澳洲主管機關起訴Google違法誤導客戶同意使用個資
2020年7月澳洲競爭及消費者委員會(Australian Competition and Consumer Commission, ACCC)正式對Google提告,針對Google於2016年的一項個資改變政策的內容,以誤導的方式取得用戶同意,而擴大使用個資範圍的行為。
於2016年,Google希望透過在其帳戶中所取得的個資,連結到用戶在非Google網頁中的瀏覽紀錄,如此Google將能夠依據這些資訊,更準確的在其他網站中投放廣告,以提升廣告費收入。為結合用戶於Google及其他網站的資料,Google需更改原本的個資隱私政策,然而事實上Google並沒有實際取得用戶對於此項改變的同意,反而以類似服務改進的通知:「我們為您的帳戶加入了一些可選擇性的功能,讓您能更好掌控Google所蒐集的資訊及使用方式,同時允許Google向您展示相關的廣告」等文字,誤導用戶藉以徵得用戶對個資政策改變的同意。
雖然Google承諾於2022年後,逐步移除Chrome瀏覽器中第三方Cookie的啟用,此動作將會阻止其他網站透過網路,追蹤到Google用戶的瀏覽紀錄,但由於目前Google還是依據用戶的瀏覽紀錄,針對用戶的特定偏好投放廣告來賺取收益,因此這種廣告模式短期內不太可能有所改變。若ACCC在這次與Google的訴訟中勝訴,那表示未來業者對於取得客戶同意(包括收集使用個資)的方式,從原本習慣使用概括性描述並隱藏使用個資真正目的等用語,來取的客戶同意的模式將有所改變。
- Correction: ACCC alleges Google misled consumers about expanded use of personal data
- Australia charges Google for
- Australian watchdog accuses Google of privacy breaches
- ‘Your explicit consent’ – what it means and why the ACCC is taking Google to court (again)
- Why is the ACCC taking Google to court and what could it mean for ads on the internet?
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
謝宜庭
法律研究員 編譯整理
AUSTRALIAN COMPETITION AND CONSUMER COMMISSION v GOOGLE LLC, NSD816/2020, (FCA. filed July.30, 2020) https://www.accc.gov.au/system/files/ACCC%20v%20Google%20LLC%20-%20Concise%20Statement.pdf (last visited Aug. 05, 2020).
AUSTRALIAN COMPETITION AND CONSUMER COMMISSION [ACCC], Correction: ACCC alleges Google misled consumers about expanded use of personal data (2020/27 July), https://www.accc.gov.au/media-release/correction-accc-alleges-google-misled-consumers-about-expanded-use-of-personal-data (last visited Aug. 05, 2020).
Anadolu Agency [AA], Australia charges Google for 'misleading' consumers (2020/27 July), https://www.aa.com.tr/en/asia-pacific/australia-charges-google-for-misleading-consumers/1923667 (last visited Aug. 04, 2020).
ROD McGUIRK , Australian watchdog accuses Google of privacy breaches, Taiwan News, Aug. 4, 2020, https://www.taiwannews.com.tw/en/news/3974942 (last visited Aug. 04, 2020).
Emily Booth,‘Your explicit consent’ – what it means and why the ACCC is taking Google to court (again), HOLDING REDLICH, Aug. 12, 2020, https://www.holdingredlich.com.au/your-explicit-consent-what-it-means-and-why-the-accc-is-taking-google-to-court-again (last visited Aug. 18, 2020).
Josh Taylor, Why is the ACCC taking Google to court and what could it mean for ads on the internet? The Guardian, July. 28, 2020, https://www.theguardian.com/australia-news/2020/jul/28/why-is-the-accc-taking-google-to-court-and-what-could-it-mean-for-ads-on-the-internet (last visited Aug. 18, 2020).
