英國因劍橋分析個資外洩事件開罰臉書
英國資訊專員辦公室(Information Commissioner’s Office, ICO)於2018年10月24日公告針對臉書公司(Facebook Ireland Ltd. & Facebook Inc.)之劍橋分析(Cambridge Analytica)個資外洩事件,依據英國資料保護法(Data Protection Act 1998)第55A條之規範,裁罰臉書公司50萬英鎊之罰鍰。
自2018年3月劍橋分析違法取得與使用臉書個資事件爆發以來,估計約有8700萬筆臉書上的個人資料遭到違法使用,引起全球對於網路個資保護的重視。在遭到違法取得與使用的個資當中,也包含了歐盟以及英國臉書使用者的個資,因此英國ICO有權對此事件展開調查並對臉書公司進行裁罰。
根據英國ICO的調查,自2007年至2014年間,臉書公司對於其平台上的個資處理(processed)有所不當,違反資料保護法之資料保護原則(Data Protection Principle,DPP),包含未適當處理個人資料(DPP1),以及未採取足夠的技術與作為防止未經授權或違法使用個資(DPP7),致使劍橋分析得以透過臉書公司提供之API違法取用臉書使用者個資。
由於劍橋分析事件發生時,歐盟GDPR(General Data Protection Regulation)尚未正式上路,因此英國ICO依據事件發生時之法律,亦即基於歐盟資料保護指令(Directive 95/46/EC)所訂定之英國資料保護法,裁處臉書公司50萬英鎊的罰款;若依據基於GDPR之新版英國資料保護法(Data Protection Act 2018),臉書公司將可被裁處最高1700萬英鎊或年度全球營業額4%之罰款。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
范晏儒
專案經理 編譯整理
Facebook Ireland Ltd monetary penalty notice, Information Commissioner’s Office, https://ico.org.uk/action-weve-taken/enforcement/facebook-ireland-ltd/ (last visited: Nov. 12, 2018)
ICO issues maximum £500,000 fine to Facebook for failing to protect users’ personal information, Information Commissioner’s Office, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/10/facebook-issued-with-maximum-500-000-fine/ (last visited: Nov. 12, 2018)
UK fines Facebook £500,000 for failing to protect user data, The Guardian, https://www.theguardian.com/technology/2018/oct/25/facebook-fined-uk-privacy-access-user-data-cambridge-analytica (last visited: Nov. 12, 2018)
歐盟法院做成先決裁判,臉書粉絲專頁管理員也有責任保護用戶資料隱私, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&i=148&d=8065&lv2=148 (最後瀏覽日:2018/11/12)
英國提出因應GDPR自動化決策與資料剖析規定之細部指導文件, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&i=148&d=8063&lv2=148 (最後瀏覽日:2018/11/12)
2025年7月30日,美國加州法院指出公司濫用合作談判地位以爭奪再生能源市場之行為,從商業角度極為惡劣,將面臨重大法律風險,並認定Phillips 66能源公司須向Propel Fuels(下稱Propel)競爭公司給付共約8億美元的賠償金。 本案源於2017年,Phillips 66公司以收購為由,雙方簽署收購意向書,對Propel公司進行盡職調查。於此期間,Propel公司依保密契約向Phillips 66公司揭露其再生柴油專屬策略與資訊,Phillips 66公司並從 Propel 下載近 3千份包含營業秘密的紀錄。於2018年8月24日,Phillips 66公司突然終止收購並於下一工作日向加州監管機構宣布其將加入加州再生能源市場,2019年正式銷售高混合可再生柴油。 2022年2月16日,Propel公司向加州法院控訴Philips 66公司不當使用Propel公司花費13年研發得出之財務與銷售資料、營運模式及其再生能源業務的預測資料等營業秘密,致Propel公司損失2億美元。於2024年10月16日,本案認定Phillips 66公司違反加州統一營業秘密法(Uniform Trade Secrets Act),不當使用Propel公司的營業秘密, Phillips 66公司應賠償6.049 億美元。其後,本案認定Phillips 66公司行為屬惡意不當使用營業秘密,依加州統一營業秘密法,法院可另將懲罰性賠償金增加至2倍。2025年7月底,本案認定之賠償金達到8億美元,包含自2024年之6.049億美元的補償性賠償金,以及因Phillips 66公司「惡意」不當使用營業秘密的行為,追加1.95億美元的懲罰性賠償金。 綜觀前述實務案例可得知,即便公司間已簽訂保密契約,仍存在公司假借併購盡職調查、合作協商為由,要求他公司提供機密資料。為降低與外部合作而衍生之機密外洩風險,以下為公司提供資料對外之前、中、後階段可參考之管理建議: 1. 