英國因劍橋分析個資外洩事件開罰臉書
英國資訊專員辦公室(Information Commissioner’s Office, ICO)於2018年10月24日公告針對臉書公司(Facebook Ireland Ltd. & Facebook Inc.)之劍橋分析(Cambridge Analytica)個資外洩事件,依據英國資料保護法(Data Protection Act 1998)第55A條之規範,裁罰臉書公司50萬英鎊之罰鍰。
自2018年3月劍橋分析違法取得與使用臉書個資事件爆發以來,估計約有8700萬筆臉書上的個人資料遭到違法使用,引起全球對於網路個資保護的重視。在遭到違法取得與使用的個資當中,也包含了歐盟以及英國臉書使用者的個資,因此英國ICO有權對此事件展開調查並對臉書公司進行裁罰。
根據英國ICO的調查,自2007年至2014年間,臉書公司對於其平台上的個資處理(processed)有所不當,違反資料保護法之資料保護原則(Data Protection Principle,DPP),包含未適當處理個人資料(DPP1),以及未採取足夠的技術與作為防止未經授權或違法使用個資(DPP7),致使劍橋分析得以透過臉書公司提供之API違法取用臉書使用者個資。
由於劍橋分析事件發生時,歐盟GDPR(General Data Protection Regulation)尚未正式上路,因此英國ICO依據事件發生時之法律,亦即基於歐盟資料保護指令(Directive 95/46/EC)所訂定之英國資料保護法,裁處臉書公司50萬英鎊的罰款;若依據基於GDPR之新版英國資料保護法(Data Protection Act 2018),臉書公司將可被裁處最高1700萬英鎊或年度全球營業額4%之罰款。
本文為「經濟部產業技術司科技專案成果」
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
范晏儒
專案經理 編譯整理
Facebook Ireland Ltd monetary penalty notice, Information Commissioner’s Office, https://ico.org.uk/action-weve-taken/enforcement/facebook-ireland-ltd/ (last visited: Nov. 12, 2018)
ICO issues maximum £500,000 fine to Facebook for failing to protect users’ personal information, Information Commissioner’s Office, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/10/facebook-issued-with-maximum-500-000-fine/ (last visited: Nov. 12, 2018)
UK fines Facebook £500,000 for failing to protect user data, The Guardian, https://www.theguardian.com/technology/2018/oct/25/facebook-fined-uk-privacy-access-user-data-cambridge-analytica (last visited: Nov. 12, 2018)
歐盟法院做成先決裁判,臉書粉絲專頁管理員也有責任保護用戶資料隱私, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&i=148&d=8065&lv2=148 (最後瀏覽日:2018/11/12)
英國提出因應GDPR自動化決策與資料剖析規定之細部指導文件, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&i=148&d=8063&lv2=148 (最後瀏覽日:2018/11/12)
美國聯邦政府與企業界正朝向增加驗證技術的使用,以遏止線上詐騙的盛行,所謂「雙重驗證( ”two-factor” Authentication)」機制,為美國聯邦財政機構檢測委員會(Federal Financial Institutions Examination Council, FFIEC )與美國芝加哥直銷協會( The Direct Marketing Association, DMA )推行,主要要求檢查除用戶名稱和密碼以外的東西來確認顧客的身份。 美國聯邦財政機構檢測委員會 —包括聯邦儲備(Federal Reserve)和聯邦存款保險公司(Federal Deposit Insurance Corp.,FDIC)等管理者在內,要求銀行2006年底皆必須加強網上身份驗證措施,如給每個顧客一份加密的憑證,這些憑證會向銀行證明用戶的真實身份。且該加密的憑證不會向發放該憑證的其它網站做出回應,這樣既保護了用戶,也保護了銀行。此外,美國聯邦財政機構檢測委員會審查員亦會定期檢查銀行的執行情況;而以美國芝加哥直銷協會為例,其要求會員於交易時所使用之電子郵件,須取得電子郵件系統的驗證,以確保電子郵件係由該協會成員所發出。 如同美國芝加哥直銷協會執行長 John A. Greco 所言,消費者可藉由此種驗證方式增加更多信心,對於其所取的資訊係來自可靠來源並具有合法性,可使市場減低網路犯罪之產生並對於政府、企業及消費者有更多保障。
