Google就隱私權議題與美國FTC達成初步和解,消費者團體呼籲FTC採取更嚴厲的手段
今年三月底,Google與美國聯邦貿易委員會(Federal Trade Commission, FTC)就Buzz案達成和解。2010年時FTC控告Google Buzz未確實保護消費者的個人資料,侵犯了消費者的隱私權,違反「聯邦貿易委員會法」(FTC Act)以及美國與歐盟所訂定之「安全港架構協議」(U.S.-EU Safe Harbor Framework)。FTC表示,Google搭配在其Gmail中的網路社交服務Buzz,讓Gmail使用者誤以為其可以自主決定是否加入該社群,但事實上縱使Gmail使用者選擇不加入,也無法完全移除此項服務。甚者,選擇加入Buzz的消費者,亦無法找到明確的方式,控制其分享的個人資料。FTC控告Google未取得消費者的同意,將Gmail的資料(通訊錄名單)供社交網路使用,構成目的範圍外的使用。
依據Google與FTC和解內容,Google必須執行一套更為嚴謹的隱私權制度,不得再有誤導消費者其個人資料開放程度的行為,並且在爾後二十年都需接受獨立機構的隱私審查。初步和解內容開放30天(至2011年5月2日 )供社會大眾提供意見,之後FTC將提出最終和解內容。迄今為止,消費者團體提出的意見,包括要求FTC限制Google持有個人資料的時間,將隱私權保護制度適用到其所有的產品,對其儲存於雲端系統的個人資料進行加密動作,以及在進行個人資料蒐集前,應彈跳出視窗取得消費者同意等
值得注意的是,FTC在和解案中關於隱私權政策的客體所使用的語彙為「涵蓋資料」(covered information )而非「個人資料」(personal information),「涵蓋資料」所包含的範圍除了傳統的「個人資料」,尚包含IP位址、個人實體位址,以及通訊名單等等。
本案是FTC首度依職權要求業者採取更為嚴謹的隱私權保護制度以保障消費者權益,亦是FTC初次依「安全港架構協議」所採取的行動。本案對於線上服務的隱私權保護無疑是一大進展,但亦有論者擔心嚴苛的隱私權保護制度,反將造成小公司或新業者市場參進的障礙,愈發壯大Google的市場地位。
除此之外,Google的Buzz服務亦被消費者以集團訴訟提起告訴,最終和解金為850萬美元。
隨著Google成為搜尋引擎界的龍頭,其近年的一舉一動皆備受美國以及歐洲管理當局嚴密注意,今年二月份時,Google即時街景服務亦因不當蒐集個人資料而被法國裁罰14萬美元。
謝孟珊
資深法律研究員 編譯整理
FindLaw website, 2010年3月31日,http://news.findlaw.com/ap/high_tech/1700/03-30-2011/20110330083500_04.html ,最後瀏覽日:2011年04月22日
Infosec Island website, 2010年4月13日,https://www.infosecisland.com/blogview/12823-FTC-Privacy-Enforcement-and-the- Google-Buzz-Settlement.html,最後瀏覽日:2011年04月22日
YAHOO News, 2010年3月30日,http://news.yahoo.com/s/afp/20110330/pl_afp/usitcompanyprivacyinternetgoogleftc,最後瀏覽日:2011年04月22日
Network World website, 2010年4月21日,http://www.networkworld.com/2011/042111-groups-push-for-additions-to.html,最後瀏覽日:2011年04月22日
2014年Akamai Technologies針對最高法院提起上訴,因此發回聯邦巡迴法院重審,而後上訴法院認為Limelight Networks確實侵害Akamai的專利,Akamai並獲得$ 45.5萬美元的損害賠償。 2006年,Akamai Technologies公司(下稱Akamai)在美國馬薩諸塞州地方法院起訴Limelight Networks(下稱Limelight),指控Limelight侵害Akamai美國專利號6108703。原告Akamai的專利是有效傳送網頁內容的方法專利。而被告Limelight是經營伺服器網路的公司,和Akamai該專利的差別在於Limelight指示用戶完成其中一個修改的步驟。 本案從2006年一直持續到2014年向最高法院上訴為止,都是依據美國專利法第271條規定直接和間接侵權的概念。在原審認為「實施該方法專利」的侵權行為,是要求實施方要獨立完成該侵權行為,所以Limelight不能被視為直接侵權。又因為Limelight公司並沒有滿足單一實體規則(single-entity rule),控制或指示(control or direction)其實施方完成其他的專利之方法步驟,所以不用負共同侵權責任。 但上訴聯邦巡迴法院一致贊成Akamai被侵權,並指出如果被告 Limelight知道並使用專利權人Akamai的專利,而且執行大部分的步驟,只保留一項步驟未執行,進而引誘用戶執行該方法專利的最後一個步驟,且用戶真的執行了該最後一步驟, Limelight就構成美國專利法271(b)間接侵權中的引誘侵權。
