歐盟法院裁決:網站「預先選取同意」不構成ePrivacy Directive及GDPR合法有效的同意
歐洲聯盟法院(CJEU)2019年10月1日對Planet49案(Case C-673/17)作出裁決。Planet49 GmbH為線上遊戲公司,用戶必須註冊並填寫姓名、地址等資料,點擊「參加」鍵後,會出現兩個選項框,一為「同意接收贊助商及合作夥伴的廣告訊息」,用戶必須勾選此一選項始可參加;另一選項框是「同意將用戶的Cookies用於廣告目的與分析」,此一選項已被預先勾選,而用戶可以取消勾選;在選項旁附有說明(如Cookie的用途等),並告知用戶可以隨時刪除所設置的Cookie。
歐盟法院針對《電子通訊隱私指令》(ePrivacy Directive, ePD)以及《一般資料保護規則》(General Data Protection Regulation, GDPR)進行闡明,重點如下:
一、ePD所要求對於Cookie儲存與使用的「同意」必須符合GDPR的「同意」原則,必須是當事人自願、具體、知情且明確的同意,本案「預先勾選同意」不構成有效同意。
二、「同意」必須特定對象,而不能藉由其他標的加以包裝、暗示,用戶點擊「參加遊戲」不能代表「Cookie的同意」。
三、ePD是對於用戶資料儲存與取得的保護,不論是否涉及「個人資料」均有ePD的適用,而必須取得用戶同意。
四、對於Cookie的使用必須清楚揭露,包括Cookie用途、運作期間、第三方是否有機會取得此一資訊等,以確保用戶確實了解其所為「同意」的內容與範圍。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
楊皓勻
副法律研究員 編譯整理
1、ECJ Case C-673/17, Planet49 GmbH v. Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (2019), http://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=1388757 (last visited Oct. 22, 2019).
2、ALLEN & OVERY, Cookies consent does not escape the GDPR: CJEU issue decision in the Planet49 case (2019), http://www.allenovery.com/publications/en-gb/Pages/cookies-consent-does-not-escape-the-gdpr.aspx (last visited Oct. 22, 2019).
3、Lennart Schüßler & James Fenelon, Planet49: CJEU Rules on Cookie Consent (2019), https://www.twobirds.com/en/news/articles/2019/global/planet49-cjeu-rules-on-cookie-consent (last visited Oct. 22, 2019).
美國總統歐巴馬於2011年12月發布備忘錄(Presidential Memorandum),要求美國聯邦政府應加強「導入節能績效保證專案(Implementation of Energy Savings Projects and Performance-Based Contracting for Energy Savings)」,並宣布未來24個月內最少將投入20億(billion)美元經費,推動聯邦機構採購實施節能績效保證專案,以改善建築物能源效率。基於政策指示,美國能源部(Department of Energy)下屬聯邦能源管理推動機構(Federal Energy Management Program,以下簡稱FEMP),研議規劃配套機制,協助導入「節能績效保證專案(Energy Savings Performance Contract,以下簡稱ESPC)」,更精簡、效率、低成本之實施模式,並助益美國能源技術服務產業(Energy Service Companies,以下簡稱ESCO)發展。 美國FEMP於2012年2月公告ESPC採購關於「資金(Financing)」部分之「資訊徵求意見書(Request for Information,RFI)」,廣詢實務各界意見,希望能繼而落實於政府採購規範及契約範本之研議,並協助ESCO業者能更順利取得資金,並協助ESCO業者能更順利取得資金,及降低資金取得成本,如此亦可有利益於所採購導入之聯邦機構。 FEMP主要係規劃探討關於ESPC融資資金,最合理且有吸引力之利率,所應考慮各項要件及利率定價模式,並且規劃建立資金協助者之優先名單(Preferred Financiers),以利配套選用。再者FEMP為推動整合,特別探討ESPC跨專案(Project Aggregation (Combining))時,可能影響資金協助者之融資與財務評估,例如數ESPC專案、數ESCO業者、由同一資金協助者承接,或是數ESPC專案、數實施地點、同一ESCO業者,同一資金協助者,亦或者數ESPC專案、數實施地點、數ESCO業者、但同一政府機構、且同一資金協助者,研析相關影響要件。 以及,FEMP並探討ESPC實施「量測驗證(Measurement and Verification),對於取得融資評估過程是否增加複雜影響因素,以及資金協助者對於量測驗證機制,是否認為將增加風險並致更高融資利率,均為重要探討議題。此項意見徵求書,未來將落實於聯邦機構政府採購之實務規範上,相關內容再持續觀察追蹤。
