放按“赞”功能的网站要小心了,欧盟法院周一做出判决,在未取得用户同意下,通过点赞功能将数据发送给脸书的网站也有法律责任,不论他有没有按下赞。
这是欧洲最高法院做出的意见。本案源自德国线上服饰经销企业Fashion ID在其网站上嵌入了脸书按“赞”键,让访问网站消费者的个人数据,都会被发送到脸书爱尔兰公司,不论消费者本身是不是脸书用户,或是否亲自按了“赞”的键。
代表消费者的德国消费者权益保护组织NRW,于2015年控告Fashion ID在未获得用户同意前,就将其个人信息发送给了脸书,也违反了告知消费者的义务。这桩案件从杜塞道夫地方法院打到柏林最高地方法院,最后请欧盟法院解释欧盟的1995年数据保护指令。本法为欧盟隐私法GDPR上路前的旧法,但仍适用本案。
根据欧盟法院的意见,GDPR的定义下,在用户个人信息被传给了脸书后,线上服饰商Fashion ID虽然已不算是数据处理的控制者(controller),但是它和脸书一样都是传输数据的控制者;两者是共同控制者(joint controller)。原因是Fashion ID借由在网站上放上按“赞”键,如果访客按了赞,有助于优化它的商品在脸书上的曝光度,因此Fashion ID和脸书都是这种作法的直接获益者,也必须共同承担数据搜集的责任。
欧盟法院判决,像Fashion ID之类放按“赞”键的网站作为数据处理的共同控制者,必须在搜集并发送(给脸书)用户数据前,必须说明其身份以及数据处理用途,也必须取得用户事前同意。
此外,法院也认为,凡是类似网站及社群插件功能供应商,也应通过个人信息的搜集和传输实现消费者“合法利益”。
德国最高法院的意见不一定会采用欧盟法院意见,但是欧盟法院必然会影响其他延误多年的欧洲案件判决。ZDNet分析,这也会让打算在网站放“赞”、“分享”等按钮的企业,多思考一下是否愿意承担相关的法律责任。