2021年底，韓國終於通過GDPR適足性認定，而我國尚在努力談判中——顯見GDPR已逐漸在歐盟境外發揮影響力。然而，當年規劃一同實施的ePrivacy Regulation卻因爭議過大而遲遲未完成立法。

一般資料保護規則（General Data Protection Regulation, “GDPR”）被認為是歐盟資料保護邁向現代化的重要里程碑，而原擬於2018年與GDPR一併通過的電子隱私權規則（ePrivacy Regulation, “ePR”），雖同屬促進信賴且安全之數位單一市場的重要環節，卻因各會員國就適用範圍、與GDPR之關係、裝置追蹤、cookie規範等眾多問題無法達成共識而被迫擱置，延宕至今。好消息是，現階段已進展至歐盟執委會、歐盟理事會與歐洲議會的三方會談，協商內容為歐盟理事會所決定之2021年2月10日版本[1]（為第14份草案）；但另一方面，由於該草案仍有不少爭議，何時能完成立法依舊充滿變數。

如同GDPR取代1995年資料保護指令（Data Protection Directive），未來ePR通過後也將取代2002年隱私權指令（Privacy Directive），毋須經各會員國立法手續轉換，便能直接產生效力。

規範概述

兩大原則：機密性與同意

根據執委會的構想，「機密性」與「同意」是ePR不可或缺之兩大基石[2]：

• 所有電子通訊均應予以保密，未經同意，原則上不得收聽、竊聽、掃瞄、攔截、監控、儲存或處理使用者的簡訊、電子郵件或語音電話（Art.5）。
• 確保使用者線上活動及裝置之機密性，未經同意，不得存取使用者終端設備上的資訊（Art.8）。網站使用cookie或其他技術存取使用者裝置上資訊或追蹤其線上活動之前，也必須徵得同意，但不包括非隱私侵入性、為改善網路使用體驗的cookie，例如記憶購物車內容、在多個頁面填寫線上表格、同一連線階段（session）的登入資訊、訪客人數計算等情形。同時，ePR將提供更便捷的作法，允許使用者在瀏覽器設定同意或拒絕追蹤cookie與其他識別碼。
• 必須取得同意，方能處理通訊內容（例如所交流之文本、語音、影片、圖像等內容）及元資料（metadata，例如用於追蹤通訊來源及目的地之資料、有關通訊裝置所在地之資料、通訊時點、持續時間及類型等資料），若無法取得使用者同意，高度涉及隱私權的元資料應予以匿名處理或刪除，除非此類資料係為收取款項所必須（Art.6, 6b, 7）。
• 禁止透過電子郵件、簡訊或自動撥號系統（automated calling machine）發送不請自來的電子訊息（包括垃圾郵件及直接行銷通訊）與行銷電話（Art.14），除非會員國賦予消費者拒絕接聽行銷電話之權利，例如透過預設規範或謝絕來電清單（do-not-call list）加以防堵。市場行銷業者致電時必須顯示號碼，或以特殊前綴表明其為行銷電話。

擴大規範對象

從最新草案來看，ePR規範對象（Art.3）不僅涵蓋早期爭論焦點之OTT服務供應商（例如WhatsApp、Facebook Messenger、Skype等）[3]，也擴及更多服務類型，大致上包括：

• 提供電子通訊服務
• 提供公用目錄
• 利用終端設備之處理及儲存能力，或蒐集使用者終端設備所處理、發送或儲存之資訊
• 利用電子通訊服務發送直接行銷通訊
• 透過公共網路傳輸之機器對機器資料（例如物聯網）

但由於ePR立法遲滯多時，原本聚焦的OTT服務早在2020年12月已納入歐洲電子通訊法（European Electronic Communications Code）之適用範圍，以便落實部分規範[4]。

