Facebook粉絲專頁管理者是否負有保護用戶個資隱私之控制者(Data Controller)責任
2018年6月5日歐盟法院針對Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie Schleswig-Holstein GmbH訴訟進行先訴裁定,擴大解釋《資料保護指令》(Directive 95/46/EC)之「資料控制者」範圍,認為Facebook和粉絲專頁管理者皆負有保護訪客資料安全的責任。由於「資料控制者」定義在《資料保護指令》與《一般資料保護規則》(GDPR)相同,因此裁定將影響未來使用社群媒體服務和平台頁面的個資保護責任。
本案起因德國Schleswig-Holstein邦獨立資料保護中心要求 Wirtschaftsakademie教育服務公司在Facebook經營之粉絲專頁必須停用,其理由認為Facebook和Wirtschaftsakademie進行之Cookie資料蒐集、處理活動並未通知粉絲成員且因此從中獲利,然Wirtschaftsakademie認為並未委託Facebook處理粉絲成員個資,當局應直接對Facebook要求禁止蒐集處理。歐盟法院認為Wirtschaftsakademie使用Facebook所提供之平台從中受益,即使未實際擁有任何個資,仍被視為負共同責任(jointly responsible)的資料控制者,應依具體個案評估每個資料控制者責任程度。
在原《資料保護指令》並未有「資料控制者需負共同責任」之規定,本案擴大解釋資料控制者範圍,對照現行GDPR屬於第26條「共同控制者」之規範主體,然而本案將資料控制者擴張到未實際處理資料之粉絲專頁管理者,是否過於嚴格?且未來如何劃分責任與義務,皆有待觀察。
林玉書
法律研究員 編譯整理
隨著網路蓬勃發展,個人資料之蒐集、處理及利用越來越普遍,同時也造成資料洩漏和濫用的問題日益嚴重,進而對隱私和個人資料構成侵害與威脅,為保障人民隱私和增強資料透明度,羅德島州州議會於2024年通過了一項具有里程碑意義的法律—《羅德島資料透明度與隱私保護法》(Rhode Island Data Transparency and Privacy Protection Act)。其核心內容包括以下幾個方面: 一、 適用對象:於羅德島州州內經營商業之營利組織(下簡稱企業),或主要生產製造商品、提供服務予該州居民之企業,且: 1. 在前一年度控制或處理超過三萬五千筆個人資料(personally identifiable information)者,但單純為完成付款交易之資料除外。 2. 控制或處理超過一萬筆個人資料,且總營收超過百分之二十係源自於銷售個人資料者。 二、 資料蒐集企業與資料當事人權利義務: 1. 選擇同意與退出權:前開適用對象應賦予資料當事人即消費者就其個人資料之蒐集、處理,行使選擇同意權(opt in)與退出權(opt out)。 2. 資料蒐集與利用透明度:要求企業蒐集個資前,須明確告知資料當事人蒐集目的、利用範圍以及可能的資料共享對象,並取得其同意。 3. 控制權:資料當事人有權向企業請求查詢、修改及刪除自己的資料,企業在接到請求後,必須即時處理該請求,並於45天之法定期限內准駁其請求;必要時得於通知當事人合理事由後,展延一次。 4. 安全維護措施:企業必須採取適當之安全維護措施來保護個人資料不受未經授權的近用、洩漏、竄改或毀損。前述措施,包括但不限於資料加密、權限管控等技術上管控措施。 5. 資料保護評估:企業須就「對消費者傷害風險較高」活動進行評估並保存文件化紀錄,包括: (1) 為精準行銷之目的(Targeted Advertising); (2) 銷售個人資料; (3) 為資料剖析之目的處理個人資料,且具合理可預見的風險將可能對消費者之財務、身體或名譽造成不公平或欺騙性的待遇,或非法的衝擊影響。 《羅德島資料透明度與隱私保護法》強化企業對資料隱私保護之責任,並督促其遵守法律要求。預計施行後將能加強對資料主體個人資料知情權、控制權、透明度及資料安全之保障。
