英國提出因應GDPR自動化決策與資料剖析規定之細部指導文件

日本經濟產業省（下稱經產省）於2023年11月22日發布《促進資安攻擊受害資訊共享檢討會最終報告書》（サイバー攻撃による被害に関する情報共有の促進に向けた検討会の最終報告書），主張共享資安攻擊受害資訊，掌握資安攻擊全貌，防止損害範圍擴大。經產省提出具體建議如下： 1.促進各專門組織間之資訊共享：藉由專門組織間的資訊共享，及早採取適當因應措施，避免損害持續擴大，並降低受害成本。所謂專門組織包含資安廠商、資安監控中心(Security Operation Center, SOC)營運商、防毒廠商，與依法令成立從事資安事件諮詢與分析之非營利組織，例如：一般社團法人日本電腦網路危機處理暨協調中心（一般社団法人JPCERTコーディネーションセンター），以及一般財團法人日本網路犯罪對策中心（一般財団法人日本サイバー犯罪対策センター）等。 2.共享無從識別受害組織之資訊：為加快資訊共享，經產省建議將資料去識別化至無從識別受害組織之程度，即可不經受害組織同意而共享資訊。 3.提出《攻擊技術資訊處理與活用指引草案》（攻撃技術情報の取扱い・活用手引き（案））：為提升專門組織共享資訊成效，經產省於指引中彙整受害組織資料去識別化作法，以及各專門組織間共享攻擊技術資訊之具體策略。 4.於保密協議中加入免責條款：經產省建議於受害組織與專門組織簽訂之保密協議中，加入專門組織免責條款，使專門組織具有利用或揭露攻擊技術資訊裁量權，對於利用或揭露資訊，致生受害組織被識別等損害時，非因故意或重大過失不須負擔法律責任，以利推動資訊共享。

　　有關在網路販售仿冒品所透過之網路交易平台業者是否應負法律責任之問題，歐盟法院（Court of Justice of the European Union）於2011年7月12日針對L’oreal v. eBay案作出判決，認為如eBay之網路交易平台業者應為平台使用者之商標侵權行為負責。 　　國際知名化妝品品牌L’oreal 於2007年對eBay提出多項商標侵權之控訴，L’oreal認為eBay沒有適當的管控阻止其交易平台使用者之商標侵權行為，其包括在交易平台上販售仿冒品及非賣品，進行平行輸入販售非給歐盟市場流通之商品給位在歐盟會員國之人，以及購買網路關鍵字廣告協助交易平台使用者找到仿冒L’oreal品牌之商品，但eBay認為其適用歐盟電子商務指令（EU E-Commerce Directive）下之有關網路服務業者之免責條款。 　　歐盟法院之判決認為，網路交易平台業者若有扮演主動的角色，對仿冒商品之販售資料有掌控或知曉，則歐盟電子商務指令之免責條款應不適用，另外，若網路平台交易業者雖然沒有扮演主動的角色，但知道在其交易平台有商標侵權之販售行為但並沒有採取任何阻止行動，則網路平台業者也無法享有上述之免責權。同時，歐盟法院也認為各國法院應可以要求網路交易平台業者採取動作停止及防止交易平台使用者之侵權行為。

　　美國第二大連鎖商塔吉特（Target）在12月19日正式發出郵件通知客戶，表示公司資訊系統因遭駭客入侵，從2013年11月27日至12月15日期間內的刷卡記錄可能遭竊，約莫共4千萬筆，遭竊內容包含姓名、卡號、卡片到期日和卡片驗證碼。目前美國的塔吉特連鎖店推出全面9折的優惠來挽回消費者的信心，並對資料外洩的個別民眾提供免費的信用監督作為補償。 　　每當資安事件發生時，所有防毒軟體公司及資安管理服務都會跳出來大肆評論，並宣稱這是因為沒有購買自家資安服務或產品的關係，但在塔吉特事件，此番事後諸葛的批判方式顯然不再行得通。 　　塔吉特的資訊系統先前接受過檢驗，完全符合「支付卡產業資料安全標準（PCI DSS）」，有專家評析不太可能是在銷售點管理（POS）設備上（指擁有收銀、進銷存作業功能的機器）植入惡意軟體，比較可能是從授權與結算的交換系統竊取資料。 　　塔吉特的信用卡資料外洩事件，引發了一連串的訴訟案件及犯罪調查，目前加州提起了兩件團體訴訟、奧勒岡州一件，損害賠償額估計高於5百萬美元；另外，目前至少有四州的州檢察長（Attorney General）展開了聯合調查，直接要求塔吉特配合提出信用卡資料遭竊事件的相關資訊，民眾和調查機關最關注的在於塔吉特何時得知資料遭竊事件的發生、花了多久時間進行應變以及是否有盡到立即通知當事人的義務。同時間，從塔吉特流出去的數百萬筆信用卡和簽帳卡資料已經開始在黑市中販售每筆價格20至100美元不等。

