澳洲主管機關起訴Google違法誤導客戶同意使用個資
2020年7月澳洲競爭及消費者委員會(Australian Competition and Consumer Commission, ACCC)正式對Google提告,針對Google於2016年的一項個資改變政策的內容,以誤導的方式取得用戶同意,而擴大使用個資範圍的行為。
於2016年,Google希望透過在其帳戶中所取得的個資,連結到用戶在非Google網頁中的瀏覽紀錄,如此Google將能夠依據這些資訊,更準確的在其他網站中投放廣告,以提升廣告費收入。為結合用戶於Google及其他網站的資料,Google需更改原本的個資隱私政策,然而事實上Google並沒有實際取得用戶對於此項改變的同意,反而以類似服務改進的通知:「我們為您的帳戶加入了一些可選擇性的功能,讓您能更好掌控Google所蒐集的資訊及使用方式,同時允許Google向您展示相關的廣告」等文字,誤導用戶藉以徵得用戶對個資政策改變的同意。
雖然Google承諾於2022年後,逐步移除Chrome瀏覽器中第三方Cookie的啟用,此動作將會阻止其他網站透過網路,追蹤到Google用戶的瀏覽紀錄,但由於目前Google還是依據用戶的瀏覽紀錄,針對用戶的特定偏好投放廣告來賺取收益,因此這種廣告模式短期內不太可能有所改變。若ACCC在這次與Google的訴訟中勝訴,那表示未來業者對於取得客戶同意(包括收集使用個資)的方式,從原本習慣使用概括性描述並隱藏使用個資真正目的等用語,來取的客戶同意的模式將有所改變。
- Correction: ACCC alleges Google misled consumers about expanded use of personal data
- Australia charges Google for
- Australian watchdog accuses Google of privacy breaches
- ‘Your explicit consent’ – what it means and why the ACCC is taking Google to court (again)
- Why is the ACCC taking Google to court and what could it mean for ads on the internet?
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
謝宜庭
法律研究員 編譯整理
AUSTRALIAN COMPETITION AND CONSUMER COMMISSION v GOOGLE LLC, NSD816/2020, (FCA. filed July.30, 2020) https://www.accc.gov.au/system/files/ACCC%20v%20Google%20LLC%20-%20Concise%20Statement.pdf (last visited Aug. 05, 2020).
AUSTRALIAN COMPETITION AND CONSUMER COMMISSION [ACCC], Correction: ACCC alleges Google misled consumers about expanded use of personal data (2020/27 July), https://www.accc.gov.au/media-release/correction-accc-alleges-google-misled-consumers-about-expanded-use-of-personal-data (last visited Aug. 05, 2020).
Anadolu Agency [AA], Australia charges Google for 'misleading' consumers (2020/27 July), https://www.aa.com.tr/en/asia-pacific/australia-charges-google-for-misleading-consumers/1923667 (last visited Aug. 04, 2020).
ROD McGUIRK , Australian watchdog accuses Google of privacy breaches, Taiwan News, Aug. 4, 2020, https://www.taiwannews.com.tw/en/news/3974942 (last visited Aug. 04, 2020).
Emily Booth,‘Your explicit consent’ – what it means and why the ACCC is taking Google to court (again), HOLDING REDLICH, Aug. 12, 2020, https://www.holdingredlich.com.au/your-explicit-consent-what-it-means-and-why-the-accc-is-taking-google-to-court-again (last visited Aug. 18, 2020).
Josh Taylor, Why is the ACCC taking Google to court and what could it mean for ads on the internet? The Guardian, July. 28, 2020, https://www.theguardian.com/australia-news/2020/jul/28/why-is-the-accc-taking-google-to-court-and-what-could-it-mean-for-ads-on-the-internet (last visited Aug. 18, 2020).
