德國柏林高等法院(LG Berlin)判決「Facebook」違反聯邦資料保護法
德國柏林高等法院(LG Berlin)於2018年1月16日在德國聯邦消費者中心協會(Verbraucherzentrale Bundesverband)對 Facebook提起之訴訟中,判決 (Az. 16 O 341/15)Facebook網站之預設功能(Voreinstellungen)和部分使用及資料保護條款(Nutzungs- und Datenschutzbedingungen),違反德國聯邦資料保護法(Bundesdatenschutzgesetz)之相關規定,因此,部分針對企業徵求用戶同意使用其資料之條款被判定無效。
Facebook在其隱私設定中心隱藏對用戶資料保護有利之默認設置,且在新用戶注冊帳戶時未充分告知,故未符合用戶同意條款之要求。依據聯邦資料保護法之規定,個人資料僅允許在相關人同意下徵集及使用。為讓用戶能在知情下自行判斷是否同意個資使用,網路供應商須清楚、詳盡告知資料使用之方式、範圍及目的。但Facebook並未遵守該項要求,Facebook在手機App上已自行啟用定位服務,一旦用戶使用聊天功能,將透露其所在位置。尤其在隱私設定中,已預設各種搜尋引擎可取得用戶個人版面之連結,任何人均可快速和簡易的透過此種方式,發現任一用戶在Facebook上的個人資訊。因用戶能否被事先告知無法確實保障,對此,法官判定5項Facebook備受聯邦消費者中心協會批評的預設功能無效。
此外,柏林高等法院亦宣告8項包括預擬同意之服務條款無效,依照這些條款之規定,Facebook可將用戶之姓名和個人資訊運用於商業、贊助商或相關事業之內容,且其條款並未明確說明,哪些資料會被傳送至美國,以及其後續處理過程與所採用之資料安全標準為何。法官認為,上述預擬條款之意思表示並非有效之資料使用同意授權。此外,用戶在Facebook僅可使用實名之義務亦屬違法,德國聯邦消費者中心協會對此表示,電信媒體法(Telemediengesetz; TMG)規定,網路供應商須儘可能讓網路用戶匿名或他名參與網路運作,然而柏林高等法院對此觀點仍持保留態度。
柏林高等法院於判決中強調,本案單就聯邦消費者中心協會對Facebook之用戶使用條款是否有效提起之訴進行判決,並非判斷支援此些條款運作的資料處理過程之合法性。儘管如此,法院之見解仍可能對資料處理過程合法性之判斷造成影響。該項判決目前仍未最終定讞,故本案兩造皆可上訴柏林最高法院(Kammergericht),尤其聯邦消費者中心協會認為,Facebook以免費使用為廣告宣傳用語,不無誤導消費者之可能,故將對此提起上訴。至於未來本案上訴至柏林最高法院後之發展,關係個人資料保護程度之擴張及網絡供應商可用範圍之限制,故仍須持續關注。
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
彭睿仁
資深法律研究員 編譯整理
Facebook: Urteil stellt Datenschutzverstöße fest https://www.datenschutzbeauftragter-info.de/facebook-urteil-stellt-datenschutzverstoesse-fest/ (最後瀏覽日:2018年2月13日)。
Das Landgericht Berlin in einem Urteil vom 16. Januar 2018 (Az. 16 O 341/15) https://www.vzbv.de/sites/default/files/downloads/2018/02/12/facebook_lg_berlin.pdf (最後瀏覽日:2018年2月13日)。
Facebook verstößt gegen deutsches Datenschutzrecht https://www.vzbv.de/pressemitteilung/facebook-verstoesst-gegen-deutsches-datenschutzrecht (最後瀏覽日:2018年2月13日)。
有關在網路販售仿冒品所透過之網路交易平台業者是否應負法律責任之問題,歐盟法院(Court of Justice of the European Union)於2011年7月12日針對L’oreal v. eBay案作出判決,認為如eBay之網路交易平台業者應為平台使用者之商標侵權行為負責。 國際知名化妝品品牌L’oreal 於2007年對eBay提出多項商標侵權之控訴,L’oreal認為eBay沒有適當的管控阻止其交易平台使用者之商標侵權行為,其包括在交易平台上販售仿冒品及非賣品,進行平行輸入販售非給歐盟市場流通之商品給位在歐盟會員國之人,以及購買網路關鍵字廣告協助交易平台使用者找到仿冒L’oreal品牌之商品,但eBay認為其適用歐盟電子商務指令(EU E-Commerce Directive)下之有關網路服務業者之免責條款。 歐盟法院之判決認為,網路交易平台業者若有扮演主動的角色,對仿冒商品之販售資料有掌控或知曉,則歐盟電子商務指令之免責條款應不適用,另外,若網路平台交易業者雖然沒有扮演主動的角色,但知道在其交易平台有商標侵權之販售行為但並沒有採取任何阻止行動,則網路平台業者也無法享有上述之免責權。同時,歐盟法院也認為各國法院應可以要求網路交易平台業者採取動作停止及防止交易平台使用者之侵權行為。
