AT&T 控告資料掮客非法竊取客戶通話紀錄

法國國家資訊與自由委員會（Commission Nationale de l’Informatique et des Libertés, CNIL）於2025年9月1日針對一起由歐洲數位權利中心（noyb - The European Center for Digital Rights）提出的申訴做成決議，指Google未經Gmail使用者同意，將廣告偽裝為電子郵件進行「偽裝廣告」（Disguised Ads）投放，以及在對Gmail使用者投放個人化廣告前，未能於Gmail帳號申請流程中提供當事人提供較少cookies、選擇非個人化之通用廣告（generic ads）的選項，違反了《電子通訊法》（code des postes et des communications électroniques）與《資訊與自由法》（loi Informatique et Libertés）中關於歐盟《電子隱私指令》（ePrivacy Directive）之施行規定，對Google裁處了3.25億歐元的罰鍰，並要求改善。以下節錄摘要該裁決之重點： 一、 偽裝成電子郵件的偽裝廣告與電子郵件廣告均須獲當事人同意始得投放 歐盟《電子隱私指令》第13條1項及法國《電子通訊法》規定，電子郵件直接推銷（direct marketing）僅在其目標是已事先給予同意的使用者時被允許。CNIL，依循歐盟法院（CJEU）判例法（C-102/20）見解，認為若廣告訊息被展示在收件匣中，且形式類似真實電子郵件，與真實電子郵件相同位置，則應被認為是電子郵件直接推銷，須得到當事人之事前同意。因此，CNIL認定偽裝廣告即便技術上不是狹義的電子郵件，僅僅因其在通常專門用於私人電子郵件的空間中展示，就足以認為這些廣告是透過使用者電子郵件收件匣傳遞的廣告，屬於電子郵件廣告，而與出現在郵件列表旁邊且獨立分開的廣告横幅不同，後者非屬電子郵件廣告。 二、 Cookie Wall下當事人的有效同意：「廣告類型」的選擇、服務申請流程的隱私設計與資訊透明 CNIL參酌歐盟個人資料保護委員會（European Data Protection Board, EDPB）第2024/08號關於「同意與付費模式」意見，認為同意接受廣告在特定條件下得作為使用Gmail服務的條件。換言之，以「cookie wall」（註：拒絕cookie的蒐集即無法獲得服務之網站設計）取得之當事人「同意」，非當然不自由或無效。CNIL認為，在免費服務的框架下，cookie wall在維持提供服務與服務成本之間的經濟平衡上，要求服務申請者須接受投放廣告的cookie是合法的。惟CNIL認為，這不代表Google可以任意決定所蒐集的cookies和相應廣告模式的類型。 CNIL要求，當事人在cookie wall的框架內仍應享有選擇自由，才能取得蒐集為投放個人化廣告之cookies的當事人有效同意，亦即：在個人化廣告處理更多個資和對當事人造成更多風險的情況下，當事人應被給予機會選擇「等值的替代選項」，亦即通用廣告，並完全且清晰地了解其選擇的價值、範圍及後果。 然而，CNIL發現，Google將與廣告個性化相關的cookies拒絕機制設計得比接受機制更複雜，實際上阻礙了使用者拒絕隱私干預程度更高的cookies。這種拒絕途徑偏袒了允許個人化廣告的cookies的同意，從而影響了當事人的選擇自由。CNIL也發現，Google從未以明確方式告知使用者建立Gmail帳戶時面臨cookie wall，以及對此使用者享有甚麼選擇，而其提供的資訊更引導使用者選擇個人化廣告，導致選擇一般廣告的機會遭到犧牲。 三、 為何不是愛爾蘭資料保護委員會（Data Protection Commission, DPC）管轄？ GDPR設有「單一窗口機制」，依據該合作機制，對Google進行的GDPR調查，應由作為主任監管機關（Lead Supervisory Authority）的愛爾蘭DPC管轄。惟在本案，CNIL認為並不適用於單一窗口機制。因為與cookies使用及電子推銷相關的處理並非屬於GDPR範疇，而是適用電子隱私指令，CNIL對法國境內的cookies使用及電子推銷處理享有管轄權。此爭議反映出即便GDPR旨在確保標準化單一市場內的數位管制，但尚不足以弭平成員國間監管強度之差異。

