德國柏林高等法院(LG Berlin)判決「Facebook」違反聯邦資料保護法
德國柏林高等法院(LG Berlin)於2018年1月16日在德國聯邦消費者中心協會(Verbraucherzentrale Bundesverband)對 Facebook提起之訴訟中,判決 (Az. 16 O 341/15)Facebook網站之預設功能(Voreinstellungen)和部分使用及資料保護條款(Nutzungs- und Datenschutzbedingungen),違反德國聯邦資料保護法(Bundesdatenschutzgesetz)之相關規定,因此,部分針對企業徵求用戶同意使用其資料之條款被判定無效。
Facebook在其隱私設定中心隱藏對用戶資料保護有利之默認設置,且在新用戶注冊帳戶時未充分告知,故未符合用戶同意條款之要求。依據聯邦資料保護法之規定,個人資料僅允許在相關人同意下徵集及使用。為讓用戶能在知情下自行判斷是否同意個資使用,網路供應商須清楚、詳盡告知資料使用之方式、範圍及目的。但Facebook並未遵守該項要求,Facebook在手機App上已自行啟用定位服務,一旦用戶使用聊天功能,將透露其所在位置。尤其在隱私設定中,已預設各種搜尋引擎可取得用戶個人版面之連結,任何人均可快速和簡易的透過此種方式,發現任一用戶在Facebook上的個人資訊。因用戶能否被事先告知無法確實保障,對此,法官判定5項Facebook備受聯邦消費者中心協會批評的預設功能無效。
此外,柏林高等法院亦宣告8項包括預擬同意之服務條款無效,依照這些條款之規定,Facebook可將用戶之姓名和個人資訊運用於商業、贊助商或相關事業之內容,且其條款並未明確說明,哪些資料會被傳送至美國,以及其後續處理過程與所採用之資料安全標準為何。法官認為,上述預擬條款之意思表示並非有效之資料使用同意授權。此外,用戶在Facebook僅可使用實名之義務亦屬違法,德國聯邦消費者中心協會對此表示,電信媒體法(Telemediengesetz; TMG)規定,網路供應商須儘可能讓網路用戶匿名或他名參與網路運作,然而柏林高等法院對此觀點仍持保留態度。
柏林高等法院於判決中強調,本案單就聯邦消費者中心協會對Facebook之用戶使用條款是否有效提起之訴進行判決,並非判斷支援此些條款運作的資料處理過程之合法性。儘管如此,法院之見解仍可能對資料處理過程合法性之判斷造成影響。該項判決目前仍未最終定讞,故本案兩造皆可上訴柏林最高法院(Kammergericht),尤其聯邦消費者中心協會認為,Facebook以免費使用為廣告宣傳用語,不無誤導消費者之可能,故將對此提起上訴。至於未來本案上訴至柏林最高法院後之發展,關係個人資料保護程度之擴張及網絡供應商可用範圍之限制,故仍須持續關注。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
彭睿仁
資深法律研究員 編譯整理
Facebook: Urteil stellt Datenschutzverstöße fest https://www.datenschutzbeauftragter-info.de/facebook-urteil-stellt-datenschutzverstoesse-fest/ (最後瀏覽日:2018年2月13日)。
Das Landgericht Berlin in einem Urteil vom 16. Januar 2018 (Az. 16 O 341/15) https://www.vzbv.de/sites/default/files/downloads/2018/02/12/facebook_lg_berlin.pdf (最後瀏覽日:2018年2月13日)。
Facebook verstößt gegen deutsches Datenschutzrecht https://www.vzbv.de/pressemitteilung/facebook-verstoesst-gegen-deutsches-datenschutzrecht (最後瀏覽日:2018年2月13日)。
德國經濟暨能源部於2016年10月27日召開2016年「中小企業創新核心計畫」年度會議,約有200位專業經理人、企業與學者共同參與討論創新產品未來在市場的趨勢、創新生產流程與技術服務,專家在會中提供許多寶貴意見。聯邦政府中小企業處代表Gleick開幕致詞時表示,中小企業的創新力量決定我們在未來的經濟成就,所以政府需要持續投資在研究與創新以及適當的補助。 經濟暨能源部以「中小企業創新核心計畫」補助中小企業、研究機構共同開發以市場為導向的研究與創新技術,透過共同合作使參與的企業更具有產業競爭優勢,此計畫於2016年提供543百萬歐元補助,日前亦通過2017年548百萬歐元補助預算。 中小企業創新核心計畫(Zentrales Innovationsprogramm Mittelstand ,以下簡稱ZIM)是一項覆蓋全國範圍、不限制技術領域和行業的補助計畫,補助對象除中小企業外,還包括與之合作的研究機構。ZIM計畫中補助的中小企業為員工人數不超過499人,同時年營業額低於5000萬歐元或資產負債表總額低於4300萬歐元的企業。該計畫整合過往其他許多補助計畫,德國聯邦經濟與能源部於2015年4月公佈了最新的ZIM計畫實施方針,擴大受補助中小企業的範圍,且提高資助資金的數額,將對企業補助的最高數額從35萬提高到38萬,對研究機構補助的最高數額從17.5萬提高到19萬歐元,以持續提升德國中小企業的創新能力與競爭力;企業與合作研究機構可以在補助的架構下針對先進技術研發獲得資金,研發主題不限,重點在於創新內容與市場價值。
