網站未經消費者同意而使用Cookie會違反台灣個資法嗎？

根據《路透社》報導，法國資料保護主管機關「國家資訊自由委員會」（CNIL）發現Google和Amazon的法國網站均在未經消費者同意且未告知的情況下，默默地在用戶的電腦中植入Cookie，以追蹤用戶的網頁瀏覽紀錄，因此CNIL分別向Google、Amazon開罰1億歐元、3500萬歐元。

如果任意使用Cookie追蹤用戶行為的事情發生在台灣網站，會有相同結果嗎？

首先我們必須先知道什麼是Cookie，且Cookie是否屬於個人資料的一種？

Cookie是網站為辨別用戶身分而儲存在用戶端的一種資料（小型文字檔案），儲存後可讓網站確認使用者，並記憶用戶先前的瀏覽行為。廣告商可藉此投放消費者喜好的產品廣告，並查看廣告投放成效。換言之，在使用者瀏覽網頁時，Cookie會蒐集與記錄使用者的「足跡」。多年來行銷人員一直依靠第三方的Cookie來「循線」追踪網路使用者的行為，幾乎所有的廣告技術和數位行銷平台都使用Cookie，針對網路行為去進行消費者定位、再行銷、播放展示型廣告，藉以掌握消費者行為。

在台灣的個資法第2條、其施行細則第3至6條等規定，分別採用「列示」、「補充」規定的方式說明個資的範圍。

個資「列示」規定，包括姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動。

個資「補充」規定，是其他得以直接或間接方式識別個人的資料。所謂「得以間接方式識別」，是指保有該資料之公務或非公務機關僅以該資料不能直接識別，須與其他資料對照、組合、連結等，始能識別該特定之個人。

原本在台灣有見解認為，單純的Cookie因無法識別特定個人，故非屬個資。

然而，「歐盟一般資料保護規範」（GDPR）上路後，因GDPR已明文Cookie為個資，且規定必須經使用者同意才能蒐集Cookie，使Cookie有如過街老鼠。

「美國加州消費者隱私法」（CCPA）緊接著上路，即使沒有GDPR那麼嚴格，也規定必須告知使用者才能蒐集Cookie。

對於數位行銷的廠商來說，這些隱私權法規將限縮數位廣告與行銷科技的形式。嗣後，美國各州相繼出爐的隱私權新法案大致相同，Cookie都可以被用來識別個人的「資料依據」。

甚至在中國，也曾出現一例判決（百度Cookie案），認為Cookie不僅是個人隱私的資訊，原告在百度搜尋的關鍵字，因為都可以連結到「百度廣告聯盟」的官方網站，故判定被告百度侵害原告的隱私權，理由是百度沒有用清晰、明顯的告知、連結或網頁公告，讓原告明白且選擇同意使用Cookie，並用於進行廣告投放。

承上所述，如果發生在我國，現今台灣的實務或法院見解可能也會傾向認定Cookie是一種個資，因為企業如果能將其他資料（例如使用者IP位址或網站會員申請資料）結合後，達到識別特定個人，則該蒐集到的Cookie仍屬於個資。

因此，在此呼籲台灣企業經營者，包括電商或行銷業者，建議在網站頁面應提供Cookie的相關通知，最好用明顯的字體、顏色標註，讓使用者容易看到，以降低相關的法律風險，包括違反個資法或消保法等相關規範。

所以，如果企業任意使用Cookie追蹤用戶行為的事情發生在台灣網站，仍然可能遭到主管機關裁罰。不過可惜的是，台灣的個資法罰得太輕，每次的違法行為，罰金不超過新台幣100萬元，罰鍰不超過新台幣50萬元。

此外，台灣的個資法並沒有一個統一的主管機關，法務部只是個資法的解釋機關，個資法的條文中是歸定由中央目的事業主管機關或直轄市、縣（市）政府共同辦理；換言之，每一個行業別之目的事業主管機關就是該行業別在個資法的主管機關，例如，銀行業由金管會主管、一般公司行號由經濟部主管、電信事業由國家通訊傳播委員會（NCC）主管。法務部已依行政院主計總處的各行業標準分類列表，公布各個產業的個資主管機關，此可參考法務部網站所公布的「個人資料保護法非公務機關之中央目的事業主管機關列表」。