英國因劍橋分析個資外洩事件開罰臉書
英國資訊專員辦公室(Information Commissioner’s Office, ICO)於2018年10月24日公告針對臉書公司(Facebook Ireland Ltd. & Facebook Inc.)之劍橋分析(Cambridge Analytica)個資外洩事件,依據英國資料保護法(Data Protection Act 1998)第55A條之規範,裁罰臉書公司50萬英鎊之罰鍰。
自2018年3月劍橋分析違法取得與使用臉書個資事件爆發以來,估計約有8700萬筆臉書上的個人資料遭到違法使用,引起全球對於網路個資保護的重視。在遭到違法取得與使用的個資當中,也包含了歐盟以及英國臉書使用者的個資,因此英國ICO有權對此事件展開調查並對臉書公司進行裁罰。
根據英國ICO的調查,自2007年至2014年間,臉書公司對於其平台上的個資處理(processed)有所不當,違反資料保護法之資料保護原則(Data Protection Principle,DPP),包含未適當處理個人資料(DPP1),以及未採取足夠的技術與作為防止未經授權或違法使用個資(DPP7),致使劍橋分析得以透過臉書公司提供之API違法取用臉書使用者個資。
由於劍橋分析事件發生時,歐盟GDPR(General Data Protection Regulation)尚未正式上路,因此英國ICO依據事件發生時之法律,亦即基於歐盟資料保護指令(Directive 95/46/EC)所訂定之英國資料保護法,裁處臉書公司50萬英鎊的罰款;若依據基於GDPR之新版英國資料保護法(Data Protection Act 2018),臉書公司將可被裁處最高1700萬英鎊或年度全球營業額4%之罰款。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
范晏儒
專案經理 編譯整理
Facebook Ireland Ltd monetary penalty notice, Information Commissioner’s Office, https://ico.org.uk/action-weve-taken/enforcement/facebook-ireland-ltd/ (last visited: Nov. 12, 2018)
ICO issues maximum £500,000 fine to Facebook for failing to protect users’ personal information, Information Commissioner’s Office, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/10/facebook-issued-with-maximum-500-000-fine/ (last visited: Nov. 12, 2018)
UK fines Facebook £500,000 for failing to protect user data, The Guardian, https://www.theguardian.com/technology/2018/oct/25/facebook-fined-uk-privacy-access-user-data-cambridge-analytica (last visited: Nov. 12, 2018)
歐盟法院做成先決裁判,臉書粉絲專頁管理員也有責任保護用戶資料隱私, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&i=148&d=8065&lv2=148 (最後瀏覽日:2018/11/12)
英國提出因應GDPR自動化決策與資料剖析規定之細部指導文件, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&i=148&d=8063&lv2=148 (最後瀏覽日:2018/11/12)
三菱電機informationsystems公司所研發用於圖書館的系統封包MELIL/CS造成引進系統的圖書館發生個人資訊外洩與Web館藏檢索系統當機的系統障礙。從2010年7月到9月因系統障礙,總共有3間圖書館,共2971人的姓名、出生日期、住址、電話及圖書名稱等個人資料外洩。 有關個人資料外洩的經過,是因為三菱電機informationsystems公司在研發MELIL/CS系統時,先在引進系統的圖書館進行系統測試,於測試之後再將系統程式帶回公司修改,此時就不知情的將存有個人資料的程式帶回公司,也把這些資料登錄到產品的原始碼上。因此將進行測試的2間圖書館使用人約210人的個人資料登錄於該產品的原始碼上。 但發生個資外洩的直接原因更在於負責三菱電機informationsystems公司產品運作、維修的銷售伙伴千代田興產公司,該公司所設置的伺服器完全沒有設定權限區分,甚至不需密碼就可以連接該公司伺服器存取資料。因此發生第三人進入該公司伺服器,下載3個引進該系統圖書館約3000人的個人資料。 另外對於Web館藏檢索系統當機的發生,是因為圖書館使用人為了獲取圖書館新增加館藏圖書的資訊,以自動蒐集資訊程式直接存取館藏資料庫所發生。三菱電機informationsystems公司當初在設定網路連接圖書館系統,是以一次存取可以連接10分鐘的方式,所以只要以連接頻率高的機械性存取,只要超過資料庫的同時連接數的設定數值,就會發生存取障礙。 對於三菱電機informationsystems公司系統設計失當及千代田興產公司未設定伺服器存取權限所造成個人資料外洩事件,因為這兩家公司都是屬於財團法人日本情報處理開發協會(JIPDEC)的取得隱私標章企業,所以由JIPDEC依據隱私標章營運要領中的「有關賦予隱私標章規約」第14條規定,各處以由2011年1月起3個月的隱私標章停權處分。
從推動體系及法制架構思考我國文化創意產業發展之整合以南韓推動組織與法制架構為例 美國化學營業秘密哪些必須揭露?哪些可以保密?為因應有害化學物質所產生之公安事件,2015年6月8號美國職業安全管理局(Occupational Safety and Health Administration,簡稱(OSHA))發佈一項措施,針對具危險性化學物質之運輸過程,規範處理程序,包括製造商須提供物質安全數據表,以及可能具有風險的有害物質說明書等。 為此,OSHA考量到此將影響化學製造商營業秘密保護,遂提出判斷準則,以釐清對於化學製造商而言,何種情況將構成營業秘密,包括:(1)在一定的程度內該資訊是否已被外界所知;(2)在一定程度內,該資訊對於員工或其他參與者是否已知;(3)是否有一定程度對於該資訊內容進行保護措施;(4)該資訊對於競爭對手是否有價值;(5)是否投入大量時間和金錢開發該資訊;(6)該資訊對企業而言是否得被他人簡易取得與複製。 進而在符合上述營業祕密要件時,企業即無須對一般員工(非研發工程師)揭露化學公式等內容,其中包括一般操作人員或者運輸人員等。然而考量到此等人員接觸化學物質情況頻繁,倘若操作人員或者運輸人員工作過程中,因有害但屬營業祕密之化學物質造成意外傷害,為平衡公眾安全與營業秘密之保障,OSHA要求化學製造商必須立即提供醫護人員有害化學物質方程式等內容,但可要求醫護人員簽訂保密協議,藉此兼顧公安與營業秘密之保障。
防範網路釣魚──事後追究有其侷限,多管齊下始屬正途