英國因劍橋分析個資外洩事件開罰臉書
英國資訊專員辦公室(Information Commissioner’s Office, ICO)於2018年10月24日公告針對臉書公司(Facebook Ireland Ltd. & Facebook Inc.)之劍橋分析(Cambridge Analytica)個資外洩事件,依據英國資料保護法(Data Protection Act 1998)第55A條之規範,裁罰臉書公司50萬英鎊之罰鍰。
自2018年3月劍橋分析違法取得與使用臉書個資事件爆發以來,估計約有8700萬筆臉書上的個人資料遭到違法使用,引起全球對於網路個資保護的重視。在遭到違法取得與使用的個資當中,也包含了歐盟以及英國臉書使用者的個資,因此英國ICO有權對此事件展開調查並對臉書公司進行裁罰。
根據英國ICO的調查,自2007年至2014年間,臉書公司對於其平台上的個資處理(processed)有所不當,違反資料保護法之資料保護原則(Data Protection Principle,DPP),包含未適當處理個人資料(DPP1),以及未採取足夠的技術與作為防止未經授權或違法使用個資(DPP7),致使劍橋分析得以透過臉書公司提供之API違法取用臉書使用者個資。
由於劍橋分析事件發生時,歐盟GDPR(General Data Protection Regulation)尚未正式上路,因此英國ICO依據事件發生時之法律,亦即基於歐盟資料保護指令(Directive 95/46/EC)所訂定之英國資料保護法,裁處臉書公司50萬英鎊的罰款;若依據基於GDPR之新版英國資料保護法(Data Protection Act 2018),臉書公司將可被裁處最高1700萬英鎊或年度全球營業額4%之罰款。
本文為「經濟部產業技術司科技專案成果」
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
范晏儒
專案經理 編譯整理
Facebook Ireland Ltd monetary penalty notice, Information Commissioner’s Office, https://ico.org.uk/action-weve-taken/enforcement/facebook-ireland-ltd/ (last visited: Nov. 12, 2018)
ICO issues maximum £500,000 fine to Facebook for failing to protect users’ personal information, Information Commissioner’s Office, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/10/facebook-issued-with-maximum-500-000-fine/ (last visited: Nov. 12, 2018)
UK fines Facebook £500,000 for failing to protect user data, The Guardian, https://www.theguardian.com/technology/2018/oct/25/facebook-fined-uk-privacy-access-user-data-cambridge-analytica (last visited: Nov. 12, 2018)
歐盟法院做成先決裁判,臉書粉絲專頁管理員也有責任保護用戶資料隱私, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&i=148&d=8065&lv2=148 (最後瀏覽日:2018/11/12)
英國提出因應GDPR自動化決策與資料剖析規定之細部指導文件, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&i=148&d=8063&lv2=148 (最後瀏覽日:2018/11/12)
美國紐約南區地方法院於今年3月22日裁定否決Google 與美國作家協會(Authors Guild)及出版商間所達成的和解協議。此和解案起於Google 於2004年提出的Google Books 計畫,規劃與各大學圖書館合作進行將其館藏圖書數位化。美國作家協會於是於2005提起集體訴訟,在經過兩年談判後與Google 於2008年達成和解協議。如此協議被法院認可,Google 將可掃描及販售成千上萬之書籍,其中包含已絕版之書籍,且即使這些書籍並非屬於公共財或未取得出版商之許可置於Google Books上。 美國地方法院法官Denny Chin表示雖然將書籍數位化且建制完整的數位圖書館(universal digital library)將會造福很多人,但認為和解協議的內容不具公平、適當及合理性。因相較於其競爭對手,此和解協議將給予Google享有顯著的優勢,讓其進行大規模的複製未經授權的著作。 Google 律師表示此裁定令人失望,但將檢視法院之判決並思考後續之選擇,並說明不論結果如何,Google 將持續致力於將全世界的書籍藉由線上Google Books 及Google eBooks 的方式被發現。
