Google個資隱私權政策違反歐洲資料保護指令,六國將聯合採取法律途徑
2012年3月Google將世界各地總共60個相異的個人資料隱私權政策統一後,即受到歐盟個人資料保護機構「第29條工作小組」的關注,該小組認為Google修訂後的個人資料隱私權政策違反歐洲資料保護指令(European Data Protection Directive (95/46/CE)),將難以讓使用者清楚知悉其個人資料可能被利用、整合或保留的部分。同時,Google亦可能利用當事人不知情的情況下,大量利用使用者個人資料。因此,2012年10月歐盟要求Google在4個月內對該公司的個人資料隱私權政策未符歐盟規定者提出說明,惟至今Google仍無回應。因此,歐洲6個國家,包括法國、德國、英國、義大利、荷蘭及西班牙的個資監管機構,將聯合審視Google的個人資料隱私權政策是否違反各國的法律,並依據各國法律展開後續措施,如鉅額罰款等。法國之資訊自由國家委員會(Commission nationale de l'informatique et des libertés,簡稱CNIL)率先表示,若Google於4月11日前未改善其資料隱私權政策,法國將首先採取法律行動。然Google對此僅簡單回應,表示其資料隱私政策尊重歐盟的法律,且可以讓Google提供更簡單、更有效率的服務。
- Six EU nations challenge Google on privacy, TECH2, April 04 2013
- Privacy update - EU launches enforcement against Google, LEXOLOGY, April 03 2013
- EU threatens ‘substantial toll’ for Google data breaches, TRAVOLUTION, April 03 2013
- Google and privacy: 6 EU countries take action, BLOOMBERG BUSINESSWEEK, April 02 2013
- Google must defend privacy policies to 6 European agencies, TECHHIVE, April 07 2013
- Six EU Countries Take Legal Action Against Google Over Privacy, INTELLECTUAL PROPERTY WATCH, April 04 2013
歐洲法院(European Court of Justice)於2011年9月6日作出一項指標性的判決,係針對蜂蜜或食物補充品(Food Supplement)中,若其花粉成分受到基因改造作物之污染,則無論該污染是有意或無意所造成者,未經審核前均不得任意販售。據此,蜂蜜或食物補充品的生產者得就因不得販售所產生之損失向污染源或政府求償。 該案原為德國的養蜂人認為其生產之蜂蜜中的花粉受到鄰近距離五百公尺的基因改造農作物試驗之污染,而該試驗即為巴伐利亞政府所核准之基因改造農作物試驗(1998年EU核准的MON 801 maize),故而對巴伐利亞政府提出求償。原德國法院在不能確定蜂蜜是否涵蓋在基因改造規範的情況下,轉而尋求歐洲法院的判決。 該判決等於是挑戰歐盟現有的對於傳統作物及基因改造作物共存的政策與法規(GMO, Co-Existence),歐盟就該共存的門檻標準設定在0.9%,若產品含基因改造成分0.9%以上,需標示為基因改造產品,惟標示為基因改造食品對於傳統農作物之種植可能帶來銷售上的不利。而在共存門檻之下,含有基因改造成分的傳統農作物還是有可能因含有基因改造的成分而影響銷售並帶來損失;又因在共存門檻之下,作物含有基因改造成分是無法向政府或是來源求償的。另一方面,該判決亦影響出口蜂蜜至歐盟的國家,如大量生產蜂蜜且核准種植基因改造作物的阿根廷等國家。 對於基因改造食品採取保守態度的歐盟,近年來有意將是否禁止基因改造農作物以及共存門檻的比率下放給成員國自行決定,在成員國間形成兩極化的意見,而該項提案目前雖已經歐盟議會背書,但尚未由各成員國通過。這樣的判決令共存門檻的制度形同具文,且可能會使更多國家傾向禁止種植基因改造農作物,而不利於基因改造科技的研發。
