🇩🇪Cookie與德國聯邦數據保護法（BDSG）

屬於歐盟一員的德國，依據歐盟所修訂之《歐盟通用數據保護條例》（GDPR），頒布聯邦數據保護法（BDSG），本法第51條即規定有關「同意（Einwilligung）」的內涵，如該條第2項規定：

「如果被影響人的同意係經過一份涉及其他情況的書面聲明獲得的，則對同意的請求必須以易於理解和易於獲取的方式進行，以明確區分出與其他情況的內容。」

又同條第4項則規定：

「同意僅在基於被影響人的自由決定的情況下才有效力。在評估是否是自願同意時，必須考慮到同意的情況。必須向被影響人指出處理的預定目的。如果在特定情況下這是必要的，或者被影響人要求這樣做，還必須告知他們拒絕同意的後果。」

此外，德國巴伐利亞邦資料保護局所頒布的「《一般資料保護規則》下的同意指南」中亦明確表示「同意需要積極行動」，並根據GDPR第32條立法說明（Erwägungsgründe），數據主體的沉默、已勾選的方框或不作為，皆不足以視為接受同意，又如僅僅繼續使用某項服務亦不構成同意。

圖一

從圖一中可以看到，服務提供者原初僅給予「為必要」（Notwendig），並將「為統計」（Statistik）關掉。看似優待使用者的預設選擇（by-default），實際上使用者一不注意，便會按下「全部同意」（Alle akzeptieren）。

圖二

從圖二中，可以看到其欠缺「拒絕」（Ablehnen）選項，若使用者按下接受，是否為前述提及的「同意」呢？

圖三

另外，在下薩克森邦資料保護局於2022年公布的「符合資訊隱私的網站同意書」指南中，清楚指出部分網站提供之資訊同意書，其呈現方式存有疑義。如某些同意書會寫道：「Cookie用於實現以下目的：為了您優化並改進網站、為您帶來更好的體驗、進行網站分析和廣告活動，以及實現營銷、分析和個性化」，對此下薩克森邦資料保護局認為，上述同意書的「目的敘述」是不足的；又網站營運商時常採用「助推（Nudging）」形式，藉以達成其目的。所謂的「助推」係指「推動用戶給予同意」，如同意比不同意更加凸顯（顯眼的色彩或字體）、拒絕過程複雜（無等效的按鍵表示不同意）或反覆彈跳出的同意層（讓使用者感到疲憊，促使其按下全部同意），圖三即為一例。

圖四

我國同樣有這樣的問題（如圖四，部分企業網站甚至連詢問都沒有），然而因我國並非屬歐盟相關法案的受拘束國家，這些問題至今懸而未解。數位隱私權是當今世代非常重要，但同時也容易受到忽略的基本權利。如何保障人民的數位隱私權，不僅仰賴企業端自律，同時還需要借助政府的權力，更重要的還是人民需要有權利意識，不輕易交出自己的個人隱私！（圖五擷取自德國一企業網站，筆者自己查詢許多德國網站，逐漸有些網站會放棄採取前述的「助推」模式，而讓使用者得以自行選擇是否同意）

圖五