英國資訊委員辦公室(ICO)發布沙盒執行過程中所觀察到的關鍵議題2019年9月英國資訊委員辦公室(Information Commissioner's Office, ICO)啟動沙盒計畫(ICO Sandbox)測試階段(beta phase),由ICO所選10個測試專案,透過解決當今社會問題,例如如何減少暴力犯罪、大學如何促進學生的心理健康、新技術如何改善醫療保健等,期能促進公眾利益。 各專案在滿足創新性和可行性前提下,同時也面臨著複雜的資料保護議題,因此ICO持續與各專案溝通,提供其應用現有個資保護指引之建議,如歐盟一般資料保護規則之資料保護影響評估指導文件(Guide to the GDPR - Data protection impact assessment)、資料保護自我評估工具包(Data protection self-assessment toolkit)等。自2019年3月底開始(受理申請)迄今,ICO沙盒執行過程中所觀察到的關鍵議題如下: 公部門資料應用效益:部份參與者正在克服與公部門進行歷史資料共享,或是如何整合應用大數據等。個人資料與新技術應用,必須與資料主體的權利和自由進行權衡。 同意:確保各方對於「同意」(Consent)之理解,以弭平差異,同時向公眾提供透明資訊。 新技術的挑戰:應用語音生物辨識(voice biometrics)、臉部辨識技術(facial recognition technology, FRT)等,需要在適當基礎上處理特殊類別資料。 資料分析(Data analytics):以符合資料保護的方式進行資料分析,處理特殊類別資料的適法性,評估處理過程中的風險,並檢查可能用於資料分析的資料來源,確保符合目的之應用。 未來的6個月,ICO將持續與各專案合作,使其為有效的解決方案,為公眾提供創新合規之產品與服務,並成為未來結合資料保護和創新應用之規劃藍圖,以奠定隱私保護的基石。
電子投票機制及法律議題之研究 華碩因路由器資安漏洞遭起訴一案與美國聯邦貿易委員會達成和解美國聯邦貿易委員會(Federal Trade Commission, FTC)於2014年間以路由器(Router)與雲端服務的安全漏洞,導生消費者面臨資安與隱私風險之虞,而依據《聯邦貿易委員會法》第5條(Federal Trade Commission Act, 15 U.S.C. § 45(a))委員會防止不公平競爭違法手段(unfair methods of competition unlawful ; prevention by Commission)之規定,即華碩涉嫌行使不公平或詐欺的手段致影響商業活動之公平競爭為由,對我國知名全球科技公司華碩電腦股份有限公司(ASUSTeK Computer, Inc.)進行起訴 。 本案歷經FTC近二年的調查程序後,華碩公司於2016年2月23日同意FTC的和解條件,即華碩公司應針對部分存在資安疑慮的產品依計畫進行改善,並且於未來20年期間內須接受FTC的獨立稽核(independent audits)。 FTC於該案的起訴報告中指出,華碩於銷售其所生產的路由器產品時,曾對消費者強調該產品具許多資安保障措施,具有得以防止使用者不受駭客攻擊等效果;然而,該產品實際上卻具有嚴重的軟體設計漏洞,使駭客得以在使用者未知的情況下,利用華碩路由器的網頁控制面板(web-based control panel)之設計漏洞,任意改變路由器的安全設定;更有專家發現駭客於入侵華碩製造之路由器產品後,得以強佔使用者的網路頻寬。 此外,華碩允許使用者沿用路由器產品的預設帳號密碼,再加上華碩所提供的AiCloud與AiDisk雲端服務功能,讓使用者得以隨身硬碟建立其私有的雲端儲存空間,使得駭客得藉由上述華碩路由器的設計漏洞直接竊取使用者於隨身硬碟內所儲存的資料。FTC並於起訴聲明中指出,駭客利用華碩路由器產品與相關服務的漏洞,於2014年間成功入侵超過12,900多位產品使用者的雲端儲存空間。除此之外,使華碩更加備受譴責的是,當該漏洞被發現之後,其並未主動向產品的使用者強調產品存在該資安問題,更未告知使用者應下載更正該設計漏洞的軟體更新,因此FTC始決定對華碩進行起訴。