英國資訊委員辦公室(ICO)進行監理沙盒初步公眾意見徵詢英國資訊委員辦公室(Information Commissioner's Office, ICO)2018年9月就監理沙盒為初步公眾意見徵詢,以瞭解其可行性。ICO監理沙盒之建立係依據英國2018-2021年科技策略(Technology Strategy for 2018-2021),並參考英國金融行為監理總署(Financial Conduct Authority, FCA)已成功發展之沙盒機制。ICO將提供組織於安全可控且不排除資料保護法規適用的環境下,以創新方式應用個資於開發創新產品與服務,並提供關於降低風險與資料保護設計(data protection by design)的專業知識和建議,同時確保組織採取適當安全維護措施。徵詢重點分為六部分: 障礙和挑戰(Barriers and Challenges):歐盟一般資料保護規則(General Data Protection Regulation, GDPR)或英國2018年資料保護法(Data Protection Act 2018, DPA18)之適用,以及ICO之監管方法,是否造成組織以創新方式應用個資於開發創新產品與服務之障礙或挑戰。 適用之可能範圍(Possible scope of an ICO Sandbox) 了解參與益處(Understanding the benefits of involvement) 機制(Sandbox mechanisms):於監理沙盒機制下不同階段提供指導,初期就如何解決資料保護相關問題提供非正式之指導(informal steers);中期提供法律允許與具適當保護措施之監管指導,如對參與者進入沙盒期間內非故意違反資料保護原則之行為,不會立即受到制裁之聲明函(letters of comfort)、確認組織未違反相關資料保護法規等;以及針對新興技術和創新特定領域,提供解決資料保護挑戰之預期指導(anticipatory guidance),如訂定相關行為準則(code of conduct)。 時機(Sandbox timings):包含開放申請進入沙盒時點、進入模式、是否彈性因應產品開發週期、測試階段期間等。 管理需求(Managing Demand):如設定優先進入沙盒領域、類型、設定參與者數量上限等。 該諮詢於10月12日結束,2018年底將公布結果,值得持續追蹤,以瞭解ICO監理沙盒未來之發展。 ICO亦接續於10月建立監管機關業務和隱私創新中心(Regulators’Business and Privacy Innovation Hub),與其他監管機關合作提供資料保護之專業知識,以確保法規與未來的技術同步發展;該中心也將與ICO監理沙盒共同推動,支持組織以不同方式使用個資開發創新產品和服務。
PayPal 要求電子信箱服務提供業者封鎖未附有電子簽章的信件E-bay集團旗下的線上付款服務公司PayPal的代表律師Joseph E. Sullivan 於三月二十七日在倫敦舉辦的第五屆國際網路犯罪討論會議( International E-Crime Congress )中,提案要求電子信箱服務提供業者透過封鎖未附有電子簽章(Digital Signature)信件之方式,減少網路釣魚騙局(Phishing)的產生。該提案主要目的在透過電子信箱服務提供業者過濾垃圾郵件篩選系統( Spam Filters),以防堵看起來幾可亂真的網路釣魚郵件。雖然參與該國際網路犯罪討論會議的業者及政府機構並未對該提案達成共識,但是PayPal公司已和Google公司旗下的電子信箱服務Gmail達成協議,加強過濾垃圾郵件的篩選。 PayPal 是最常被詐騙集團利用偽裝郵件(Spoofing Emails)的受害公司之一,目前詐騙集團以偽裝公司郵件的技術進行網路釣魚,以騙取個人資料或帳號密碼來謀利。Paypal目前已使用數項電子簽章的安全技術,其中包括Yahoo!公司所研發的網域認證鑰匙(DomainKeys),該技術能有效地判斷寄件者的網域(Domain)是否為偽造及寄出信件是否來自偽造的網域。 目前網路釣魚的網站如雨後春筍般地出現,根據一份由國際業者及政府機構聯合提出之「反網路釣魚世界組織」(Anti-Phising World Group)報告指出,統計至今年一月份為止,全世界的詐騙網站已高達兩萬九千九百三十個。故PayPal特別對反制網路詐騙集團利用即可亂真的網路釣魚郵件,將上述提案於國際會議中提出討論 。