屬於歐盟一員的德國,依據歐盟所修訂之《歐盟通用數據保護條例》(GDPR),頒布聯邦數據保護法(BDSG),本法第51條即規定有關「同意(Einwilligung)」的內涵,如該條第2項規定:
「如果被影響人的同意係經過一份涉及其他情況的書面聲明獲得的,則對同意的請求必須以易於理解和易於獲取的方式進行,以明確區分出與其他情況的內容。」
又同條第4項則規定:
「同意僅在基於被影響人的自由決定的情況下才有效力。在評估是否是自願同意時,必須考慮到同意的情況。必須向被影響人指出處理的預定目的。如果在特定情況下這是必要的,或者被影響人要求這樣做,還必須告知他們拒絕同意的後果。」此外,德國巴伐利亞邦資料保護局所頒布的「《一般資料保護規則》下的同意指南」中亦明確表示「同意需要積極行動」,並根據GDPR第32條立法說明(Erwägungsgründe),數據主體的沉默、已勾選的方框或不作為,皆不足以視為接受同意,又如僅僅繼續使用某項服務亦不構成同意。
圖一
從圖一中可以看到,服務提供者原初僅給予「為必要」(Notwendig),並將「為統計」(Statistik)關掉。看似優待使用者的預設選擇(by-default),實際上使用者一不注意,便會按下「全部同意」(Alle akzeptieren)。
圖二
從圖二中,可以看到其欠缺「拒絕」(Ablehnen)選項,若使用者按下接受,是否為前述提及的「同意」呢?
圖三
另外,在下薩克森邦資料保護局於2022年公布的「符合資訊隱私的網站同意書」指南中,清楚指出部分網站提供之資訊同意書,其呈現方式存有疑義。如某些同意書會寫道:「Cookie用於實現以下目的:為了您優化並改進網站、為您帶來更好的體驗、進行網站分析和廣告活動,以及實現營銷、分析和個性化」,對此下薩克森邦資料保護局認為,上述同意書的「目的敘述」是不足的;又網站營運商時常採用「助推(Nudging)」形式,藉以達成其目的。所謂的「助推」係指「推動用戶給予同意」,如同意比不同意更加凸顯(顯眼的色彩或字體)、拒絕過程複雜(無等效的按鍵表示不同意)或反覆彈跳出的同意層(讓使用者感到疲憊,促使其按下全部同意),圖三即為一例。
圖四
我國同樣有這樣的問題(如圖四,部分企業網站甚至連詢問都沒有),然而因我國並非屬歐盟相關法案的受拘束國家,這些問題至今懸而未解。數位隱私權是當今世代非常重要,但同時也容易受到忽略的基本權利。如何保障人民的數位隱私權,不僅仰賴企業端自律,同時還需要借助政府的權力,更重要的還是人民需要有權利意識,不輕易交出自己的個人隱私!(圖五擷取自德國一企業網站,筆者自己查詢許多德國網站,逐漸有些網站會放棄採取前述的「助推」模式,而讓使用者得以自行選擇是否同意)
圖五