　　歐洲理事會在2022年10月5日公告歐盟加密資產市場監管法（The Markets in Crypto Assets regulation bill, MiCA）草案最終條文內容，此份草案已經歐洲議會眾議員通過並提交歐洲議會經濟貨幣事務委員會（European Parliament Committee on Economic and Monetary Affairs），MiCA將於2023年年初公告於歐盟官方公報，並於2024年生效施行。MiCA屬於歐盟數位金融政策（Europe’s Digital Finance Strategy）之一環，立法目的為統一多種加密代幣（crypto token） 發行和交易的法規架構，以保護加密代幣使用者和投資人權益，為歐盟金融法規未涵蓋的加密資產（如：穩定幣）提供法律確定性，及建立歐盟層級的統一規定。值得注意的是，相關規定歐盟目前並未排除適用於非同質的加密貨幣（non-fungible tokens, NFT）。 　　草案前言第6c點明文，不應考慮「獨特且非同質的加密資產」（unique and non-fungible crypto-asset）的小部分獨特性和非同質性，因為大量以一系列NFT形式發行加密資產應認定是具備同質性（fungibility）之指標。從而，未來在歐盟發行NFT將適用MiCA規定，包含： 　　一、適用傳統金融機構資金轉帳規則（travel rules），如：確保加密資產交易可被追蹤、得封鎖可疑交易等以達到防制洗錢與打擊恐怖主義融資之目的。 　　二、NFT作為一種加密資產，該服務供應商必須確認加密資產來源，確保加密資產並未涉及洗錢或恐怖主義融資之風險。 　　三、應透過NFT服務供應商協助，才能進行用戶間交易和轉帳。

有鑑於加密資產（crypto-asset）投資交易潛在風險與市場波動性，美國聯邦準備理事會（Federal Reserve Board）、聯邦存款保險公司（Federal Deposit Insurance Corporation, FDIC）與通貨監理局（Office of the Comptroller of the Currency, OCC）於2023年2月23日發布聯合聲明，提出加密資產增加銀行流動性風險情境，例如穩定幣因市場狀況之變動，導致銀行擠兌使大量存款流出，由於存款流入和流出的規模與時間的不可預測性，加密資產相關資金恐造成流動性風險提高，提醒銀行機構應用現有的風險管理原則審慎因應。 依據聲明內容，有效風險管理作法包括：（1）了解加密資產相關實體存款潛在行為的直接和間接驅動因素，以及這些存款易受不可預測波動影響的程度；（2）銀行機構應積極監控加密資產資金來源存在的流動性風險，並建立有效的風險管理控制措施；（3）應與加密資產存款相關的流動性風險納入應變計劃（contingency funding planning），例如流動性壓力測試；（4）評估加密資產相關實體存款之間關聯性。該聲明並強調銀行機構應建立風險管理機制及維持適當有效之內部控制制度，以因應加密資產高流動性風險，確保經濟金融穩健發展。

　　歐盟執委會（European Commission）設有6區域中小企業智慧財產服務台（IP SME Helpdesk），其中歐洲智慧財產服務台（European IP Helpdesk）以及中華區小企業智慧財產服務台（China IP SME Helpdesk）於2022年9月聯合推出「網路犯罪與營業秘密保護指南」（Cybercrimes and trade secret protection : guide，下稱本指南），最大特色之處即在企業如何回應營業秘密遭網路竊取時之事後應對手段。 　　中華區中小企業智慧財產服務台透過提供免費資訊服務，支援歐盟（EU）中小企業（SME）在中國大陸、香港、澳門和臺灣保護和執行其智慧財產權（IPR），陸續發布如2020年「保護你在中華區的營業秘密」（Protecting your trade secrets in China）等一系列指導企業如何於中華區保護智財之指南。 　　本指南首先揭示企業營業秘密之事前保護手段，包括(1)技術手段：加強網路安全（加密資料、安裝防毒軟體、辨識雲端風險、制定網路安全策略）以及利用區塊鏈技術作為資料、證據保存的手段；(2)內外部人員管制手段：內部員工培訓與管理、第三方（市場、競爭對手）監控。而營業秘密遭竊之事後應對手段，包括(1)回應手段：確認資訊外洩原因、建立緊急處理機制（回報、蒐證流程）、採取法律步驟；(2)回復手段：控制損害（端視營業秘密是否被公開而有不同做法）、亡羊補牢（重新檢視企業智財布局、資安措施、緊急處理計畫），對於在中華區之企業，本指南作法具參考價值之外，資策會科法所發布之營業秘密管理指針2.0版亦可同步參考。 　　本文同步刊登於TIPS網站（https://www.tips.org.tw）