (維基百科|歐盟成員國有哪些)
延伸閱讀:
➤ Cookie是什麼?第一方、第三方與暫存、持續性Cookie介紹
➤ 第三方Cookie死期將至,2023年Google停用Cookie!掌握數據成重大議題
GDPR是什麼
GDPR(General Data Protection Regulation) 全名為《一般資料保護規則》或《通用資料保護規則》,它是歐盟法律中,對所有歐盟成員國的資料保護與隱私規範,其主要目的在於取回個人對於資料的控制及為了國際商務而簡化在歐盟內的統一規範。
任何個人資料都必須在法規規定的合法基礎上完成,資料控制及處理者(網站)都必須從資料所有者(網站使用者)那裡獲得明確的同意才可以進行資料的蒐集與使用,個人資料處理者(網站) 必須清楚的揭露、聲明任何資料收集與保留目的,並且資料所有者有權利隨時撤銷權限。
GDPR使通行歐盟的資料保護規章一致,但代價是嚴格的資料保護規定,若違反規定者,可處公司 全球收益4% 或 兩千萬歐元(約台幣6-7億)的高額罰鍰且以較高者為準做計算。
相關報導:
➤ 違反GDPR重罰首例,Google遭法國重罰5千萬歐元|iThome
➤ Google任意使用Cookie追蹤用戶行為!遭法國重罰1億歐元|Newtalk
➤ 【Meta】Facebook涉大規模洩漏用戶數據 歐盟判罰款1.46億元|hket
GDPR保護範圍
只要是人能產生出的任何資料,幾乎都須受到保護,如…
- 個人身分:電話號碼、地址、車牌…等。
- 生物特徵:歷史資料、指紋、臉部辨識、視網膜掃朴、相片…等。
- 電子紀錄:Cookie、IP位置、裝置ID、社群網站活動紀錄…等。
GDPR法規基礎
- Right to be forgotten 被遺忘權:
可以要求控制資料方(企業/網站/任何資料收集者),刪除所有個人資料的任何連結、副本或複製。 - Right to Access 取用權:
可向資料控制方(企業/網站/任何資料收集者)詢問、了解自身資料的使用目的、方式及地點等,且控制方也應以電子形式提供資料副本讓資料擁有者參考。 - Right to data portability 資料可攜權:
指用戶有權利以通用、機器可讀的形式,取得某一服務的資料,將其轉移到另一個服務上。 - Privacy by design 隱私始於設計:
個人、企業、政府等組織,皆需要採納隱私的架構,在最初階段就對隱私及資料保護問題進行預測及因應,並對裝置及應用程式進行嚴格的身分驗證及授權機制。
※ 若個資已遭到侵害,需72小時內通報與通知,表明個資保護影響評估、保護設計及預設。
➤ 資料來源:
維基百科|一般資料保護規則
➤ 延伸閱讀:
《一般資料保護規範》GDPR-上市櫃公司官網必要放置的單元(3)
➤ 隱私範本:
範本:中文網站用安全政策(Website security policy)
範本:中文網站用安全政策(Website security policy)
