Google被控不當蒐集蘋果公司Safari瀏覽器用戶的個人資料
案件緣於Judith Vidal-Hall等三人對Google提告,主張Google規避蘋果公司Safari瀏覽器預設之隱私設定,在未取得用戶同意前,逕行使用cookies追蹤其網路活動,蒐集瀏覽器產生的資訊(the Browser-Generated Information, or ‘BGI’),並利用其對用戶發送目標廣告。原告認為這些作法可能使用戶的隱私資訊被第三人所探知,而且與Google保護隱私之公開聲明立場相違。此案於2015年3月27日由英國上訴審法官做成判決,並進入審理程序(裁判字號:[2015] EWCA Civ 311)。
本案主要爭點包含,究竟用戶因使用瀏覽器所產生的資訊是否屬於個人資料?濫用隱私資訊是否構成侵權行為?以及在沒有金錢損失(pecuniary loss)的情形下,是否仍符合英國資料保護法(Data Protection Act 1998)第13條所指損害(damage)的定義,進而得請求損害賠償?
法院於判決認定,英國資料保護法旨在實現「歐盟個人資料保護指令」(Data Protection Directive,95/46/EC)保護隱私權的規定,而非經濟上之權利,用以確保資料處理系統(data-processing systems)尊重並保護個人的基本權利及自由。並進一步說明,因隱私權的侵害往往造成精神損害,而非財產損害,從歐洲人權公約(European Convention of Human Rights)第八條之規定觀之,為求對於隱私權的保障,允許非財產權利的回復;倘若限縮對於損害(damage)的解釋,將會有礙於「歐盟個人資料保護指令」立法目的的貫徹。
法院強調,該判決並未創造新的訴因(cause of action),而是對於已經存在的訴因給予正確的法律定位。從而,因資料控制者(data controller)的不法侵害行為的任何損害,都可以依據英國資料保護法第13條第2項請求損害賠償。
本案原告律師表示:「這是一則具有里程碑意義的判決。」、「這開啟了一扇門,讓數以百萬計的英國蘋果用戶有機會對Google提起集體訴訟」。原告之一的Judith Vidal-Hall對此也表示肯定:「這是一場以弱勝強(David and Goliath)的勝利。」
註:Google 在2012年,曾因對蘋果公司在美國蒐集使用Safari瀏覽器用戶的個資,與美國聯邦貿易委員會(United States Federal Trade Commission)以2,250萬美元進行和解。
臉書(Facebook)於今年11月底與美國聯邦貿易委員會(FTC)就2009年的隱私權控訴案達成和解。該控訴案指出「臉書欺騙消費者其在臉書上的資訊可以保持隱私,然而卻一再任這些資訊被公開分享與使用」。舉例而言,在2009年12月,臉書改版時未預先通知使用者進行設定,導致使用者的朋友名單被公開。除此之外,擁有全球8億用戶的臉書,允許廣告商在臉書使用者點選廣告時,蒐集其個人身分資訊。另外,縱使臉書的使用者將帳戶刪除,其照片等等影音資料仍能夠被該公司讀取。臉書的這些行為被聯邦貿易委員會指出,這是不公正的詐欺行為(unfair and deceptive)。 聯邦貿易委員會最終與臉書達成和解,未施加任何罰緩,也未指控臉書蓄意地違反任何法規。依照和解內容,臉書必須要在接下來的二十年內,每兩年一次受獨立公正第三人稽核其隱私保護措施。但假設臉書在未來違反了這些和解條款,臉書將被處以每行為每日16,000美元的罰緩。推特(Twitter)以及谷歌(Google)近來也與聯邦貿易委員會達成了類似的協議。 聯邦貿易委員會要求臉書必須要取得使用者「確切的同意」才可以變更其本身的隱私使用設定。比如說,假設使用者設定某些內容只能供「朋友」讀取,臉書就不能夠把這些內容提供給「朋友」以外的人,除非取得使用者的同意。
Apple獲得針對可攜式電子裝置之防竊系統的專利Apple Inc.成功取得一個防竊安全系統的專利權,該系統能簡單地藉由偵測外界環境而防止筆記型電腦、電話以及其他可攜式電子裝置遭竊。 於原始申請案中,申請人提到了許多竊案皆提供了某些非偶然的移動線索,例如快速且持續的移動。因此,藉由分析該裝置於一段期間內的移動,該防竊系統應可辨別出竊盜或合法使用者。因此,當使用者暫時離開時,他們能放心地將可攜式電子裝置留下,而不需要加裝纜線鎖或其它物理性安全裝置。 根據該專利,此防竊系統包含加速規(accelerometer)以及相對應的軟體。加速規可在某些位置或震動情況下自動傳送一訊號至該裝置核心的硬體,致使其觸發聲音或影像警報。此外,該裝置也能完全被鎖住,並且需要一組密碼使其回復到正常使用狀態。 雖然Apple很小心地避免在說明前述機制時指明特定的應用硬體,但藉由該專利說明書的描述,可以很清楚的了解Apple的構想是將該防竊系統安裝在iPod上。當然,手機以及筆記型電腦也是安裝該防竊系統的顯著標的。