日本於2022年5月18日公布「經濟安全保障推進法」,為了確保、防止經濟相關活動危害國家安全,該法將自公布後2年內(至2024年5月17日)分階段施行。日本已於8月1日設立「經濟安全保障推進室」承擔與相關省廳調整作業、制定基本方針及公共評論等,將與日本國家安全保障局(NSS)共同完成經濟安全保障政策。 經濟安全保障推進法主要有四個面向: 一、確保重要物資安定供給(該法第2章)。 二、提供安全基礎設備的審查(該法第3章)。 三、重要技術的開發支援(該法第4章)。 四、專利申請的非公開制度(該法第5章)。 首先就重要物資部分,明定須符合國民生存不可或缺、過分依賴海外支援、若停止出口等原因將導致中斷供給、或實際有中斷供給情事發生等要件,即為重要物資。國家會提供資金等資源援助重要物資的企業經營者,但對其有調查權,若企業不接受調查則受有罰則。 而針對電信、石油等領域之基礎設備,為穩定提供勞務及避免該基礎設備有損害國家安全、社會經濟秩序之虞,於基礎設備引進或維護管理時,企業須事前申報相關計畫書(記載重要設備供給者、設備零組件等),倘認為有妨害國家安全之虞,則可採取禁止設備導入、終止管理等必要措施。 關於重要技術開發支援,列舉了20個領域包括AI、生物技術等,將由經濟安全保障基金撥款,選定各領域之研究人員組成產官協議會委託研究業務等,但應對研究內容為保密,否則設有徒刑等罰則。 另對於科技技術之發明專利,若公開將損及國家安全時,專利廳會將專利申請送交內閣府,採取保全指定措施,於指定期間內,禁止其向外國申請IP、禁止公開發明內容、暫時保留專利核定,防止科技的公開和資訊洩露,但國家應補償不予專利許可所遭受之損失。 針對上開政策已有業者反映國家管理措施太强,將可能成為企業絆腳石,特別是進行審查時有可能導致企業活動速度放慢,應掌握實際情況。
美國對於智慧聯網 IoT 環境隱私保障展開立法工作有鑒於智慧聯網IoT環境下,許多智慧型手持裝置及行動通訊裝置,大量蒐集消費者資訊之隱私權暨資訊安全考量,美國國會於2013年5月10日提出「應用軟體隱私暨資訊安全保護法草案」(Application Privacy, Protection, and Security Act of 2013, APPS Act of 2013, H.R. 1913)進行審議。「應用軟體隱私暨資訊安全保護法草案」草案針對應用軟體(Application)在蒐集消費者資訊前,如何落實「同意」機制,乃強制行動通訊裝置應用軟體開發商(developer)應:(1)提供使用者個人資料蒐集、使用、儲存及公開之通知(notice),而該通知含括所蒐集個人資料之種類、使用目的、有償公開第三者之類別及資料儲存等;(2)取得使用者之同意(consent);消費者依據該草案亦有權撤銷其「同意」(withdrawal of consent)。此外,草案乃強制要求該行動通訊裝置應用軟體開發商,就非法近取之個人資料及經去識別化應用軟體蒐集之個人資料,應採取合理及適當之防衛措施(security measures on personal data and de-identified data)。 並且,針對網路環境下隱私權保護議題,更早之前,美國國會於2013年2月28日提出「線上禁止追蹤法草案」(Do-Not-Track Online Act of 2013) 進行審議。「線上禁止追蹤法草案」草案乃要求聯邦貿易委員會(FTC),就透過個人線上活動追蹤,以蒐集、使用個人資料之行為態樣,進行管制。該管制模式謹據以要求如下:(1)被搜集資料個人應收到簡單、明確、並載明資料使用目的之通知(clear, conspicuous and accurate notice and use of such information),而個人就該通知應予明白之同意(affirmative consent);(2)FTC未來在訂定標準規範時,應(shall)考量所被搜集之資料,是否在匿(隱)名基礎上處理之,遂該資料無法有效被聯結(指認)到特定個人或裝置上;此外,消費者當享有資料不被蒐集的權利(expressed preference by individual not to have personal information collected)。該草案並就違反之個人,設定最高15,000,000美元損害賠償規定。
綠不綠有關係?!-論綠色資料中心及其相關能源效率法制政策 德國資料保護會議通過「哈姆巴爾宣言」,針對人工智慧之運用提出七大個資保護要求德國聯邦及各邦獨立資料保護監督機關(unabhängige Datenschutzaufsichtsbehörden)共同於2019年4月3日,召開第97屆資料保護會議通過哈姆巴爾宣言(Hambacher Erklärung,以下簡稱「Hambacher宣言」)。該宣言指出人工智慧雖然為人類帶來福祉,但同時對法律秩序內自由及民主體制造成巨大的威脅,特別是人工智慧系統可以透過自主學習不斷蒐集、處理與利用大量個人資料,並且透過自動化的演算系統,干預個人的權利與自由。 諸如人工智慧系統被運用於判讀應徵者履歷,其篩選結果給予女性較不利的評價時,則暴露出人工智慧處理大量資料時所產生的性別歧視,且該歧視結果無法藉由修正資料予以去除,否則將無法呈現原始資料之真實性。由於保護人民基本權利屬於國家之重要任務,國家有義務使人工智慧的發展與應用,符合民主法治國之制度框架。Hambacher宣言認為透過人工智慧系統運用個人資料時,應符合歐盟一般資料保護規則(The General Data Protection Regulation,以下簡稱GDPR)第5條個人資料蒐集、處理與利用之原則,並基於該原則針對人工智慧提出以下七點個資保護之要求: (1)人工智慧不應使個人成為客體:依據德國基本法第1條第1項人性尊嚴之保障,資料主體得不受自動化利用後所做成,具有法律效果或類似重大不利影響之決策拘束。 (2)人工智慧應符合目的限制原則:透過人工智慧系統蒐集、處理與利用個人資料時,即使後續擴張利用亦應與原始目的具有一致性。 (3)人工智慧運用處理須透明、易於理解及具有可解釋性:人工智慧在蒐集、處理與利用個人資料時,其過程應保持透明且決策結果易於理解及可解釋,以利於追溯及識別決策流程與結果。 (4)人工智慧應避免產生歧視結果:人工智慧應避免蒐集資料不足或錯誤資料等原因,而產生具有歧視性之決策結果,控管者或處理者使用人工智慧前,應評估對人的權利或自由之風險並控管之。 (5)應遵循資料最少蒐集原則:人工智慧系統通常會蒐集大量資料,蒐集或處理個人資料應於必要範圍內為之,且不得逾越特定目的之必要範圍,並應檢查個人資料是否完全匿名化。 (6)人工智慧須設置問責機關進行監督:依據GDPR第12條、第32條及第35條規定,人工智慧系統內的控管者或處理者應識別風險、溝通責任及採取必要防範措施,以確保蒐集、處理與利用個人資料之安全性。 (7)人工智慧應採取適當技術與組織上的措施管理之:為了符合GDPR第24條及第25條規定,聯邦資料保護監督機關應確認,控管者或處理者採用適當的現有技術及組織措施予以保障個人資料。 綜上所述,Hambacher宣言內容旨在要求,人工智慧在蒐集、處理及利用個人資料時,除遵守歐盟一般資料保護規則之規範外,亦應遵守上述提出之七點原則,以避免其運用結果干預資料主體之基本權利。