印度隱私權制度下兒童資料安全的保護現狀印度電子資訊產業技術部(MeitY)2022年11月在網站上公布了個人資料資訊保護法草案(Digital Personal Data Protection Bill,以下簡稱該法案),並於2023年7月提交議會審查。目前印度民法不承認未成年人(未滿18歲者)具有自主簽訂契約的能力。因此,取得的兒童同意不具有法律效力,必須徵得父母或是監護人的同意才能合法蒐集兒童個人資料。 根據印度2022年個人資料資訊保護法案草案,任何未滿18歲的人都被歸類為「兒童」。該法案中同時限制專門向兒童發送的廣告,並且監管任何追蹤兒童行為的情況。目前國際隱私法(例如:歐盟通用資料保護條例 (GDPR)、加州消費者隱私法(CCPA)等)的兒童定義多在13至17歲之間。但考慮到兒童個人資訊的敏感性和潛在危害,印度政府採取了較保守嚴謹的路線。政府也已被授權制定有關處理兒童個人資訊的細則,特别是確保資料使用人不可使用可能對兒童造成傷害的個人資料。 根據社會發展狀況,兒童若每次在網路平台上進行活動時都需經過父母或是監護人同意不甚妥適,且根據前述說明,兒童界定年齡為18歲以下,若依照統一年齡範圍進行控管,實際執行上面臨窒礙難行之處。故修法者在對於該法案修改意見中,引用了其他國家隱私法中的不同年齡分類限制,以求降低年齡門檻限制,或是根據用戶的年齡制定差異化的授權要求。 另一個產生的爭議為,該如何驗證父母或是監護人的同意表示。法條中目前無明確規範何為「有效之同意表示」,現行各平台使用不同的方法獲得父母或是監護人的同意,目前有兩種方式,包括點選「同意」按鈕,或是在用戶條款中表示若使用服務等同於監護人同意。 關於兒童年齡之界定,是否將參考其他國家規範進行差異化設定,目前暫無明確定論(包括如何調整、年齡級距設定),根據資訊使用的普及,兒童年齡的界定可以預期的將會進行調整;關於如何有效驗證父母或是監護人的同意表示,目前在技術上大多服務商都偏好透過會員註冊時的同意按鈕或是用戶條款中列明若使用服務即代表同意這兩種方式認定,在這兩種方式之後,系統是否有設定驗證機制,以及需要何種驗證方式才可以認定父母或是監護人的同意表示是符合法律效力的,都需後續再進行研擬。
固網業者路權取得相關問題之研究 美國FTC以廣告不實的理由對二款具有診斷功能的醫療app開罰美國FTC於2月23日對於兩款聲稱具有診斷能力的醫療app進行裁罰,理由是這兩款app宣傳不實資訊,故應予下架並裁處罰鍰。 Melapp與Mole Detective兩款app,均係付費app,售價大約在1.99至4.99美元不等,宣稱只要使用者從不同角度拍下自己身上的痣,app就能夠判斷這個痣屬於黑色素瘤(Melanoma,為一種罕見的皮膚癌類型,且惡性程度高)的機率,app將罹患黑色素瘤的風險區分為:高、中、低三級。但FTC認為業者的說法並沒有足夠的臨床依據加以證明,因此涉及廣告不實的行為。截至目前為止,Melapp與Mole Detective的開發業者都已經繳納罰鍰,但發行商L-Health拒絕繳納這項罰款,因此FTC的委員會在經過表決之後,決定在2015年2月23日向北伊利諾州地方法院提起訴訟,請求法院執行此項由FTC作成的裁罰。 具有診斷效果的app在美國其實開發已久,但在此案前,尚未見到行政機關對之積極的加以管制,此次由FTC出面對於廣告不實的部分加以裁罰,而非由主管藥物、醫材的FDA進行裁罰,或許與眾人的想像不同,但從FTC的這個行動,我們也發現美國政府已開始關切此類宣稱具有醫療診斷效果的app,醫療app未來的發展情勢將會如何,特別是本案中將被FTC起訴的L-Health會不會再另行提起其他法律爭訟,以確保其產品在市面上的合法性?毋寧是未來世界各地醫療app發展的重要參考資訊。