美國證券交易委員會(The Securities and Exchange Commission,以下簡稱SEC)於2018年11月8日發出聲明,依據1934年的證券交易法(下稱證交法)第21C條對EtherDelta 創辦人Zachary Coburn 提起訴訟,並做出要求其停止交易之禁止令。 EtherDelta 乃為一線上交易平台,允許買家和賣家在其平台上交易「以太幣」和其他虛擬貨幣。其平台特徵有: 提供平台,促成虛擬貨幣交換 EtherDelta之網站提供一線上平台予買賣雙方,對經過平台認證的虛擬貨幣進行交易,促成虛擬貨幣交換。於網站成立之一年半中,其促成了360萬筆訂單。 以智慧合約自動驗證進行交易 EtherDelta以智慧合約(smart contract)維持網站運作,其智慧合約檢查用戶發出之訊息是否有效,於確認買賣雙方帳戶都有足夠資金後,自動進行交易。 提供資訊且對用戶資格未設限 EtherDelta於網站上提供虛擬貨幣之資訊,以及個別虛擬貨幣之每日交易量,同時於網站上顯示前500筆買方和賣方之交易資訊,以價格和顏色進行分類。而其對於成為網站用戶之資格並無限制。 SEC於本案中認為,EtherDelta並未註冊成為證券交易所,卻執行與證券交易相關之業務,已違反證交法,其論述理由為: EtherDelta平台上之虛擬貨幣屬於證券性質 本案SEC使用Howey Test—美國聯邦最高法院於1946年在SEC v. W. J. Howey Co. 一案中所確立之測試要件,來判斷是否符合證券。由於用戶以金錢購買虛擬貨幣,該金錢投資行為建立共同事業,且具有藉由他人努力而獲利之期待,故屬於證券性質之虛擬貨幣。 EtherDelta性質上為交易所,但未為註冊 EtherDelta 作為平台聚集大量投資人,並以智慧合約促成買賣雙方進行虛擬貨幣交換,已屬於實現證券交易之行為,具有證交所功能,故於不具有豁免情形下,其未註冊已違反證交法第5條規定。 本案就SEC之主張,EtherDelta並未為否認或承認之表示,但同意該禁止交易之命令,並同意支付SEC行使歸入權之30萬美元及其他判決前利息和罰款。 觀察目前美國對於虛擬貨幣買賣行為之監管,並無立專法規範,僅以證交法為準則,就個別虛擬貨幣之性質以Howey Test為檢驗,個案認定是否屬於證券。倘若屬於證券,則對於進行交易之平台課予證券交易所之責任,而對於虛擬貨幣而言,被認定為證券勢必被課予義務俾利增加投資人之保障,可能增加公開度及透明度,然其快速籌資之功能亦可能有所減損,SEC對於虛擬貨幣之監管影響與成效均值得繼續觀察之。另外,SEC曾於2017年7月25日針對The DAO做出一調查報告,其於報告中認為證券型之虛擬貨幣需要受到監管,從而本案作為DAO報告之後被裁罰之虛擬貨幣交易平台首例,有其作為里程碑之重要意義。首先其確立了SEC自DAO報告之後對於證券性質虛擬貨幣需監管之見解,再者表達SEC認為就算採用去中心化、分散式節點之方式進行證券交易,同樣屬於證交法所稱之「證交所」,不因此而豁免監管。
Refuah公司與紐約總檢察長達成和解並投資120萬美元保護病人資料紐約州總檢察長Letitia James於2024年1月5日與健康照護服務業者Refuah Health Center, Inc.(下稱Refuah公司)達成和解,主因為該公司遭受勒索軟體攻擊(ransomware attack),約25萬紐約州民個資遭到洩漏。和解協議要求Refuah公司支付共計45 萬美元之民事懲罰金及費用(penalties and costs),且應投資 120 萬美元加強網路安全(cybersecurity)。 Refuah公司主要業務為經營三家醫療機構和五輛行動醫療車(mobile medical vans)。2021 年 5 月,Refuah公司遭到勒索軟體攻擊,網路攻擊者得以近用數千名病人的資料,取得了包含姓名、地址、電話號碼、社會保險號碼、駕照號碼、出生日期、金融帳號、醫療保險號碼等資料。 依據檢察長辦公室的調查顯示,攻擊者之所以得近用這些資料,原因為 Refuah公司未採取適當安全維護措施,包括:未停用不活躍之使用者帳號(inactive user accounts);未定期更換使用者帳號憑證(user account credentials);未限制員工僅得近用其業務所必需之資源和資料;未使用多重要素驗證(multi-factor authentication)以及未加密病人資料。 依據協議內容,Refuah公司同意投資 120 萬美元,用於開發和維護更強大的資訊安全計畫(information security programs),以更妥適地保護病人資料。該協議還要求Refuah公司應: 1.維護全面的資訊安全計畫,以保護消費者資料的安全性、機密性和完整性; 2.實施並持續更新消費者資料近用限制相關政策和程序; 3.遠端近用資源和資料應使用多重要素驗證; 4.定期更新近用資源和資料的憑證; 5.至少每半年進行一次稽核,確保使用者僅近用其業務所必需之資源和資料; 6.對所有儲存或傳輸的消費者資料進行加密; 7.實施控制措施,監控和記錄公司網路和系統的所有安全和操作活動;以及 8.制定、實施和持續更新全面的事故應變計畫。 Refuah公司還須向州政府支付共計45 萬美元之民事懲罰金及費用,其中 10 萬美元將在該公司投入 120 萬美元開發和維護其資訊安全計畫後,得暫緩支付。
澳洲政府制定ISP反垃圾郵件從業規則澳洲政府於 3 月 28 日 發布了反垃圾郵件( anti-spam )從業規則( code of practice ),強制網路服務提供者( ISP )採取反制措施,以防堵大量、不請自來的電子郵件;業者若未配合新法的要求,將面臨鉅額的罰款。 繼 2003 年頒布的「垃圾郵件法」( Spam Act )後,澳洲通訊及媒體局( Communications and Media Authority )此次依據垃圾郵件法規定,針對 ISP 業者進一步制定了從業規則,成為對抗垃圾郵件的另一項重要工具。新法課予 ISP 業者的主要義務包括了: (1) 向用戶提供過濾垃圾郵件的服務選項; (2) 合理限制用戶電子郵件的發送;及 (3) 設立相關的投訴機制等。 為給予業者相當的緩衝時間,新法將自今年的 7 月 16 日 實施,屆時主管機關將針對澳洲當地近 700 家 ISP 業者進行檢查。一旦發現有違規情事,澳洲聯邦法院可對之處以 1,000 萬澳幣以下的罰款。