法國國家資訊與自由委員會（Commission Nationale de l’Informatique et des Libertés, CNIL）於2025年9月1日針對一起由歐洲數位權利中心（noyb - The European Center for Digital Rights）提出的申訴做成決議，指Google未經Gmail使用者同意，將廣告偽裝為電子郵件進行「偽裝廣告」（Disguised Ads）投放，以及在對Gmail使用者投放個人化廣告前，未能於Gmail帳號申請流程中提供當事人提供較少cookies、選擇非個人化之通用廣告（generic ads）的選項，違反了《電子通訊法》（code des postes et des communications électroniques）與《資訊與自由法》（loi Informatique et Libertés）中關於歐盟《電子隱私指令》（ePrivacy Directive）之施行規定，對Google裁處了3.25億歐元的罰鍰，並要求改善。以下節錄摘要該裁決之重點： 一、 偽裝成電子郵件的偽裝廣告與電子郵件廣告均須獲當事人同意始得投放 歐盟《電子隱私指令》第13條1項及法國《電子通訊法》規定，電子郵件直接推銷（direct marketing）僅在其目標是已事先給予同意的使用者時被允許。CNIL，依循歐盟法院（CJEU）判例法（C-102/20）見解，認為若廣告訊息被展示在收件匣中，且形式類似真實電子郵件，與真實電子郵件相同位置，則應被認為是電子郵件直接推銷，須得到當事人之事前同意。因此，CNIL認定偽裝廣告即便技術上不是狹義的電子郵件，僅僅因其在通常專門用於私人電子郵件的空間中展示，就足以認為這些廣告是透過使用者電子郵件收件匣傳遞的廣告，屬於電子郵件廣告，而與出現在郵件列表旁邊且獨立分開的廣告横幅不同，後者非屬電子郵件廣告。 二、 Cookie Wall下當事人的有效同意：「廣告類型」的選擇、服務申請流程的隱私設計與資訊透明 CNIL參酌歐盟個人資料保護委員會（European Data Protection Board, EDPB）第2024/08號關於「同意與付費模式」意見，認為同意接受廣告在特定條件下得作為使用Gmail服務的條件。換言之，以「cookie wall」（註：拒絕cookie的蒐集即無法獲得服務之網站設計）取得之當事人「同意」，非當然不自由或無效。CNIL認為，在免費服務的框架下，cookie wall在維持提供服務與服務成本之間的經濟平衡上，要求服務申請者須接受投放廣告的cookie是合法的。惟CNIL認為，這不代表Google可以任意決定所蒐集的cookies和相應廣告模式的類型。 CNIL要求，當事人在cookie wall的框架內仍應享有選擇自由，才能取得蒐集為投放個人化廣告之cookies的當事人有效同意，亦即：在個人化廣告處理更多個資和對當事人造成更多風險的情況下，當事人應被給予機會選擇「等值的替代選項」，亦即通用廣告，並完全且清晰地了解其選擇的價值、範圍及後果。 然而，CNIL發現，Google將與廣告個性化相關的cookies拒絕機制設計得比接受機制更複雜，實際上阻礙了使用者拒絕隱私干預程度更高的cookies。這種拒絕途徑偏袒了允許個人化廣告的cookies的同意，從而影響了當事人的選擇自由。CNIL也發現，Google從未以明確方式告知使用者建立Gmail帳戶時面臨cookie wall，以及對此使用者享有甚麼選擇，而其提供的資訊更引導使用者選擇個人化廣告，導致選擇一般廣告的機會遭到犧牲。 三、 為何不是愛爾蘭資料保護委員會（Data Protection Commission, DPC）管轄？ GDPR設有「單一窗口機制」，依據該合作機制，對Google進行的GDPR調查，應由作為主任監管機關（Lead Supervisory Authority）的愛爾蘭DPC管轄。惟在本案，CNIL認為並不適用於單一窗口機制。因為與cookies使用及電子推銷相關的處理並非屬於GDPR範疇，而是適用電子隱私指令，CNIL對法國境內的cookies使用及電子推銷處理享有管轄權。此爭議反映出即便GDPR旨在確保標準化單一市場內的數位管制，但尚不足以弭平成員國間監管強度之差異。