個人資料私隱專員在「香港律師」的文章
「Cookies」 - 可曾是你的選擇? (2019年11月)
在你上網時,「cookies」幾乎是不可避免的。儘管「cookies」存在已久,我們又應否在本港對其加强監管呢?
「Cookies」是個人資料嗎?
「Cookies」是網站儲存在用戶裝置內的細小電腦檔,它可讓網站營運者追踪用戶的網上活動。根據本港的《個人資料(私隱)條例》,只有當資料是與一名在世人士有關,並以可供查閲及處理的方式記錄下來,而同時可切實可行地直接或間接確定該人的身分,該資料才構成個人資料。我們會考慮整體情况去確定該資料是否屬於個人資料。
行政上訴委員會(委員會)有幾個案件也涉及網上識別符。在委員會 No.16/2007一案中,委員會認爲IP位址是關於沒有生命的電腦的信息,而非有關個人的信息。同時,單獨一個IP位址本身亦不能揭露電腦用戶的身份,故缺乏「個人資料」的特徵。在委員會 No.25/2012案件中,向免費電子郵件服務供應商註册用戶名「Huoyan_1989」的電郵地址並不足以確定用戶的身份,故亦不被視爲個人資料。按照同樣邏輯,「cookies」可被視爲只是匿名電腦用戶的瀏覽歷史,因此不是個人資料。
儘管如此,隨著近年來數據挖掘、大數據分析和個人概況彙編的技術迅速發展和普及,日後若有相關案件被提交至委員會時,委員會對網上識別符的舊有看法將無可避免地會在相關個案中被重新審視,這尤其是當案件涉及到「cookies」,因為「cookies」不只是與沒有生命的電腦有關,而透過追踪其用戶的互聯網瀏覽紀錄,它們可推斷出關於用戶的私密或敏感的個人資料,例如政治立場、健康狀況和性取向等。
對私隱的影響
某些類型的「cookies」的私隱侵犯程度比其他類型的為高,例如,第一方「cookies」由網站營運者出於追踪網站功能和績效需要而直接放置,因此會為網站用戶帶來好處。第三方「cookies」多是營銷「cookies」,它們可以追踪用戶的網上活動,從而向廣告商提供詳細的個人信息和概況彙編,以進行針對性廣告活動。
當涉及跨站追踪「cookies」時,尤其令人擔心的是,第三方營銷「cookies」不僅追踪用戶在指定網站上的活動,更會追踪用戶在一系列使用相同廣告商服務的網站上的活動。隨著時間過去和充份追踪用戶瀏覽的活動,放置「cookies」的廣告商便能觀察或推斷網站用戶的行爲模式,以建立網站用戶的個人資料檔案,並將它們放入「區隔」中,最終以相當了解的方式猜測用戶的興趣。無論廣告屬於商業或政治性質,這能讓廣告商向特定瀏覽器投放針對性廣告 。
使用第三方「cookies」亦帶出了幾個私隱問題,特別是該做法的透明度、用戶對其個人資料被追踪及其後被使用和分享的同意(如有的話)的有效性。
海外司法區的規管方法
為加强保障私隱,許多海外司法區已選擇擴大涵蓋「cookies」至受規管的個人資料的範圍內,就如於2018年5月生效的歐盟的《通用數據保障條例》。根據《通用數據保障條例》敍文 30,網上識別符即是例如與個人有關連的IP位址、「cookies」識別符、RFID標籤等,它們或會被用作創建其個人概況彙編及識別個人身份。只要網上識別符能辨別出一個人的身份,即屬個人資料。歐盟委員會認爲,「只要『cookies』是作識別用戶之用,就是個人資料,因此受《通用數據保障條例》的規管。」
英國、法國和德國的個人資料保障執法機關最近各自發布了有關儲存或查閱用戶裝置上的信息技術(包括「cookies」)的指南。它們均强調,放置「cookies」前必須得到用戶明確、自願給予的和清晰的同意,並須向用戶提供足夠的資訊和選擇,均是十分重要的。
此外,歐洲聯盟法院於2019年10月在案件C-673/17中裁定,網站營運者在放置和查閱如營銷「cookies」等非必要的「cookies」前,必須得到用戶主動選擇「加入」而給予的明確同意。故此,以預先點選的選框的安排,無論是用作替用戶取消選擇或選擇退出以表示拒絕同意,已不再足夠。這判決收緊了《歐盟通用數據保護條例》下對「cookies」的同意要求,並將對其個人資料的控制權歸還給歐盟用戶。
更新法律
回到香港,雖然屬原則性的《個人資料(私隱)條例》的確提供了空間使其在時代變遷下仍繼續適用,但全球數據主導的經濟卻爲私隱保障帶來了挑戰,以致需要充分保障私隱,以免受「cookies」和其他侵犯私隱的網上追踪工具等技術的影響。在我們生活的世界中,我們的上線的時間甚為普遍,甚至乎比離線時間更多。故此,社會上有合理的呼聲要求更新我們的《個人資料(私隱)條例》以擴大「個人資料」的定義,保障網上私隱。