增強歐盟境內隱私權保障

執委會認為，透過ePR此單一規範制度，將使歐盟境內所有人與企業之電子通訊共享相同保護水準：使用者能更有效管控垃圾郵件與行銷電話，且以便捷、透明的方式決定是否同意cookie（省去每次造訪網站時點擊cookie橫幅通知的困擾）。企業只要遵守明確規範，仍可在線上廣告繼續使用cookie及其他追蹤技術；一旦使用者同意處理通訊資料，傳統電信業者將有機會提供額外服務並開發新業務，例如根據個人足跡製作熱圖（heat map），協助政府機關與運輸業者擬訂基礎建設計畫。

不過，歐洲資料保護委員會（European Data Protection Board, “EDPB”）當初建議之獨立監管機關構想已不復存在，鑑於最終使用者控制權之監督事宜得移交給具相關專業知識的其他監管機關，未來企業可能需面臨不同機關的監管要求[5]。

與GDPR之關聯性

GDPR僅限於保護個人資料，並未涵蓋企業間或個人間之通訊內容（個人資料除外），顯然ePR的適用範圍較廣，包含自然人與法人實體在內[6]。再者，相較於GDPR，ePR規範更為具體且以網路活動為主，因而其不僅用以補充GDPR，同時具備特別法之地位（lex specialis）而優先適用[7]。

EPR之所以能補充GDPR，原因在於其多處援引GDPR界定之術語及規範內容[8]。例如，GDPR有關自然人之同意亦準用於法人（Art.4a），且必須是以清楚肯定之行動，自由給予具體、知情且明確之意思表示。此外，ePR有關法律救濟、責任及處罰等規定也與GDPR雷同，例如行政罰鍰即參考GDPR第83條（Art.23），處罰金額為1000萬歐元或前年度全球總營業額之2%（以較高者為準），若是違規情節重大（例如未遵守通訊保密原則），罰鍰甚至可能高達2000萬歐元或前年度全球總營業額之4%。

數位廣告業者的擔憂

就線上廣告而言，ePR帶來的恐怕並非利多、而是災難。IAB Europe即撰文批評[9]，該規則僅涉及在裝置層級同意資料分享，因而無法分辨資料使用係為合法或非法，也無法區分哪些網站運作與資料行銷密不可分；再者，簡化同意之表示固然有好處，但實際上可能導致大多數人拒絕同意，迫使數位生態系統中的大量資料流失，進而影響網路效能與使用體驗。當然，這必然會衝擊到高度倚賴資料運用的數位廣告產業——尤其是行為資料（behavioral data）——根據估算，歐盟高達5260億歐元的數位廣告收益可能因此攔腰折半，而賴此維生的企業（例如大多數報章雜誌）營運將更為艱難、甚至倒閉，最終勢必波及到公眾的知情權。

廣開例外大門的疑慮

相對於營收銳減的恐慌與不滿，Privacy international反駁道[10]，廣告技術產業（AdTech）普遍以各種手段追蹤、監控及利用使用者的線上活動足跡與通訊內容，儘管隱私權指令要求予以保護，但侵權事件仍時有所聞；而如今，即使有意藉由ePR加強執法，也必須面臨企業遊說以及引進資料保存（data retention）立法的挑戰。

EDPB同樣提出抨擊[11]，認為草案第6b(1)(f)條（若採取加密或假名化等安全措施，可不必徵得同意而用於兼容性目的）以及第7(4)條（若為預防、調查、偵查或訴追犯罪及防範對公共安全之威脅，得不適用刪除或匿名化之原則）不僅破壞ePR的保護一致性、違反歐洲法院判例法，也等同為資料保存留下一道後門。

結語

根據ePR草案第29條，規則於公告後20日生效且設有兩年過渡期間，但其究竟能否在2022年通過抑或再度延後，目前眾說紛紜。已經投注大量心血的法案鮮少被廢棄，立法只是時間早晚而已，然而，正如部分質疑所言，經過各界遊說及多次修改後，ePR最終恐怕難以秉持最初理想，共同守護GDPR所塑造的數位市場樣貌。

備註：