目前,透過網站蒐集資料是最簡便快速的方式,組織要如何因應個人資料保護法的要求,確保個人隱私和資料安全,已是必須要審慎因應的重要課題。
對大多數的組織而言,關於個人資料的蒐集,主要區分為二種方式,一種是非自動化的蒐集,也就是所謂傳統的資料蒐集方法,透過人為訪談記錄或填寫紙本文件來取得個人資料;另一種則是自動化的蒐集,也就是透過網站和應用程式來獲得個人資料。
網站蒐集個資的行為
線上服務業者透過網站來蒐集和個人有關的資料,也可分為主動和被動二種模式,主動模式是指透過網頁提供的表單空格、單選或複選的選項、下拉式選單等項目,讓使用者依照網頁說明來輸入或選擇對應的資料。在蒐集時應注意只蒐集必要的資訊即可,並且清楚標示需要使用者提供的內容,讓使用者能夠明白哪些是必要的資訊、哪些則是可以自由選擇是否填寫的內容。
至於被動的蒐集模式,則是指在使用者比較無法察覺的情況下,蒐集使用者瀏覽網頁的行為或使用網站互動功能的記錄,這種蒐集方法,主要是透過一些技術性的措施來達成,例如使用Cookie、Web beacon來獲得使用者的裝置資訊、位置資訊、應用程式版本、偏好語言等資料。
大多數的網站都會使用Cookie來追縱記錄使用者的瀏覽行為或身分資訊,Cookie是一個非常小的文字檔案,在瀏覽網站的時候會儲存到電腦中,它的內容包括了識別名稱或號碼、網域名稱及有效日期等,當使用者下一次再瀏覽同一個網站時,透過Cookie就可以識別使用者,並且自動載入使用者的偏好設定。Web beacon則是一個很小的單點圖像,通常是放在電子郵件中來判斷使用者是否已經開啟郵件,也可以和Cookie搭配使用,用來記錄使用者所瀏覽的特定網頁資訊,以及作為瀏覽人數的計算或廣告點選次數統計等。
無論採取主動或被動的蒐集模式,組織透過網站蒐集個資的行為,都必須要盡到告知使用者的義務,目前最簡單的方式是透過網站蒐集資料聲明或是隱私政策宣告,讓使用者能夠得知個人的資料是如何被蒐集,以及如何被利用。當然,使用者最關心的是所有被蒐集的個人資料,是否會受到妥善的防護,避免不當的揭露或對隱私造成損害。
網站個人隱私政策
在網站的個人隱私保護政策中,建議業者必須具體說明蒐集資料的目的、蒐集的方法,以及將會如何處理和利用。一般而言,至少需要說明以下項目:
- 所蒐集的資訊內容 – 網站所主動蒐集的資訊,可能包括要求使用者提供姓名、住址、電話、出生日期、電子郵件等,若網站提供了電子商務服務,也會要求提供信用卡號碼和帳單寄送地址等項目。至於被動蒐集的內容,則可能包括時間、日期、使用者裝置的IP位址、作業系統類型、網頁瀏覽器版本、頁面瀏覽的記錄、搜尋的關鍵字內容、點選連結的網址、地理位置資訊等。透過以上這些資訊,將可以用來了解使用者的瀏覽偏好和顯示個人化的廣告內容等行為,建議業者應該在隱私政策中清楚說明所有可能主動或被動蒐集的資訊內容。
- 隱私政策適用的範圍 – 說明隱私政策是否適用於網站業者提供的所有服務,或是僅限於特定服務的內容,尤其像是網站如果提供了廣告服務,或是某些互動服務可能連結其他特定網站,也需要讓使用者明白隱私政策是否同樣適用這些服務。
- 資訊的利用與揭露 – 以使用目的來說,蒐集這些個人在網站上的使用資訊,主要是為了搭配網站所提供的互動功能,或是提供使用者更快速的服務,當然也可能是為了提供更精準的個人化廣告。在隱私政策中,業者需要說明所蒐集的資訊將會如何使用,例如用來聯絡通知業者所提供的產品或服務資訊,或是顯示個人化資訊內容和廣告服務。同時如果還需要與其他組織分享所蒐集的資訊,也必須清楚說明使用者的權利並告知使用者,個人資訊若未事先獲得使用者同意,將不會對第三方揭露各項資訊內容,但若是為了因應法律要求,則將會依照相關規定提供執法單位所需要的資訊。
- 使用Cookie和Web beacon – 大多數的網站都會使用Cookie或Web beacon來追蹤使用者的行為,在隱私政策中,應說明使用者是否可以決定接受或拒絕Cookie,或是刪除已接受的Cookie內容。目前大多數的網頁瀏覽器,都可以讓使用者決定是否自動接受Cookie或是僅接受當下所瀏覽的網站所傳送的Cookie,同時,使用者也可以自行刪除過去瀏覽時曾經接受的Cookie。但是,業者也必須說明若使用者不接受Cookie時可能會造成的影響,包括像是無法使用網站特定服務,或是不提供的網站廣告和互動功能。
- 如何確保個人資訊的安全 – 說明所蒐集的資訊儲存方式和存取機制,以及所遵守的法規和所採取的安全控制措施,例如說明當個人資訊透過網路傳送時,資訊內容將會採取加密方式,以避免受到不當的竄改或揭露。
- 使用者的權利 – 說明使用者是否可檢視及編輯網站上的個人資訊、是否可要求更正無法自行變更的資訊、是否可要求停止接收網站所提供的個人化資訊服務如廣告顯示方式和行銷電子郵件等。
- 隱私政策的變更流程 – 說明隱私政策可能會不定時進行更新,以符合服務的內容和相關法規及客戶的要求,在變更生效之前,業者將會採取公告方式,或是個別寄送郵件通知給使用者,以告知所變更的各項內容。
- 業者的聯絡方式 – 說明若使用者對於隱私政策的內容有意見或問題時,要如何與業者聯繫,通常可提供寄送問題的電子郵件信箱,或是提供電子表單讓使用者自行填寫,也可以直接提供業者的服務電話等。
落實網站個資安全
在隱私政策之中,說明並強調業者所採取的資訊安全措施,也是贏得使用者信賴的一個重要項目。除了基礎的安全技術,像是防火牆、主機安全防護和存取身分驗證之外,建議業者對於網站提供的安全機制,至少還需要包括二大層面,分別是資料傳輸的安全和應用程式的安全。
針對網站資料傳輸,目前最常採用的就是SSL加密機制,在傳輸像是密碼、帳戶等敏感資訊時,可以透過它提供所需的基本安全防護。至於應用程式的安全,則包括了業者在網站應用服務建置的初期,針對應用程式安全就要有妥善的考量,例如使用安全的開發工具、避免使用含有弱點的程式語法,以及進行應用程式弱點掃描、網站滲透測試等,這些都是業者可用來強化安全的實際作法。
除了業者所宣稱的安全措施之外,對使用者來說,也可以透過第三方所提供的信任標章,作為對個人隱私保障判斷的依據。業者想要獲得標章,就必須遵守對於隱私保護的各項要求,例如需要實施的安全技術和管理機制,並且通過定期的稽核,並提出相關報告,才能取得資格在網站上展現此一標章,讓使用者可以驗證其所提供的隱私保護。
目前,國外有三大標章是可信賴網站的象徵,分別為TRUSTe、BBBOnline和WebTrust,在國內則有經濟部針對電子商務產業,所推動的台灣個人資料保護與管理制度(TPIPAS),其中所提供的資料隱私保護標章,也可作為使用者在進行線上交易或使用網站服務時的隱私保護參考。
沒有留言:
張貼留言