GDPR 常見問題

瞭解有關 GDPR 的常見問題。以下說明僅供參考,不構成專業法律建議。請諮詢獨立法律建議,以針對您國家/地區及情況取得所需資訊。

為什麼 Shopify 未在結帳時顯示「同意《條款與條件》和《隱私政策》」核取方塊?

Shopify 已謹慎檢閱過 GDPR,我們平台的設計不僅能為商家提供最好的電子商務體驗,而且完全遵循如 GDPR 這類的隱私法及資料保護法規定。

若能透過合宜妥當的方式向客戶取得明確、肯定的資料處理同意聲明,除了可以讓資訊透明化,也能藉此獲得客戶的信任。然而,若是方式不當,同意核取方塊對客戶而言可能會徒增困擾、造成雙方期望落差,甚至為商家帶來有關 GDPR 的法律問題。基於上述考量,我們決定維持目前的結帳工作流程,不加入「同意《條款與條件》和《隱私政策》」核取方塊。

特別是 GDPR 已清楚指出,商家可基於許多理由收集和處理客戶個人資料,包括客戶已提供其知情同意聲明的情況下也是如此。然而,GDRP 亦指出在許多情況下,可能必須獨立於客戶同意聲明另外處理個人資料,例如:

商家透過各種方式處理客戶資料時,可能會仰賴這些相關法律依據。例如,商家可能需要使用客戶運送地址,才能實際出貨訂單並完成商家與客戶之間的合約。另外一個例子是,商家收到傳票或面臨稅務稽核時,也必須按法律要求處理個人資料。此外,商家也可能基於許多其他法律利益而處理個人資料。

與此同時,歐盟監管機構已明確表示,在這些各種正當理由中,同意聲明最為重要。特別是監管機構已指出,一旦商家因特殊目的要求處理資料的同意聲明後,即不得再以上述法律理由為依據 (例如:合約或法律利益)。此外,監管機構亦提出告誡,商家不得以提供商品或服務為條件,強迫取得同意聲明。

這又為何重要?試想,如果商家真的在結帳程序加入「同意《條款與條件》和《隱私政策》」核取方塊,會發生什麼情況?如果客戶未選擇同意,或如果客戶同意之後又撤銷 (這是 GDPR 賦予個人的權利),商家就無法再依據上述其他正當理由處理個人資料。如此一來,在 GDPR 的規定下,商家可能就會陷入困境,既不得合法處理客戶的個人資料,也無法處理或出貨訂單。然而,若是商家修改結帳程序,強制客戶勾選此核取方塊才能完成交易,這樣又會形成同意聲明是獲取商品或服務的先決條件,一開始便不符合 GDRP 的規定而無效。

這種複雜性導致許多監管機構特別提醒,在不適用的情況下,得不要求或仰賴同意聲明。例如,英國資訊委員會辦公室已建議

「當您可提供實際選擇權並讓使用者控管您使用資料的方式,且您想獲取使用者信任並吸引其互動,此時便適合徵詢同意聲明;但如果您無法保證提供選擇權,同意聲明便不適用。若您在未取得同意聲明的情況下仍可處理個人資料,則要求使用者提供同意聲明將會產生誤導效果,且本質上亦不公平。

假使您要求使用者必須勾選同意聲明才能取得服務,如此便不是最恰當的法律基礎。

除非有把握能讓個人依自由意志提供同意聲明,否則可控管個人權利的公共機關、雇主及其他組織應避免仰賴同意聲明。」

我們希望儘可能支援商家並協助其避免法律後果等相關問題;而同時我們亦瞭解商家想要獲取客戶信任的心情。因此,我們會確保商家在「購物車」頁面 (非「結帳」頁面) 新增「接受《條款與條件》」核取方塊。若要深入瞭解相關做法,請參閱我們的說明文章。

為何我不能與 Shopify 簽署「資料處理協議 (DPA)」?

GDPR 要求資料處理者與每位資料控管者簽訂書面合約 (其包括電子形式的合約),以便處理個人資料。這些合約應指明將處理的個人資料,以及處理者和控管者的義務和權利。這些合約通常稱為「資料處理協議 (DPA)」。基本上,DPA 協議是指 Shopify 將僅以商家指定的方式處理其所獲得的個人資料,因為商家才是資料的控管者。

為出貨此要求,Shopify 已在《服務條款》中加入「資料處理附加條款」(其稱為「附加條款」而非「協議」係因相關項目是附加到《服務條款》,本身並非協議)。

身為商家,您註冊 Shopify 服務時即已同意《服務條款》及延伸的「資料處理附加條款」;且您繼續使用服務亦代表您同意《服務條款》的任何更新 (例如:我們在服務條款中新增了資料處理附加條款,亦屬更新)。

請注意,《服務條款》受加拿大安大略省法律之約束,而非您所在地區的管轄法律。因此,儘管其他區域法律 (如:GDPR) 可能涵蓋您的業務及處理資料方式的規定,亦可能要求您與服務供應商 (如:Shopify) 簽訂具有約束力的合約,但這些區域法律不一定會規定合約是否應具約束力。針對您與我們簽訂的合約,DPA 是否為具約束力的合約應由加拿大安大略省法律判定。

因此,即使您的管轄區法律要求應簽署如 DPA 的合約,其亦可能不影響您的 DPA。根據加拿大安大略省法律,我們認為您在 Shopify 更新條款後繼續使用服務,即已代表 Shopify 與您都受到修訂後的新版《服務條款》之約束。若您繼續使用 Shopify,我們雙方即已簽訂具約束力的合約,其中包括依 GDPR 規定而新增的「資料處理附加條款」。

如果我還有其他有關 GDPR 或當地隱私法的問題,應該怎麼做?

請諮詢專攻隱私法或資料保護法的當地律師。

如果我想瞭解更多有關 Shopify 實務的資訊,應該與誰聯絡?

請傳送電子郵件至 privacy@shopify.com,取得有關 Shopify 實務的詳細資訊。

如果我使用 Shopify 代管商店,我的業務是否就會遵循 GDPR 規定?

不盡然。儘管 Shopify 確保一切營運將遵循 GDPR,並提供工具協助其商家遵循法規,但各商家仍有責任確保其業務之營運符合所在管轄區的法律。

單純使用 Shopify 平台並不保證公司能遵循 GDPR。

Shopify 會簽署「標準合約條款」嗎?

不會。誠如我們白皮書 (英文版)「資料傳輸」一節所述,Shopify 已建構其資料流程,可讓商家將資料傳輸到歐洲境內 Shopify 的愛爾蘭關係企業。「標準合約條款」是針對歐洲方與非歐洲方之間的資料傳輸協議核准的條款,因此並不適用。

此外,關於直接傳輸至 Shopify Inc. 的資料,Shopify 將依據歐盟委員會關於加拿大隱私法之充分決定,其將延伸適用至做為加拿大公司的 Shopify Inc.。

準備好開始透過 Shopify 銷售商品了嗎?

免費試用