對外提供資料前 (1) 內規定義營業秘密搭配機密分級,了解營業秘密之範圍,並依據不同機密等級採取相應的管制措施。 (2) 對外提供資料前,營業秘密相關之權責人員應審查資料適合揭露與否。 (3) 與外部合作協商前,即應確認簽訂保密契約與約定權利歸屬。 2. 已對外提供資料 倘若已對外提供資料,建議採取限制流通、限制權限等作法,如僅限該合作計畫相關人員透過身分認證登入帳號,方有線上瀏覽機密之權限等方式。 3. 對外提供資料後 於合作結束或協商破局之情況,應要求合作方返還或銷毀營業秘密,如為銷毀,應附上相關聲明並佐證執行紀錄。 前述建議之管理作法已為資策會科法所創意智財中心於2023年發布之「營業秘密保護管理規範」所涵蓋,企業如欲精進系統化的營業秘密管理作法,可以參考此規範。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
科睿唯安 (Clarivate)公布2021年商標生態系統研究報告: 全球視野下的商標價值、保護及技術優化著名英國科學研究分析公司科睿唯安 (Clarivate)於2021年2月18日公布《2021年商標生態系統報告》,此報告由科睿唯安委託Vitreous World 於2020年底時分別對英國、美國、德國、義大利、法國、中國大陸以及日本等七個國家共300位專業顧問進行線上訪問,了解商標專業人士對於各國商標價值、商標保護以及技術優化之相關見解為何。此份報告之主要發現如下: 全球商標侵權狀況持續上升中:相較於2017年共有74%受訪者提及曾遇到商標侵權案件、2018年為81%、2019年則有85%。本次調查時竟有高達89%受訪者表示常經手商標侵權案件,且逾半數者表示,其企業在遭遇商標侵權後更改了品牌名稱,此類狀況於日本特別嚴重。 高階主管態度影響企業獲利機會:89%受訪者表示,企業高階主管人員對於智財問題無意識或不予關注時,組織往往無法利用商標或其他智財權利以適時抓緊商機、進入新市場或建立新合作關係。其中亦有五分之一受訪者提到,其企業董事會相關成員完全不參與企業智財議題討論。 社群媒體名稱成為許多商標侵權管道的起源:此次共有50%受訪者表示,社群媒體名稱成為首要的商標侵權源頭;但中國大陸受訪者有73%表示,網域名稱仍為商標侵權常見管道。 今全球產業趨勢已進入知識創新時代,企業欲保持競爭力需善用智財權以維持內部能量,且為防免智財侵權威脅並把握新市場藍海,須由企業全體成員齊心關注努力,而不僅是商標部門人員的責任,管理階層更應了解企業智財狀況,適時更新智財管理與布局策略,增強市場地位。
歐盟公布資料保護相關指令適用意見書由歐盟二十七個會員國資料保護主管機關組成的第二十九條資料保護工作小組(The Article 29 Working Party)最近公布其應適用何國資料保護法規之意見書。 歐盟資料保護指令(EU Data Protection Directive)第四條對於蒐集或處理個人資料所應適用之法規有所規範,依該條規定,機構必須依其成立之國別適用該國資料保護法規;機構若於其他國家裝置設備處理資料,則須遵守設備所在地之法令。 隨著全球化的趨勢與新興科技的發展,目前處理資料機構之運作方式已與當初制定指令時有所不同,許多機構在世界各國設置營運點,向全球各地提供各類型服務,尤其是網際網路的發展,使得遠端服務及在虛擬環境下分享個人資訊更為容易,但同時也增加辨識資料處理所在地之困難度,因此工作小組提出該意見書,希望藉此釐清資料保護指令第四條之適用。 工作小組於該意見書中指出,資料保護指令所指的應適用法規,並非資料控制者(data controller)所在地之法規,而是附屬於該資料控制者並實質進行資料處理之機構的所在地法規。蓋因同一資料控制者可能在數國成立附屬機構,在此種狀況下判別適用法規的標準,應視實際上相關資料處理活動的發生地,亦即處理資料機構所在地。 而針對處理個人資料所使用之設備,工作小組表示,即使處理資料之機構並未擁有設備,而使用該設備處理個人資料時,亦可適用指令第四條之規定,需遵守設備所在地之相關法規;但工作小組同時特別釐清,以電信電纜或郵政服務等方式傳輸資料並不會落入資料保護法規之範疇。
OECD發布《抓取資料以訓練AI所衍生的智慧財產問題》報告經濟合作與發展組織(Organisation for Economic Co-operation and Development, OECD)於2025年2月9日發布《抓取資料以訓練AI所衍生的智慧財產問題》報告(Intellectual property issues in artificial intelligence trained on scraped data),探討AI訓練過程中「資料抓取」對智慧財產之影響,並提出政策建議,協助決策者保障智財權的同時推動AI創新。 資料抓取是獲取AI大型語言模型訓練資料之主要方法,OECD將其定義為「透過自動化方式,從第三方網站、資料庫或社群媒體平臺提取資訊」。而未經同意或未支付相應報酬的抓取行為,可能侵害作品之創作者與權利人包括著作權、資料庫權(database rights)等智慧財產及相關權利。對此,報告分析各國政策法律的因應措施,提出四項關鍵政策建議: 一、 訂定自願性「資料抓取行為準則」 訂定適用於AI生態系的準則,明確AI資料彙整者(aggregators)與使用者的角色,統一術語以確保共識。此外,準則可建立監督機制(如登記制度),提供透明度與文件管理建議,並納入標準契約條款。 二、 提供標準化技術工具 標準化技術工具可保護智財權及協助權利人管理,包括存取控制、自動化契約監控及直接支付授權金機制,同時簡化企業合規流程。 三、 使用標準化契約條款 由利害關係人協作訂定,可解決資料抓取的法律與營運問題,並可依非營利研究或商業應用等情境調整。 四、 提升法律意識與教育 應提升對資料抓取及其法律影響的認知,協助權利人理解保護機制,教育AI系統使用者負責任地運用資料,並確保生態系內各方明確瞭解自身角色與責任。