摸索個人blog如何適應歐洲私隱法規(GDPR)

Credit: Convert GDPR

參考閱讀:
網絡行動 — GDPR 與台灣的非營利組織
bf RED — GDPR & Cookies (with Milk!)
Adrian Jock — How to Embed YouTube Videos Without Breaking GDPR Rules
Cookiebot — Is my use of Google Analytics GDPR and ePR compliant?

前文《WordPress PageSpeed 速度優化分享》提及筆者在 Wordpress blog 瘦身的同時,發現其實無論個人網站自身如何清除用戶追蹤,仍然難免網站上會出現第三方的用戶追蹤。例如使用 Google Analytics 分析網站流量,或插入 YouTube 影片,或插入任何其他網站的插件(例如LikeCoin),這時那些第三方的用戶追蹤就會出現在個人網站上。

今年上半年出台的歐洲私穩法規(General Data Protection Regulation,GDPR),是目前對網絡私隱保障最嚴謹的法規。别以為我們遠在亞洲就可以置身事外,嚴格而言凡是會接觸歐盟公民個人資料的網站,都受此規則監管。雖然實際上一般人都相信歐盟主要是針對商業機構或大型組織,但為了保障自己,還是建議大家了解一下。

行文至此,我得先做好讀者期望管理:並沒有一個簡單的 plugin 能讓閣下的網站輕易地符合 GDPR。說實話,由於筆者並非專長於法律,在讀了不同來源的資訊後,對於如何確保個人網站符合GDPR法規,仍是一知半解。筆者決定採取較保守的方法,下文僅分享一下我的理解及做法,同時亦懇請大家指教一下。

聲明:此文並不構成法律意見。如有需要,請向專業法律人士諮詢。

為何沒有簡易符合GDPR的方法?

過去半年,大家都會發現大小網站都陸續加上使用cookies收集個人訊息的聲明,這是訂立GDPR一般人最常接觸到的改變。但要令自己的網站符合 GDPR,就並非只是顯示條款又讓讀者按 Agree 那麼簡單。網站除了要讓用戶知道有否使用cookies追蹤用戶,說明各cookies的用途及必要性,以及提供個人私隱條款與進一步私隱查詢聯絡方法外,還需要處理用戶的訴求。包括(一)當用戶拒絕個人資料採集時,網站需要以不採集個人資料的模式繼續運作,(二)能夠應用戶要求删除網站所收集的個人訊息。(現時一些網站還能夠按用戶要求提供該網站所收集的個人訊息,但這個似乎並非GDPR的硬性要求。)

第一點涉及blog上所有使用的插件及插入過的第三方內容,尤其是多媒體內容,所以必需要注意。現今有不少網絡服務已支持不採集個人資料的運作模式(e.g. YouTube, Google Analytics),需要網站擁有人逐一檢視網站上出現過的第三方cookies(下文會介紹免費 cookies scanner),再看看該插件能否按需求而關閉cookie。但部份插件仍然無法關閉,例如此 blog 加入了 LikeCoin plugin,而 LikeCoin 沒有提供 no cookies 選項。因此,筆者採用最徹底的方式:如果讀者在 cookies popup 按「Reject」,就直接離開本站

而對於第二點,由於筆者已全面移除此blog的所有網絡跟蹤,所以需要考慮的問題較少。唯一帶個人訊息的是帳戶註册,若然有讀者要提取或修改其註册訊息,直接登入帳戶即可。

此Blog的做法介紹

接下來將會分享一下此blog的做法:

一:進行cookies掃瞄

首先,利用一些免費的 cookies 掃瞄服務(例如 Cookiebot),掃瞄一下網站上有那些 cookies,並保存掃瞄結果。

二:設立用戶私隱政策頁面

新增一個個人私隱聲明頁面,參考其他網站的聲明及根據自己的情況,說明自己網站的私隱訊息處理手法,收集目的等等。頁面上同時附上第一步的 cookies 掃瞄報告,完成後别忘記將頁面加在選單或頁底。

三:設置彈出cookies許可確認

Wordpress有很多類似的外掛,筆者選擇了 GDPR Cookie Consent。安裝後,可以設定彈出的位置,修改聲明字眼,以及設定 Agree,Reject 及 Read More 的動作。由於筆者採取最保守的做法,所以就把 Reject 設定為轉到外部網站去。而 Read More 就指到上面第二步建立的頁面。

General可以設定彈出方式
Customized Cookie Bar 頁面可以修改顯示字句
Customized Buttons 可以設定每個選項的動作
筆者將 Reject 指向外部網站
進階一點的話,可以將 cookies 逐一輸入在 cookies list,然後再進一步控制。但對於一般個人網站而言則嫌太繁複,因此略過。

由於筆者並非法律專業,以及要完全符合GDPR需要有頗多網頁技術要處理,所以無法給各位一個簡易讓網站符合GDPR的方案。如果各位有任何意見及經驗,歡迎分享一下。


Originally published at 死火手記.

如果您喜歡此文章,只需要在下方按幾下Like,就可以幫助筆者由LikeCoin獲得獎勵,化讚為賞,感謝!