美國廢止FCC對ISP之隱私權規則2016年10月27日,FCC依據傳播法案(Communication Act)第222條通過《寬頻用戶隱私保護規則》(Rules to Protect Broadband Consumer Privacy, 下稱2016 Privacy Order)。2016 Privacy Order主要包含以下三點: 選擇加入(Opt-in):當使用或分享消費者之「敏感資訊」,須事先取得消費者明確之同意。「敏感資訊」包括精確的地理定位資訊、財務資訊、健康資訊、孩童資訊、社會安全號碼(Social Security Number, SSN)、網站瀏覽與應用程式使用紀錄,以及通訊內容。 選擇退出(Opt-out):對於符合消費者期待的「非敏感資訊」,除非客戶Opt-out,ISP業者皆能在未取得消費者事先同意之情況下自由使用與分享。例如電子郵件位址與服務介面資訊(service tier information)。 例外:推定客戶會同意之資訊,例如在客戶與ISP業者建立關係後,不須額外取得寬頻服務或計費之同意。 2016 Privacy Order通過後受到ISP業者大力抨擊,尤其是網站瀏覽與應用程式使用紀錄亦須取得消費者事先同意之部分,其認為如此可能扼殺電子商務發展,消費者亦可能被不必要的警示轟炸。由於2016 Privacy Order引起諸多不平,因此通過後半年,美國參議院與眾議院分別於2017年3月投票廢止,總統並於4月3日正式簽署此份國會審查法案(Congressional Review Act)。 廢止《寬頻用戶隱私保護規則》之原因為,消費者之個人資料雖可受到保護,但該規則僅適用於寬頻服務提供者與其他電信供應商,並不包含網站與前端服務(edge services)。是以僅ISP業者受到較嚴厲之管制,其餘網路服務則由FTC管轄,而FTC對隱私權之規範較為寬鬆,因此可能發生提供不同服務的兩家業者使用同一份客戶資料,受到的管制程度卻不同之情形。 贊成2016 Privacy Order之議員與消費者自助組織(consumer-advocacy groups)表示ISP業者應受到較嚴厲之規範,因消費者能輕易在網站間轉換,卻不能輕易更換ISP,且ISP得以取得消費者在所有網站上之瀏覽資料,但如Google與Facebook等大廠雖非ISP業者,卻亦能取得不限於自身網站的客戶瀏覽資料。 由於《寬頻用戶隱私保護規則》已正式廢止,FCC將不得再通過其他相同或實質上相同之規範,對ISP業者之管制回歸《傳播法案》第222條,亦即,對於網站瀏覽與應用程式使用紀錄之使用或分享,不須取得客戶之事先同意。
紐西蘭個人資料隱私主管機關提供事業選擇雲端運算廠商之檢視工具雲端運算具有降低資訊營運成本、資料集中化管理等正面效益,因此,許多事業紛紛選擇將資料轉而儲存至雲端運算設備。 事業會評估多項因素做為選擇雲端運算廠商之依據,這些因素包含資料隱私防護程度、權限控管功能等。為提供事業更有效率及精準地選擇雲端運算廠商,紐西蘭個人資料隱私主管機關(Privacy Commissioner)特別諮詢及訪談了當地使用雲端運算的企業及政府單位,彙整其所提供之經驗與意見後,撰寫檢視雲端運算廠商之指導原則。該原則不僅著重於協助中小企業如何有效管理上傳及儲存於雲端運算或其他委外設備儀器資料之隱私及安全性,另還發展出10項檢視要點,提供企業做為選擇評估之自我檢視工具。 10項檢視要點分別為:(1)評估事業所能承受之風險等級與擁有之資源,選擇相對應的雲端運算供應商與類型;(2)確認所上傳至雲端運算之資料對於當事人隱私之重要程度;(3)確認事業所需承擔之所有責任;(4)資料傳輸過程與儲存位址之安全維護措施;(5)確認雲端運算供應商條件是否符合資格;(6)確認與雲端運算供應商所簽合約之涵蓋範圍及條件保障;(7)對資料提供者踐行告知義務並建立完善之回應機制;(8)了解資料儲存城市或地點,並確認該地區所提供之隱私保護制度與侵害申訴管道;(9)資料使用及接觸之人員權限管理;(10)雲端運算供應商服務契約終止後資料之處理及提供方式。 紐西蘭個人資料隱私主管機關相信,事業必須確保傳輸至雲端運算資料之隱私及安全能受到一定程度之保護,才能避免其商譽及信譽受到損害。