澳洲主管機關起訴Google違法誤導客戶同意使用個資
2020年7月澳洲競爭及消費者委員會(Australian Competition and Consumer Commission, ACCC)正式對Google提告,針對Google於2016年的一項個資改變政策的內容,以誤導的方式取得用戶同意,而擴大使用個資範圍的行為。
於2016年,Google希望透過在其帳戶中所取得的個資,連結到用戶在非Google網頁中的瀏覽紀錄,如此Google將能夠依據這些資訊,更準確的在其他網站中投放廣告,以提升廣告費收入。為結合用戶於Google及其他網站的資料,Google需更改原本的個資隱私政策,然而事實上Google並沒有實際取得用戶對於此項改變的同意,反而以類似服務改進的通知:「我們為您的帳戶加入了一些可選擇性的功能,讓您能更好掌控Google所蒐集的資訊及使用方式,同時允許Google向您展示相關的廣告」等文字,誤導用戶藉以徵得用戶對個資政策改變的同意。
雖然Google承諾於2022年後,逐步移除Chrome瀏覽器中第三方Cookie的啟用,此動作將會阻止其他網站透過網路,追蹤到Google用戶的瀏覽紀錄,但由於目前Google還是依據用戶的瀏覽紀錄,針對用戶的特定偏好投放廣告來賺取收益,因此這種廣告模式短期內不太可能有所改變。若ACCC在這次與Google的訴訟中勝訴,那表示未來業者對於取得客戶同意(包括收集使用個資)的方式,從原本習慣使用概括性描述並隱藏使用個資真正目的等用語,來取的客戶同意的模式將有所改變。
- Correction: ACCC alleges Google misled consumers about expanded use of personal data
- Australia charges Google for
- Australian watchdog accuses Google of privacy breaches
- ‘Your explicit consent’ – what it means and why the ACCC is taking Google to court (again)
- Why is the ACCC taking Google to court and what could it mean for ads on the internet?
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
謝宜庭
法律研究員 編譯整理
AUSTRALIAN COMPETITION AND CONSUMER COMMISSION v GOOGLE LLC, NSD816/2020, (FCA. filed July.30, 2020) https://www.accc.gov.au/system/files/ACCC%20v%20Google%20LLC%20-%20Concise%20Statement.pdf (last visited Aug. 05, 2020).
AUSTRALIAN COMPETITION AND CONSUMER COMMISSION [ACCC], Correction: ACCC alleges Google misled consumers about expanded use of personal data (2020/27 July), https://www.accc.gov.au/media-release/correction-accc-alleges-google-misled-consumers-about-expanded-use-of-personal-data (last visited Aug. 05, 2020).
Anadolu Agency [AA], Australia charges Google for 'misleading' consumers (2020/27 July), https://www.aa.com.tr/en/asia-pacific/australia-charges-google-for-misleading-consumers/1923667 (last visited Aug. 04, 2020).
ROD McGUIRK , Australian watchdog accuses Google of privacy breaches, Taiwan News, Aug. 4, 2020, https://www.taiwannews.com.tw/en/news/3974942 (last visited Aug. 04, 2020).
Emily Booth,‘Your explicit consent’ – what it means and why the ACCC is taking Google to court (again), HOLDING REDLICH, Aug. 12, 2020, https://www.holdingredlich.com.au/your-explicit-consent-what-it-means-and-why-the-accc-is-taking-google-to-court-again (last visited Aug. 18, 2020).
Josh Taylor, Why is the ACCC taking Google to court and what could it mean for ads on the internet? The Guardian, July. 28, 2020, https://www.theguardian.com/australia-news/2020/jul/28/why-is-the-accc-taking-google-to-court-and-what-could-it-mean-for-ads-on-the-internet (last visited Aug. 18, 2020).
