2021年底，韩国终于通过GDPR适足性认定，而台湾尚在努力谈判中——显见GDPR已逐渐在欧盟境外发挥影响力。然而，当年规划一同实施的ePrivacy Regulation却因争议过大而迟迟未完成立法。

一般数据保护规则（General Data Protection Regulation, “GDPR”）被认为是欧盟数据保护迈向现代化的重要里程碑，而原拟于2018年与GDPR一并通过的电子隐私权规则（ePrivacy Regulation, “ePR”），虽同属促进信赖且安全之数字单一市场的重要环节，却因各会员国就适用范围、与GDPR之关系、装置追踪、cookie规范等众多问题无法达成共识而被迫搁置，延宕至今。好消息是，现阶段已进展至欧盟执委会、欧盟理事会与欧洲议会的三方会谈，协商内容为欧盟理事会所决定之2021年2月10日版本[1]（为第14份草案）；但另一方面，由于该草案仍有不少争议，何时能完成立法依旧充满变数。

如同GDPR取代1995年数据保护指令（Data Protection Directive），未来ePR通过后也将取代2002年隐私权指令（Privacy Directive），毋须经各会员国立法手续转换，便能直接产生效力。

规范概述

两大原则：机密性与同意

根据执委会的构想，「机密性」与「同意」是ePR不可或缺之两大基石[2]：

• 所有电子通讯均应予以保密，未经同意，原则上不得收听、窃听、扫瞄、拦截、监控、储存或处理用户的简讯、电子邮件或语音电话（Art.5）。
• 确保用户在线活动及装置之机密性，未经同意，不得存取用户终端设备上的信息（Art.8）。网站使用cookie或其他技术存取用户装置上信息或追踪其在线活动之前，也必须征得同意，但不包括非隐私侵入性、为改善网络使用体验的cookie，例如记忆购物车内容、在多个页面填写在线表格、同一联机阶段（session）的登入信息、访客人数计算等情形。同时，ePR将提供更便捷的作法，允许使用者在浏览器设定同意或拒绝追踪cookie与其他标识符。
• 必须取得同意，方能处理通讯内容（例如所交流之文本、语音、影片、图像等内容）及元数据（metadata，例如用于追踪通讯来源及目的地之数据、有关通讯装置所在地之数据、通讯时点、持续时间及类型等数据），若无法取得用户同意，高度涉及隐私权的元数据应予以匿名处理或删除，除非此类数据系为收取款项所必须（Art.6, 6b, 7）。
• 禁止透过电子邮件、简讯或自动拨号系统（automated calling machine）发送不请自来的电子讯息（包括垃圾邮件及直接营销通讯）与营销电话（Art.14），除非会员国赋予消费者拒绝接听营销电话之权利，例如透过默认规范或谢绝来电清单（do-not-call list）加以防堵。市场营销业者致电时必须显示号码，或以特殊前缀表明其为营销电话。

扩大规范对象

从最新草案来看，ePR规范对象（Art.3）不仅涵盖早期争论焦点之OTT服务供货商（例如WhatsApp、Facebook Messenger、Skype等）[3]，也扩及更多服务类型，大致上包括：

• 提供电子通讯服务
• 提供公用目录
• 利用终端设备之处理及储存能力，或搜集使用者终端设备所处理、发送或储存之信息
• 利用电子通讯服务发送直接营销通讯
• 透过公共网络传输之机器对机器数据（例如物联网）

但由于ePR立法迟滞多时，原本聚焦的OTT服务早在2020年12月已纳入欧洲电子通讯法（European Electronic Communications Code）之适用范围，以便落实部分规范[4]。

增强欧盟境内隐私权保障

执委会认为，透过ePR此单一规范制度，将使欧盟境内所有人与企业之电子通讯共享相同保护水平：用户能更有效管控垃圾邮件与营销电话，且以便捷、透明的方式决定是否同意cookie（省去每次造访网站时点击cookie横幅通知的困扰）。企业只要遵守明确规范，仍可在在线广告继续使用cookie及其他追踪技术；一旦用户同意处理通讯数据，传统电信业者将有机会提供额外服务并开发新业务，例如根据个人足迹制作热图（heat map），协助政府机关与运输业者拟订基础建设计划。