德國民眾對奈米科技關切評估報告出爐為了瞭解德國消費者對於市面上眾多應用「奈米」科技之消費產品的想法,德國聯邦風險評估研究所(Bundesinstitut für Risikobewertung,BfR)於2007年抽樣調查一千位消費者,並於該年底公布調查結果。根據該問卷調查結果顯示,超過三分之二(66%)受訪者對於奈米科技發展持樂觀態度,並認為應該支持奈米科技的持續發展,並且認為奈米科技改善了生活品質以及其帶來的效益勝過風險。 但是,對於不同領域所應用之奈米科技,受訪者卻表現出不同的態度。因此該研究所所長Andreas Hensel認為,消費者不是依據事實為評價,而是依據「感性標準」。也就是說,他們所「感覺到」的風險在他們理解新科技時扮演重要角色。 相較於2004年所做的問卷調查,目前約有52%的受訪者聽過奈米概念,之前的調查結果只有15%。多數受訪者相信奈米可以幫助醫學領域的發展;其也相信應用奈米於顏料、漆料可提高耐刮與耐磨之能力。在紡織品領域也一樣,民眾相信防污的產品;受到民眾接受的還包括奈米科技在包裝材料以及防曬產品領域之應用。不過,對於其他化妝品卻只有53%的受訪者相信奈米的改善功能。絕大多數受訪者都拒絕將奈米科技應用於食品:69%受訪者拒絕添加「奈米」於調味料,即使奈米可以防止結塊;而就算因此可以延長食物保存期限,也有高達84%的受訪者拒絕在食物中添加奈米微粒。 多數的消費者獲取奈米科技資訊主要來自於大眾媒體,如電視、報紙、期刊與網際網路。但是他們是否相信該資訊,則取決於提供者為何,最受信賴之資訊來自於消費者組織,如消費者保護團體以及產品檢測基金會(Stiftung-Warentest)以及科學界(92%),最不受信賴的資訊則來自於經濟(32%)與政治(23%)。
澳洲發布《人工智慧臨床應用指引》提供臨床照護之人工智慧使用合規框架澳洲醫療安全與品質委員會(Australian Commission on Safety and Quality in Health Care, ACSQHC)與衛生、身心障礙及高齡照護部(Department of Health, Disability and Ageing)聯合於2025年8月發布《人工智慧臨床應用指引》(AI Clinical Use Guide),旨在協助醫療人員於臨床情境中安全、負責任使用人工智慧(Artificial Intelligence, AI)。該文件回應近年生成式AI與機器學習快速導入醫療現場,卻伴隨證據不足、風險升高的治理挑戰,試圖在促進創新與確保病人安全之間建立清楚的合規框架。 該指引以臨床流程為核心,將AI使用區分為「使用前、使用中、使用後」三個階段,強調醫療人員須理解AI工具的預期用途、證據基礎與風險限制,並對所有AI產出負最終專業責任。文件特別指出,當AI工具用於診斷、治療、預測或臨床決策支持時,可能構成醫療器材,須符合澳洲醫療用品管理管理局(Therapeutic Goods Administration, TGA)的相關法規要求。 在風險治理方面,該指引明確區分規則式AI、機器學習與生成式AI,指出後兩者因輸出不確定性、資料偏誤與自動化偏誤風險較高,臨床人員不得過度依賴系統建議,仍須以專業判斷為核心。同時,文件要求醫療機構建立AI治理與監督機制,持續監測效能、偏誤與病安事件,並於必要時通報TGA或隱私主管機關。 在病人權益與隱私保護方面,指引強調知情同意與透明揭露,醫療人員須向病人說明AI使用目的、潛在風險及替代方案,並遵循《1998年隱私法》(Privacy Act 1988)對個人健康資料儲存與跨境處理的限制。澳洲此次發布之臨床AI指引,展現以臨床責任為核心、結合法規遵循與風險管理的治理取向,為各國醫療體系導入AI提供具體且可操作的合規參考。 表1 人工智慧臨床應用指引合規流程 使用前 使用中 使用後 1.界定用途與風險。 2.檢視證據與合規。 3.完備治理與告知。 1.AI輔助決策。 2.即時審查修正。 3.維持溝通透明。 1.持續監測效能。 2.標示可追溯性。 3.通報與再評估。 資料來源:AUSTRALIAN COMMISSION ON SAFETY AND QUALITY IN HEALTH CARE [ACSQHC], AI Clinical Use Guide (2025).
日本預計2019年10月起於東京、大阪實行智財調解制度根據日本特許廳調查,國際(如韓國,泰國)在處理智財爭議時,往往會傾向採取非訟的方式解決智財爭議,例如透過智財局進行智財調解。日本也預計在2019年10月1日起於東京及大阪兩地的地方法院導入新的智財調解制度,用以快速解決智財(例如專利權,著作權等)相關爭議。 普遍而言智財爭議往往會耗費企業或當事人相當長的時間,且爭議的智財標的在訴訟期間也無法被使用,故日本政府計劃推行新的智財調解制度。新的智財調解制度,除了能降低訴訟成本外,日本政府更迫切想解決的問題是,不希望爭議的智財標的影響企業經營。 在日本智財訴訟是公開,法官在聽過兩造說法後會由法官做單方面的判決,且根據日本最高法院的資料顯示,智財訴訟平均需花費十二點九個月的時間才能結案。有的從訴訟提起到一審宣判就需花費一年又八個月,再到最高法院判決確定還需花費一年又二兩個月。 而日本新推行的智財調解制度計畫將透過視訊的方式,讓當事人與法官進行非公開的對話,並儘量促成兩造達成合意,調解過程最短僅需花費約三個月的時間就能有結果,若調解沒有共識,當事人一樣能進行智財訴訟。智財調解制度除了能有效減少爭議時間外,費用上智財調解申請費也遠低於智財訴訟的申請費。 「本文同步刊登於TIPS網站(https://www.tips.org.tw )」