歐盟電子通訊隱私指令(Directive 2002/58/EC on Privacy and Electronic Communications, e-Privacy Directive)針對cookie(即業者為辨別使用者身份而儲存在用戶端上的資料)設置的規範,於2009年修正,將在今年在5月25日之前全面施行。歐盟跟據該項規定,要求業者,當其使用cookie追蹤網路使用者的使用行為時,必須取得網路使用者的「明示同意」,且每隔一年,業者皆必須重新取得該項「同意」,網路使用者亦得隨時撤回。實務上對於該項同意究竟應由業者「主動」要求,亦或「被動」等待網路使用者以允許cookie設置方式而直接視為同意,仍有爭議。 儘管如此,英國政府仍已決定內化該指令,制定其國內cookie設置規範。英國資訊委員會(Information Commission)將提出指導原則,協助業者遵循該規範。相關政府單位,亦已開始著手協助業者重新設定網頁瀏覽器。有關當局表示,英國政府將會在歐盟限定的期限內推動此規範,不過,該歐盟指令係強制規範,業者是否能在短期內完成該規範遵循仍有疑議。針對此點,英國政府已通令其資訊委員會,對於已著手改正其隱私規範並重新設置瀏覽器的業者,即便未於期限內完成該規範遵循,亦不受罰。英國未來實施的cookie設置規範究竟會如何發展,仍待觀察。
美國商務部修改《出口管制規則》限制華為取得由美國技術及軟體設計製造的半導體產品美國商務部工業及安全局(Bureau of Industry and Security, BIS)於2020年5月15日公告,為防止中國大陸華為取得關鍵技術,修正美國《出口管制規則》(Export Administration Regulations, EAR)第736.2(b)(3)條第(vi)款「外國直接產品規則」(Foreign-Produced Direct Product Rule),限制華為透過國外廠商,取得包含美國技術及軟體設計製造在內的半導體產品,以保護美國國家安全。並於「實體清單」(Entity List)增加註腳一(footnote 1 of Supplement No. 4 to part 744)之規定,使部分出口管制分類編號(Export Control Classification Number, ECCN)第3(電子產品設計與生產)、4(電腦相關產品)、5(電信及資訊安全)類之技術所製造的產品,不能出口給華為與分支企業。 自2019年起,BIS將華為及其114個海外關係企業列入實體清單以來,任何要出口美國產品給華為的企業,必須事先取得美國出口許可證;然而,華為及其海外分支機構透過美國委託海外代工廠商生產產品事業,繞道使用美國軟體和技術所設計的半導體產品,已破壞美國國家安全機制與設置出口管制實體清單所欲達成之外交政策目的。本次為修補規則漏洞調整「外國直接產品規則」,不僅限制華為及其實體清單所列關係企業(例如海思半導體),使用美國商業管制清單(Commerce control list, CCL)內的軟體與技術,設計生產產品。美國以外廠商(例如我國台積電)為華為及實體清單所列關係企業生產代工,使用CCL清單內的軟體與技術,設計生產的半導體製造設備與產品,亦將同受《出口管制規則》之拘束。這代表此類外國生產產品,從美國以外地區,透過出口、再出口或轉讓給華為及實體清單上的關係企業時,皆需取得美國政府出口許可證,影響範圍擴及全球產業供應鏈。
歐盟營業秘密指令草案因巴拿馬文件揭露事件,受到歐洲議會熱烈討論巴拿馬避稅文件被揭露後,引發歐洲議會(European Parliament)重新檢視正待審核的歐盟營業秘密指令草案(the proposed Directive on Trade Secrets Protection),避免企業營業秘密之保護影響揭弊人(whistleblowers)舉發企業弊端之意願。 執委會2013年11月正式提出歐盟營業秘密指令草案,目的為調合歐洲內部市場營業秘密規範,以建立保護創新者的環境,並維持歐洲企業競爭優勢。2015年12月執委會、歐洲議會及理事會(the Council of the European Union)召開三方會議協商,對於歐盟營業秘密指令內容達成共識,準備進入立法表決。 巴拿馬事件發生後,公民團體Corporate Europe Observatory之代表Martin Pigeon認為,歐盟營業秘密指令可能成為企業對付揭弊人的工具,以掩蓋不當或違法行為,而公開弊端資訊的揭弊人可能因洩漏營業秘密而有刑事責任。但主導該指令立法程序之歐洲議會議員Constance Le Grip表示,營業秘密指令會明確地將記者及揭弊人除罪化。 事實上,為了保障公共利益所為之揭露行為,執委會2013年提出的草案已納入揭弊人排除條款。根據草案第4條第2項規定,會員國應確保為了公共利益目的而揭露不當、錯誤或不法活動(revealing a misconduct, wrongdoing or illegal activity),不會觸犯(entitle)營業秘密法之任何罪名。換句話說,即便取得企業機密之方式違法,揭弊人為了公共利益之行為不會違反營業秘密指令。 歐盟營業秘密指令僅建立歐盟保障營業秘密之最低標準,若歐盟營業秘密指令順利通過,仍待會員國依據該指令各自立法,訂立境內營業秘密相關規範,以落實營業秘密之保護。
日本政府內閣於今年3月提出個人資料保護法修正草案為因應2016年正式上路實施之社會保障與納稅人識別號碼制度(社会保障・税番号制度)對於個人資料保護所產生之影響,日本政府內閣於2015年3月10日於國會提出個人情報保護法之修正案。 此次修正案主要分有六大重點,包含個資定義擴充與明確化、確保個資文件內容之正確性、強化個資保護規範內容、設立個人情報保護委員會、個資情報處理全球化,以及其他修正事項如未得當事人同意之第三人使用個資條件嚴格化等。 其中主要有兩項係與社會保障與納稅人識別號碼制度相關。首先是強化個資保護規範內容部分,由於社會保障與納稅人識別號碼制度將遇有個資資料庫使用情況,故新增個資資料庫之相關規範與罰則,行為人於未經授權或不當使用個資資料庫時,將可處1年以下拘役併科日幣50萬元以下之罰金,亦即當行為人違反個資法有關個資資料庫規定時,不但須支付罰金也須負刑事責任。 其次,擬設立直屬內閣總理大臣所轄之個人情報保護委員會,其委員組成人選須經參眾兩議院同意後,由內閣總理大臣任命之。委員會主要任務在於專責監督與監測政府各機關以及民間個資處理事業對於個資的傳遞、處理,並適時提出指導意見或建言。