不过，欧洲数据保护委员会（European Data Protection Board, “EDPB”）当初建议之独立监管机关构想已不复存在，鉴于最终使用者控制权之监督事宜得移交给具相关专业知识的其他监管机关，未来企业可能需面临不同机关的监管要求[5]。

与GDPR之关联性

GDPR仅限于保护个人资料，并未涵盖企业间或个人间之通讯内容（个人资料除外），显然ePR的适用范围较广，包含自然人与法人实体在内[6]。再者，相较于GDPR，ePR规范更为具体且以网络活动为主，因而其不仅用以补充GDPR，同时具备特别法之地位（lex specialis）而优先适用[7]。

EPR之所以能补充GDPR，原因在于其多处援引GDPR界定之术语及规范内容[8]。例如，GDPR有关自然人之同意亦准用于法人（Art.4a），且必须是以清楚肯定之行动，自由给予具体、知情且明确之意思表示。此外，ePR有关法律救济、责任及处罚等规定也与GDPR雷同，例如行政罚款即参考GDPR第83条（Art.23），处罚金额为1000万欧元或前年度全球总营业额之2%（以较高者为准），若是违规情节重大（例如未遵守通讯保密原则），罚款甚至可能高达2000万欧元或前年度全球总营业额之4%。

数字广告业者的担忧

就在线广告而言，ePR带来的恐怕并非利多、而是灾难。IAB Europe即撰文批评[9]，该规则仅涉及在装置层级同意数据分享，因而无法分辨数据使用系为合法或非法，也无法区分哪些网站运作与数据营销密不可分；再者，简化同意之表示固然有好处，但实际上可能导致大多数人拒绝同意，迫使数字生态系统中的大量数据流失，进而影响网络效能与使用体验。当然，这必然会冲击到高度倚赖数据运用的数字广告产业——尤其是行为资料（behavioral data）——根据估算，欧盟高达5260亿欧元的数字广告收益可能因此拦腰折半，而赖此维生的企业（例如大多数报章杂志）营运将更为艰难、甚至倒闭，最终势必波及到公众的知情权。

广开例外大门的疑虑

相对于营收锐减的恐慌与不满，Privacy international反驳道[10]，广告技术产业（AdTech）普遍以各种手段追踪、监控及利用使用者的在线活动足迹与通讯内容，尽管隐私权指令要求予以保护，但侵权事件仍时有所闻；而如今，即使有意藉由ePR加强执法，也必须面临企业游说以及引进数据保存（data retention）立法的挑战。

EDPB同样提出抨击[11]，认为草案第6b(1)(f)条（若采取加密或假名化等安全措施，可不必征得同意而用于兼容性目的）以及第7(4)条（若为预防、调查、侦查或诉追犯罪及防范对公共安全之威胁，得不适用删除或匿名化之原则）不仅破坏ePR的保护一致性、违反欧洲法院判例法，也等同为资料保存留下一道后门。

结语

根据ePR草案第29条，规则于公告后20日生效且设有两年过渡期间，但其究竟能否在2022年通过抑或再度延后，目前众说纷纭。已经投注大量心血的法案鲜少被废弃，立法只是时间早晚而已，然而，正如部分质疑所言，经过各界游说及多次修改后，ePR最终恐怕难以秉持最初理想，共同守护GDPR所塑造的数字市场样貌。

备注：

好消息～北美智权报有微信公众号了！ 《北美智权报》内容涵盖世界各国的知识产权新闻、重要的侵权诉讼案例分析、法规解析，以及产业与技术新知等等。 立即关注北美智权微信公众号→ NAIP_IPServices ～欢迎读者分享与转发～

【本文只反映专家作者意见，不代表本报立场。】