為甚麼我必須在我公司的隱私政策中提及cookies?

當用戶訪問一個網站時,該網站會下載並收集稱為 「cookies 」的數據。 Cookies可以於使用者離開網站後追蹤個別人士的行為來幫助促銷。 用戶的身份、訪問過的網頁、語言和/或顯示偏好、進行過的交易和購買的物品等資訊經常被收集和記錄。 當客戶再次訪問同一網站時,cookies也有助於追蹤他們的行為。 使用cookies的主要目的是為了識別用戶趨勢,從而簡化他們與網站的互動。

然而,因為各種原因,追蹤用戶的網上行為往往會引起擔憂:

  • 網站用戶的瀏覽習慣或資訊通常在未經用戶同意或不知情的情況下,由網站擁有人或營運者收集。
  • 網站用戶的瀏覽習慣或資訊可能在未經用戶同意或不知情的情況下,被第三方收集。
  • 所收集的資訊可能在未經用戶同意或不知情的情況下,被網站擁有人或營運者或第三方轉讓給其他各方。
  • 從單一網站收集的網站用戶的資訊可能會跟其他網站或來源收集的資訊結合,然後在用戶不知情的情況下建立他們的資料檔案。
  • 沒有向用戶明確說明收集網站用戶資訊的目的,或者沒有告知他們可以選擇退出。

通過cookies收集的行為資訊是否被視為個人資料?

要構成個人資料,行為資訊應 (a) 直接/間接地與活人有關;(b) 可以直接/間接地確認個人的身份;及(c)該資訊能以同樣的形式被查閱/處理。

使用cookies追蹤網上行為時,各組織應採取哪些行動?

作為一個組織,如果你使用cookies追蹤網上行為,並涉及到收集用戶的個人數據,那麼你必須遵守《個人資料(私隱)條例》所列出的保障資料原則。 要瞭解六項保障資料原則,請參閱 「在香港,哪些個人資料受隱私條例的規管? 處理個人資料的規則是甚麼?」

此外,你需要在你公司的隱私政策中明確提起cookies和儲存在cookies中的資訊類型,因為你的網站用戶需要對追蹤其行為的cookies表示同意。 網站用戶的同意可以是強制性或自願性:

  1. 如果是強制性的,你的網站應明確說明cookies收集了哪些類型的資訊,這些資訊可能被轉移給誰,以及轉移資訊的目的。
  2. 如果是自願的,你應該向網站用戶提供明確的資訊,說明不接受Cookies的後果,例如,它可能影響網站的正常運作。 然而,你可以為選擇不接受cookies的用戶設置及引導到另一個功能較少的網站。

使用cookies收集網站用戶的行為資訊時,你最好遵循另外三種最佳做法:

  1. 事先為cookies設定一個合理的到期日;
  2. 在適當的時候,對cookies的內容進行加密;及
  3. 不要使用像Zombie、Flash或Super Cookies 8般的技術,因為這些技術無視網站用戶對cookies的設定。 除非你的公司能為網站用戶提供選項,讓用戶選擇禁用或拒絕此類cookies。

歐盟的電子通訊私隱指令要求網站提供同意使用cookie的彈出視窗,以解決追蹤互聯網用戶和電子通訊的保密性問題。雖然該指令是歐盟的法例,但它可能適用於你的公司,因為訪問你的網站的用戶可能在歐盟境內。如果你想知道你的公司是否需要遵守歐盟法例,你應諮詢律師。

關鍵要點

  • Cookies通過追蹤個別人士的網上行為來幫助促銷。
  • 在你的公司隱私政策中提及cookies是重要的,因為你的網站用戶需要對追蹤他們行為的cookies表示同意。
  • 在收集網站用戶的行為資訊時,還必須採取三個額外步驟:
  1. 為cookies設定到期日;
  2. 對cookies的內容進行加密;及
  3. 不要使用會無視網站用戶的cookies瀏覽設置的技術。
  • 如果你不清楚你的公司是否需要遵守關於cookies的歐盟法例,你應該諮詢律師。

參考書目:

  1. 個人資料私隱專員公署,「媒體報道」:https://www.pcpd.org.hk/tc_chi/news_events/newspaper/newspaper_201911.html
  2. 個人資料私隱專員公署,「網上行為追蹤」:https://www.pcpd.org.hk/chinese/publications/files/online_tracking_c.pdf
  3. 個人資料私隱專員公署,「經互聯網收集及使用個人資料:給資料使用者的指引」:https://www.pcpd.org.hk//tc_chi/resources_centre/publications/files/guidance_internet_c.pdf
  4. GDPR.EU, ‘Cookies, the GDPR, and the ePrivacy Directive’: https://gdpr.eu/cookies/