美伊利諾最高法院判決:醫療服務提供者例外不受生物資訊隱私法保護美國伊利諾州伊利諾最高法院(Illinois Supreme Court)於2023年11月30日對Mosby v. The Ingalls Memorial Hospital et al.案做出判決:認定符合聯邦法規健康保險流通與責任法(Health Insurance Portability and Accountability Act, HIPAA)規定,基於「治療、付款或健康照護運作」之前提下,除病患外即使是醫療服務提供者的生物識別資訊被蒐集、利用或揭露,同樣不受伊利諾州生物資訊隱私法(Biometric Information Privacy Act, BIPA)的保護。 伊利諾州現行以BIPA對蒐集或保留任何個人的生物識別資訊(如虹膜、聲紋、指紋或生物樣本等)做了較為嚴格的限制,原則上這些資訊不能在未經當事人同意的情況下被蒐集、利用或揭露。除非是1.由醫療保健機構從患者身上蒐集的生物識別資訊;或2.根據HIPAA規定,基於進行治療、付款或健康照護運作的前提來蒐集、使用或儲存的生物識別資訊,才可例外免經當事人同意(biometric identifiers do not include information captured from a patient in a health care setting or information collected, used, or stored for health care treatment, payment, or operations under the federal HIPAA.)。然而,基於進行治療、付款或健康照護運作的前提,資料主體除接受治療或健康照護的病患外,是否涵蓋醫療服務提供者(如醫護人員),則有疑義。 本案因醫院的護理人員認為醫療院所未經同意,使用帶有指紋掃描功能的藥品櫃,來蒐集、使用或儲存了他們的生物識別資訊,因此提起訴訟。伊利諾州的地方法院和巡迴上訴法院於本案均支持原告提出的主張。然而,伊利諾州最高法院審理時則透過文義解釋以及條文結構分析之方式,認為立法者係有意於例外規定中重複使用「資訊」一詞,兩次「資訊」之內涵應有不同。故前段的資訊係指患者的資訊,而後段的資訊來源則應包含了醫療照護提供者,方符合立法者真意。 生物識別資訊風險較高,過去被認為需要取得當事人積極同意授權;於本案中伊利諾州最高法院權衡認為基於「治療、付款或健康照護運作」情境下,如本案情形係用來確保醫藥品被正確分配給需要的患者,因此對患者以外的醫療人員隱私權做出限制符合例外規定。本案揭示了個資隱私得為合理利用的情境之一,然而HIPAA對於資料傳輸較寬鬆的規範會否又與資料保護的趨勢有所違背,仍須持續關注相關案例發展。
RFID應用發展與相關法制座談會紀實 國際海事組織海事安全委員會決議於2025年前制定非強制性自駕船國際章程國際海事組織(International Maritime Organization,下稱IMO)於2022年4月20日至29日於線上召開為期9天的海事安全委員會(Maritime Safety Committee,下稱MSC)第105屆例會,會議重點係咸稱之自駕船——亦即海上自動化水面船舶(Maritime Autonomous Surface Ship,下稱MASS)之航行與操作規則。本屆會議總結並延續了MSC近年針對MASS的工作,包括2018年提出MASS實驗框架規範,以及2021年提出MASS法制框架評估等。本屆會議除了賡續規劃MASS的法制路線圖(Roadmap)外,鑒於船舶相關智慧科技快速發展,MSC決議於2025年之前,針對各級MASS制定非強制性(voluntary)之章程及規定後,蒐集各國的實務經驗與意見,再於2027年將其轉為強制性(mandatory)的規定,以於2028年生效並適用於IMO全體會員國。 部分會員國(例如日本)從造船技術出發,建議未來的MASS指南與規範內容應全面覆蓋船舶的設計、建造、系統、設備的功能要求。挪威則建議應按第103屆會議所盤點之法規,優先處理「人員」相關議題,包括船員、船長及遠端操作員的資格,以及當值與行為準則等。韓國則建議,即便是等級最高的全自駕船,亦不可能全面取代人為操作,因此MASS的法制應以「人機協同」為基礎,方能合乎SOLAS公約與IMO促進海上航行安全的目的及宗旨。最後,各國亦擬議將MASS規範優先適用於「貨船」,而非「客船」。本屆會議顯示IMO已加快MASS法制工作的進程並規劃具體之立法期程,我國除了在《無人載具科技創新實驗條例》建立的監理沙盒下已有兩件自駕船實驗案,未來勢必需要對接國際海事規範,航政機關實須提前因應及規劃。