北美智權股份有限公司

一般資料保護規則（General Data Protection Regulation, "GDPR"）被認為是歐盟資料保護邁向現代化的重要里程碑，而原擬於2018年與GDPR一併通過的電子隱私權規則（ePrivacy Regulation, "ePR"），雖同屬促進信賴且安全之數位單一市場的重要環節，卻因各會員國就適用範圍、與GDPR之關係、裝置追蹤、cookie規範等眾多問題無法達成共識而被迫擱置，延宕至今。好消息是，現階段已進展至歐盟執委會、歐盟理事會與歐洲議會的三方會談，協商內容為歐盟理事會所決定之2021年2月10日版本[1]（為第14份草案）；但另一方面，由於該草案仍有不少爭議，何時能完成立法依舊充滿變數。

如同GDPR取代1995年資料保護指令（Data Protection Directive），未來ePR通過後也將取代2002年隱私權指令（Privacy Directive），毋須經各會員國立法手續轉換，便能直接產生效力。

根據執委會的構想，「機密性」與「同意」是ePR不可或缺之兩大基石[2]：

從最新草案來看，ePR規範對象（Art.3）不僅涵蓋早期爭論焦點之OTT服務供應商（例如WhatsApp、Facebook Messenger、Skype等）[3]，也擴及更多服務類型，大致上包括：

但由於ePR立法遲滯多時，原本聚焦的OTT服務早在2020年12月已納入歐洲電子通訊法（European Electronic Communications Code）之適用範圍，以便落實部分規範[4]。

執委會認為，透過ePR此單一規範制度，將使歐盟境內所有人與企業之電子通訊共享相同保護水準：使用者能更有效管控垃圾郵件與行銷電話，且以便捷、透明的方式決定是否同意cookie（省去每次造訪網站時點擊cookie橫幅通知的困擾）。企業只要遵守明確規範，仍可在線上廣告繼續使用cookie及其他追蹤技術；一旦使用者同意處理通訊資料，傳統電信業者將有機會提供額外服務並開發新業務，例如根據個人足跡製作熱圖（heat map），協助政府機關與運輸業者擬訂基礎建設計畫。

不過，歐洲資料保護委員會（European Data Protection Board, "EDPB"）當初建議之獨立監管機關構想已不復存在，鑑於最終使用者控制權之監督事宜得移交給具相關專業知識的其他監管機關，未來企業可能需面臨不同機關的監管要求[5]。

GDPR僅限於保護個人資料，並未涵蓋企業間或個人間之通訊內容（個人資料除外），顯然ePR的適用範圍較廣，包含自然人與法人實體在內[6]。再者，相較於GDPR，ePR規範更為具體且以網路活動為主，因而其不僅用以補充GDPR，同時具備特別法之地位（lex specialis）而優先適用[7]。

EPR之所以能補充GDPR，原因在於其多處援引GDPR界定之術語及規範內容[8]。例如，GDPR有關自然人之同意亦準用於法人（Art.4a），且必須是以清楚肯定之行動，自由給予具體、知情且明確之意思表示。此外，ePR有關法律救濟、責任及處罰等規定也與GDPR雷同，例如行政罰鍰即參考GDPR第83條（Art.23），處罰金額為1000萬歐元或前年度全球總營業額之2%（以較高者為準），若是違規情節重大（例如未遵守通訊保密原則），罰鍰甚至可能高達2000萬歐元或前年度全球總營業額之4%。

就線上廣告而言，ePR帶來的恐怕並非利多、而是災難。IAB Europe即撰文批評[9]，該規則僅涉及在裝置層級同意資料分享，因而無法分辨資料使用係為合法或非法，也無法區分哪些網站運作與資料行銷密不可分；再者，簡化同意之表示固然有好處，但實際上可能導致大多數人拒絕同意，迫使數位生態系統中的大量資料流失，進而影響網路效能與使用體驗。當然，這必然會衝擊到高度倚賴資料運用的數位廣告產業——尤其是行為資料（behavioral data）——根據估算，歐盟高達5260億歐元的數位廣告收益可能因此攔腰折半，而賴此維生的企業（例如大多數報章雜誌）營運將更為艱難、甚至倒閉，最終勢必波及到公眾的知情權。

相對於營收銳減的恐慌與不滿，Privacy international反駁道[10]，廣告技術產業（AdTech）普遍以各種手段追蹤、監控及利用使用者的線上活動足跡與通訊內容，儘管隱私權指令要求予以保護，但侵權事件仍時有所聞；而如今，即使有意藉由ePR加強執法，也必須面臨企業遊說以及引進資料保存（data retention）立法的挑戰。

EDPB同樣提出抨擊[11]，認為草案第6b(1)(f)條（若採取加密或假名化等安全措施，可不必徵得同意而用於兼容性目的）以及第7(4)條（若為預防、調查、偵查或訴追犯罪及防範對公共安全之威脅，得不適用刪除或匿名化之原則）不僅破壞ePR的保護一致性、違反歐洲法院判例法，也等同為資料保存留下一道後門。

根據ePR草案第29條，規則於公告後20日生效且設有兩年過渡期間，但其究竟能否在2022年通過抑或再度延後，目前眾說紛紜。已經投注大量心血的法案鮮少被廢棄，立法只是時間早晚而已，然而，正如部分質疑所言，經過各界遊說及多次修改後，ePR最終恐怕難以秉持最初理想，共同守護GDPR所塑造的數位市場樣貌。

Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications), Interinstitutional File: 2017/0003(COD).
Digital Single Market – Stronger privacy rules for electronic communications, https://ec.europa.eu/commission/presscorner/detail/en/MEMO_17_17
Proposal for an ePrivacy Regulation, https://digital-strategy.ec.europa.eu/en/policies/eprivacy-regulation
Müge Fazlioglu, Next-gen privacy: Examining the EU’s ePrivacy Regulation, https://iapp.org/news/a/nextgen-privacy-the-eus-eprivacy-regulation/
Taylor Wessing, Cookies, TTDSG and ePrivacy Regulation: What can we expect in 2022 in terms of data protection in the online sector?, https://www.lexology.com/library/detail.aspx?g=125b3c74-c34a-4939-aa7a-0ee6904de6c5
Deloitte Nederland, ePrivacy Regulation: The current state of play, https://www2.deloitte.com/nl/nl/pages/risk/articles/eprivacy-regulation.html
同前註4
European Union: The ePrivacy Regulation: When And Why You Should Care, https://www.mondaq.com/cyprus/privacy-protection/806080/the-eprivacy-regulation-when-and-why-you-should-care
ePrivacy Regulation: the key questions answered, https://datadrivenadvertising.eu/impact-of-eprivacy-regulation/
ePrivacy, https://privacyinternational.org/learn/eprivacy
同前註5