全球Open Data成功及挑戰之關鍵報告根據全球資訊網基金會(World Wide Web Foundation)及英國開放資料協會(Open Data Institute)指出,全球77個國家正進行Open Data政府開放資料政策,但實際運作上,各國政府提供公眾近用之資料集佔不到全世界政府資料的10%,呈現各國Open Data政策實行還有很大進步空間。 全球資訊網基金會與英國開放資料協會所合作的網絡平台-政府開放資料研究網絡(Open Data Research Network),針對各國政府開放資料執行狀況進行評比並提出Open Data Barometer研究報告。此報告指出,英國政府開放資料執行及成效排名第一,其次排名陸續為美國、瑞典、紐西蘭、丹麥、挪威。除此之外,專以倡導開放知識、資料、內容的國際非政府組織,開放知識基金會(Open Knowledge Foundation),則提出基於Open Data可用性及近用性進行70個國家的排名,英國仍是第一名,其次為美國、丹麥、挪威、荷蘭。從上述兩項研究報告中,英國在Open Data政策落實的成效受到高度肯定,而歐美地區仍在Open Data政策實行上領先世界其他地區的國家。 Open Data Barometer研究報告指出,目前各國政府傾向不提供具潛在爭議性的政府資料,但此類資料往往具再利用價值,例如政府財政預算及交易資料、公司登記、土地登記等相關資料。全球資訊網創始人Berners Lee表示,政府及企業不應考量提供資料集而無法收取費用,或有意掩蓋政治敏感之資料來保護政治利益,而對於公布會造就人民生活的重大進步但具爭議性之資料集,感到卻步。 目前多數國家開放資料之機器可讀性資料與資料集之免費授權(Open License)皆少於7%,報告中說明全球資料集實際可用性仍偏低,亦發現各國提供資料之收費不僅沒有效率,資料再利用授權關係也不明確,使得企業及使用者處在法律不確定之風險中。 全球面對開放資料的進展雖已有初步成效,但成功經驗仍集中在歐美國家,世界上其他國家在開放資料的可用性及近用性,仍與歐美國家有顯著差距,為能促進全球人民生活福祉及活絡商機,各國政府應更積極地執行開放資料政策,並持續改進。
美國最高法院裁定暫停執行環保署「清潔電力計畫」美國最高法院在2016年2月9日,以暫時處分裁定美國環保署在「清潔電力計畫」(Clean Power Plan)下所擬訂的「對固定污染源的碳排指引:電業發電單位」( Carbon Pollution Emission Guidelines for Existing Stationary Sources: Electric Utility Generating Units ),在北新(Basin)電力公司等對其所提起訴訟期間,暫緩實施。 所謂環保署「清潔電力計畫」(Clean Power Plan),係為因應氣候變遷,在2015年8月由美國總統在演說中公布,並於同年10月由美國環署公布「對固定污染源的碳排指引:電業發電單位」最終內容。該計畫的具體目標乃以2005為標準,在2030減少碳排32%,各州並得自行訂訂計畫;預期的計畫效果則包含:保護一般的美國家庭、促進經濟,與協助一般美國家庭節省費用。 由於該案涉及大規模以天然氣、風力與太陽能取代燃煤電廠,2015年的10月23日至11月5日間,由北新與其他近60家電業向聯邦哥倫比亞特區上訴法院(United States Court of Appeals for the District of Columbia Circuit)提出申請暫緩實施之聲請。2016年1月21日 該上訴法院駁回聲請,同月26日原本提出聲請的電業再向最高法院提出暫緩實施之聲請。 在向最高法院的聲請中,業者主張:因系爭指引所規範排放限制量為任何現行發電業者(Electricity Generating Units, EGUs)無法透過現行科技或流程改善單獨達成,將迫使整個電力產業作出轉變。業者並指出,由於淘汰既有電廠與建立新的再生能源計畫皆須長時間的努力來執行,若欲在2022年達成相關目標,電業必須現在就展開行動。 而最高法院也認同業者的主張,指出:因訴訟曠日廢時,若不暫緩實施系爭指引,立即、無法回復、且特別重大的損害將持續發生;且美環署仍將取得該計畫所欲取得之效果,縱使系爭指引最終被廢止。 基於上述理由,最高法院以暫時處分裁定系爭措施暫緩實施。
歐盟營業秘密指令草案因巴拿馬文件揭露事件,受到歐洲議會熱烈討論巴拿馬避稅文件被揭露後,引發歐洲議會(European Parliament)重新檢視正待審核的歐盟營業秘密指令草案(the proposed Directive on Trade Secrets Protection),避免企業營業秘密之保護影響揭弊人(whistleblowers)舉發企業弊端之意願。 執委會2013年11月正式提出歐盟營業秘密指令草案,目的為調合歐洲內部市場營業秘密規範,以建立保護創新者的環境,並維持歐洲企業競爭優勢。2015年12月執委會、歐洲議會及理事會(the Council of the European Union)召開三方會議協商,對於歐盟營業秘密指令內容達成共識,準備進入立法表決。 巴拿馬事件發生後,公民團體Corporate Europe Observatory之代表Martin Pigeon認為,歐盟營業秘密指令可能成為企業對付揭弊人的工具,以掩蓋不當或違法行為,而公開弊端資訊的揭弊人可能因洩漏營業秘密而有刑事責任。但主導該指令立法程序之歐洲議會議員Constance Le Grip表示,營業秘密指令會明確地將記者及揭弊人除罪化。 事實上,為了保障公共利益所為之揭露行為,執委會2013年提出的草案已納入揭弊人排除條款。根據草案第4條第2項規定,會員國應確保為了公共利益目的而揭露不當、錯誤或不法活動(revealing a misconduct, wrongdoing or illegal activity),不會觸犯(entitle)營業秘密法之任何罪名。換句話說,即便取得企業機密之方式違法,揭弊人為了公共利益之行為不會違反營業秘密指令。 歐盟營業秘密指令僅建立歐盟保障營業秘密之最低標準,若歐盟營業秘密指令順利通過,仍待會員國依據該指令各自立法,訂立境內營業秘密相關規範,以落實營業秘密之保護。