世界智財組織尋求保護來自傳統知識與遺傳資源的產品長久以來國際藥廠從大量販售的藥物中獲取上億元的營收,例如抗癌藥物與抗瘧藥物,均是萃取自中國的草本植物,但是這些擁有藥物傳統知識與遺傳資源的族群部落(the community),卻只得到相對微薄的報酬。為此,世界智慧財產組織(The World Intellectual Property Organization)已經在過去五年中力圖達成將利益擴及到提供傳統知識與遺傳資源的族群部落。 許多先進國家到非洲、亞洲等地方蒐尋具有療效的植物後,回實驗室進行研發萃取其物質後做成藥物,但卻從來沒有主動的揭露其來源,也不曾主動的回饋其獲利給那些藥廠從中獲得藥物植物的族群部落。開發中國家已試著要去制止這非法的竊用傳統知識的行為。 但由於傳統知識是累積的,因此傳統知識的保護也面臨到如何認定其於何時已存在的困難。因此傳統的智慧財產保護體系對於不能確認個別權利人與權利標的範圍的傳統知識無法提供保護。 不過,世界智慧財產組織表示藥廠已開始關心並參與傳統知識利用的協議,因為這些投資億元於研發而已有成功結果的藥廠,並不希望他們處於一個法律上不確定的狀態。
執法部門無搜索令要求提供手機位置記錄並未違憲美國聯邦第六巡迴上訴法院於2016年4月13日就U.S. v. Timothy Ivory Carpenter & Timothy Michael Sanders案作出判決,裁定執法機關在未取得搜索令的情況下要求出示或取得手機位置記錄,並不違反憲法增修條文第4條。美國憲法增修條文第4條規定:「人人具有保障人身、住所、文件及財物的安全,不受無理之搜索和拘捕的權利;此項權利,不得侵犯;除非有可成立的理由,加上宣誓或誓願保證,並具體指明必須搜索的地點,必須拘捕的人,或必須扣押的物品,否則一概不得頒發搜索令。」 本案事實係聯邦調查局取得兩名涉及多起搶劫案之嫌疑人的手機位置,而根據手機位置之相關資料顯示,於相關搶案發生之時間前後,該二名嫌疑人均位於事發地半英哩至兩英哩的範圍內,故該二名嫌疑人隨後被控多項罪名。在肯認與個人通訊相關之隱私法益的重要性的同時,聯邦第六巡迴上訴法院認為,「縱使個人通訊之內容落於私領域,但是為了將該些通訊內容自A地至B地所必須之資訊,則非屬私領域之範疇。」聯邦第六巡迴上訴法院拒絕將憲法增修條文第4條的保護延伸至像是個人通訊或IP位址等之後設資料(metadata),其原因在於,蒐集此等資訊或記錄並不會揭露通訊的內容,因此本案之嫌疑人就聯邦調查局所取得之資訊並無隱私權之期待。法院認定,此等行為不同於自智慧型手機取得資訊,因為後者「通常而言儲存了大量有關於特定使用人之資訊。」 2015年11月9日,美國聯邦最高法院拒絕審理Davis v. United States案,該案係爭執搜索令於執法部門要求近用手機位置資料時之必要性。加州州長Jerry Brown於2015年10月亦簽署加州電子通訊法(California Electronic Communications Act, CECA),該法禁止任何州政府的執法機關或其他調查單位,在未出示搜索令的情況下,要求個人或公司提供具敏感性之後設資料。
歐洲推動人體生物資料庫再利用沙盒非營利組織EIT Health於2020年2月展開公共人體生物資料庫(Public biobank)再利用之「數位沙盒」(Digital Sandbox)計畫的第二次公開徵求。參與的中小企業於提案後,可於2020年7月底前獲得通過與否的通知,並最快於2020年9月開始參與計畫。 EIT Health成立於2015年,是歐洲創新技術研究所(European Institute of Innovation and Technology)下的「知識與創新社群」(knowledge and innovation community)之一,主要資金來自歐盟「展望2020」(Horizon 2020)。有鑑於數位革命創造了大量極具研究價值的醫學生物資料,EIT Health於2019下半年提出公共人體生物資料庫再利用之「數位沙盒」計畫構想,該計劃主要目的在支持中小企業利用該生物資料實施創新服務或開發產品。 而依據歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第89條規定,如果生物資料庫之利用係基於科學研究或公共利益之必要,可以在符合「適當的技術和組織措施」(Technical And Organisational Measures)之前提下得到豁免(exemptions)。依此條文,EIT Health之「數位沙盒」計畫參與者得不遵守GDPR第15條(資料主體之接近使用權)、第16條(更正權)、第18條(限制處理權)、第19條(關於更正或刪除個人資料或限制處理之通知義務)、第20條(資料可攜性權利)以及第21條(拒絕權)之規定。透過此計畫,有望幫助中小企業獲得公共人體生物資料庫、研究參與者(Sample holder)和登記冊的近用權限。此外,計畫亦提供最高35,000歐元的資金,以幫助中小型企業在開發創新產品時利用資料。