英國下議院正在二讀審查商業及貿易部提交之數位市場、競爭和消費者法案英國商業及貿易部(Department for Business and Trade)於2023年4月25日向下議院提交《數位市場、競爭和消費者法案》(Digital Markets, Competition and Consumers Bill,以下稱DMCC法案),該法案提議對既有的企業競爭與消費者權益規範進行調整,以促進數位市場之競爭及創新。DMCC法案正在下議院進行二讀中,法案架構參考澳洲與歐盟相關制度規範,期望能藉政府干預而調解大型網路平台分別與小型媒體、消費者間議價能力失衡及資訊不對稱問題。 DMCC法案將授權英國競爭暨市場管理署(Competition and Markets Authority)及其轄下數位市場部(Digital Markets Unit)監管與確保數位市場之開放性,並強化消費者權益的保護。法案主要分為三部分: 一、更新數位市場制度:數位市場部將依據企業的商業模式、全球或英國營業總額與市場影響力等面向,判斷該企業是否具策略市場地位(Strategic Market Status,以下稱SMS),並為SMS企業設定行為準則,避免其策略或活動影響市場自由。 二、公平競爭:DMCC法案調整《競爭法》(Competition Act 1998)涵蓋範圍,自地域管轄擴張為對英國貿易產生直接、實質與可預見影響的境內、外行為;同時加強競爭暨市場管理署調查反競爭行為與執法權限,包含扣押文件及證據、面談案件任何關係人。 三、強化消費者保護:DMCC法案將替代部分《保護消費者免受不公平交易條例》(Consumer Protection from Unfair Trading Regulations 2008),且針對線上交易提供新的契約規則,賦予競爭暨市場管理署調查侵權行為之權力。 DMCC法案正在下議院審查中,但草案內容已引起各方關注,正式通過前仍可能因社會各方利益團體之遊說、磋商而修改條文內容。
中國大陸有關網路預約出租汽車之規範中國大陸國務院法制辦公室前於2015年10月10日在網站上公告,有關其交通運輸部就《網路預約出租汽車經營服務管理暫行辦法(徵求意見稿)》對外徵求意見至同年11月9日止。該暫行辦法係因應利用網路建構服務平台,並提供非傳統之職業駕駛或營業車輛的運輸服務類型,如Uber等。 由前述公開資料觀之,中國大陸預計對Uber或相關業者,只要符合從事網路預約出租汽車經營服務,即納入交通運輸主管部門之管制範圍。且依提供服務類型不同,區分為網路預約出租汽車經營服務(指平台)、及網路預約出租汽車經營者(實際提供服務之業者)二大類,並分別進行管理,如不得提供類似計程車之巡遊載客。 此外,依目前規劃,國務院交通運輸主管部門(指交通運輸部)負責指導全國網路預約出租汽車管理工作,而縣級以上的人民政府,其交通運輸主管部門(如地方交通委員會或交通局)須實施網路預約出租汽車管理。如要求縣級以上之主管機關應建立監管平台及進行監督管理,如定期公開車輛、駕駛人及乘客評價等資訊外,網路預約出租汽車經營服務之平台及相關業者依該暫行辦法規定須取得「道路運輸經營許可證」,而從事該運輸服務所使用之車輛除限7人座以下,並應登記為出租客運、安裝衛星定位及報警裝置等,且須有「道路運輸證」。 另該暫行辦法不適用於對原屬巡遊出租汽車使用電信、互聯網等方式為乘客提供服務,及不以營利為目的之共乘,如通勤或節假日私人小客車合乘等類型。
以再生能源公司終止併購而衍生之營業秘密糾紛案為鑒,提供企業管理建議2025年7月30日,美國加州法院指出公司濫用合作談判地位以爭奪再生能源市場之行為,從商業角度極為惡劣,將面臨重大法律風險,並認定Phillips 66能源公司須向Propel Fuels(下稱Propel)競爭公司給付共約8億美元的賠償金。 本案源於2017年,Phillips 66公司以收購為由,雙方簽署收購意向書,對Propel公司進行盡職調查。於此期間,Propel公司依保密契約向Phillips 66公司揭露其再生柴油專屬策略與資訊,Phillips 66公司並從 Propel 下載近 3千份包含營業秘密的紀錄。於2018年8月24日,Phillips 66公司突然終止收購並於下一工作日向加州監管機構宣布其將加入加州再生能源市場,2019年正式銷售高混合可再生柴油。 2022年2月16日,Propel公司向加州法院控訴Philips 66公司不當使用Propel公司花費13年研發得出之財務與銷售資料、營運模式及其再生能源業務的預測資料等營業秘密,致Propel公司損失2億美元。於2024年10月16日,本案認定Phillips 66公司違反加州統一營業秘密法(Uniform Trade Secrets Act),不當使用Propel公司的營業秘密, Phillips 66公司應賠償6.049 億美元。其後,本案認定Phillips 66公司行為屬惡意不當使用營業秘密,依加州統一營業秘密法,法院可另將懲罰性賠償金增加至2倍。2025年7月底,本案認定之賠償金達到8億美元,包含自2024年之6.049億美元的補償性賠償金,以及因Phillips 66公司「惡意」不當使用營業秘密的行為,追加1.95億美元的懲罰性賠償金。 綜觀前述實務案例可得知,即便公司間已簽訂保密契約,仍存在公司假借併購盡職調查、合作協商為由,要求他公司提供機密資料。為降低與外部合作而衍生之機密外洩風險,以下為公司提供資料對外之前、中、後階段可參考之管理建議: 1. 對外提供資料前 (1) 內規定義營業秘密搭配機密分級,了解營業秘密之範圍,並依據不同機密等級採取相應的管制措施。 (2) 對外提供資料前,營業秘密相關之權責人員應審查資料適合揭露與否。 (3) 與外部合作協商前,即應確認簽訂保密契約與約定權利歸屬。 2. 已對外提供資料 倘若已對外提供資料,建議採取限制流通、限制權限等作法,如僅限該合作計畫相關人員透過身分認證登入帳號,方有線上瀏覽機密之權限等方式。 3. 對外提供資料後 於合作結束或協商破局之情況,應要求合作方返還或銷毀營業秘密,如為銷毀,應附上相關聲明並佐證執行紀錄。 前述建議之管理作法已為資策會科法所創意智財中心於2023年發布之「營業秘密保護管理規範」所涵蓋,企業如欲精進系統化的營業秘密管理作法,可以參考此規範。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)