WhatsApp因違反GDPR遭愛爾蘭資料保護委員會開罰2.25億歐元
愛爾蘭資料保護委員會(Data Protection Commission,DPC)於今(2021)年9月宣告WhatsApp Ireland Limited(下稱WhatsApp)違反歐盟一般資料保護規則(General Data Protection Regulation,GDPR)並處以高額裁罰。
DPC自2018年12月起主動調查WhatsApp是否違反GDPR下的透明化義務,包括WhatsApp透過其軟體蒐集用戶與非用戶的個人資料時,是否有依GDPR第12條至第14條提供包括個資處理目的、法律依據等相關資訊,以及該資訊有無符合透明化原則等,其中又以WhatsApp是否提供「如何與其他關係企業(如Facebook)分享個資」之相關資訊為調查重點。
歷經長時間的調查,DPC作為本案領導監管機關(lead supervisory authority),於2020年12月依GDPR第60條提交裁決草案予其他相關監管機關(supervisory authorities concerned)審議。惟DPC與其他相關監管機關就該裁決草案無法達成共識,DPC復於今年6月依GDPR第65條啟動爭議解決程序,而歐洲資料委員會(European Data Protection Board)在同年7月對裁決草案中的疑義做出有拘束力之結論,要求DPC提高草案中擬定的罰鍰金額。
DPC最終在今年9月2日公布正式裁決,認定WhatsApp未依第12條至第14條提供資訊予「非軟體用戶」之資料主體,而「軟體用戶」的部分也僅有41%符合規範,嚴重違反GDPR第5(1)(a)條透明化原則。據此,以母公司Facebook全集團營業額作為裁罰基準,DPC對WhatsApp處2.25億歐元之罰鍰,為GDPR生效以來第二高的裁罰,並限期3個月改善。
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
江佳芸
副法律研究員 編譯整理
Data Protection Commission (Ireland), Data Protection Commission announces decision in WhatsApp inquiry, Sep. 2, 2021, https://www.dataprotection.ie/index.php/en/news-media/press-releases/data-protection-commission-announces-decision-whatsapp-inquiry (last visited Oct. 19, 2021).
Data Protection Commission (Ireland), Decision in the matter of WhatsApp Ireland Limited made pursuant to Section 111 of the Data Protection Act 2018, Aug. 20, 2021, https://edpb.europa.eu/system/files/2021-09/dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf (last visited Oct. 19, 2021).
EDPB, Binding decision 1/2021 on the dispute arisen on the draft decision of the Irish Supervisory Authority regarding WhatsApp Ireland under Article 65(1)(a) GDPR, July 28, 2021, https://edpb.europa.eu/system/files/2021-09/edpb_bindingdecision_202101_ie_sa_whatsapp_redacted_en.pdf, (last visited Oct. 19, 2021).
Jeanne Kelly, WhatsApp Decision and the Data Protection Commission, Sep. 16, 2021, https://www.lexology.com/library/detail.aspx?g=caffc629-642b-4a36-a1b1-21890700b152 (last visited Oct. 19, 2021).
A&L Goodbody, WhatsApp decision considers scope of transparency obligations under the GDPR, Sep. 24, 2021, https://www.lexology.com/library/detail.aspx?g=b72881aa-6bf8-4f0d-af40-e8f9736e357d (last visited Oct. 19, 2021).
四年前,由M2Z網路公司(m2znetworks)向FCC建議,以AWS頻段(1.9GHz~2.1GHz建立)建立高速寬頻網路,並將運用其中一部份,建立速率達768Kbps的網路服務,在十年的期間內,免費提供公眾使用。M2Z計畫與美國各地申請BTOP(Broadband Technology Opportunities Program,寬頻技術機會計畫)補助的地方政府合作,建立免費無線寬頻服務。後續營運的支出將以廣告、與合作伙伴的收益及自有資金支應,並將支付收益的5%給美國財政部。 在經歷諸多考量後,2010年9月,FCC認為這並非一個好的政策措施,並向M2Z公司表示,將不支持這項計畫,而將繼續透過全國寬頻計畫以及普及服務基金的運作,促使寬頻網路普及化。 當M2Z提出這項計畫時,引起非常多的爭論,因其計畫初期提出將建立過濾色情內容的機制,使其成為家庭友善的服務。之後,包括頻譜使用的干擾以及768Kbps的免費網路是否符合需求,也引起其他網路服務商的反對,。而FCC所公布之國家寬頻計畫,其基礎目標是4Mbps之寬頻接取,因此M2Z的計畫顯然已經不合乎FCC的整體規劃。 消息公開之後,許多無線產業紛紛認同FCC的看法,如反對本項計畫最力的CITA無線協會即發表聲明表示,FCC放棄這項構想是正確的決定,因為M2Z的計畫將不能充分發揮AWS頻段的價值,同時提供的服務速度也太緩慢不符合公眾利益。FCC應回歸國家寬頻計畫,合理的規劃整體頻譜資源,釋出更多頻譜提供無線寬頻市場新的機會。
柏克萊市開啟奈米科技管理規範的先河美國柏克萊﹙Berkley﹚市議會日前無異議通過既有有害物質法令修正之決議,企圖涵蓋奈米物質之情形,此其為奈米科技地方性立法之首例。此項行動迫使研究人員及製造人必須於研究或生產過程中,申報所使用的奈米材料,以及提出有效管理奈米物質的證明。 在商業世界當中,奈米科技的目標是在原子或分子層次,藉由改變或創造新的成份,以發展出新的產品及材料。不過,這些材料是否會產生環境及健康方面的問題,目前尚不得而知。 此項修正已蘊釀兩年。市府官員表示,此項法規修正主要在於監管奈米新創事業﹙startups﹚或小型企業﹙small business﹚,而非國家型實驗室﹙the national lab﹚所造成的影響,因為後者目前係由美國能源部﹙Department of Energy﹚所管理,地方法規對其並無管理權限。一開始,國家實驗室相當反對柏克萊市的這項計畫;不過,經過溝通其表示未來將繼續支持該市市府的行動。 負責柏克萊市有害物質管理事務的Nabil Al-Hadithy表示,他期許這項新法成為其他城市有效管理奈米物質的榜樣,並希望其他城市能夠將這樣類型的規範,有效運用在全加州的健康及安全法規上。
日本修正「請求揭露匿名網路霸凌者個人資料」之程序網際社群服務的普及,如Face Book、Instagram、Twitter或網路論壇,將人與人之間的社群連結從實體拓展到虛擬,社群網路的蓬勃發展充分展現言論自由,人人皆以匿名方式藏身於社群網路的保護傘下盡情抒發己見,但相對也產生層出不窮的網路霸凌事件。 日本於修正《關於特定電子通訊服務業者損害賠償責任限制及使用者資訊揭示法》(特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律)前,遭受匿名網路霸凌的被害人若想對加害人提起損害賠償訴訟,須同時對社群網路服務業者及網路服務供應業者聲請禁止刪除資料假處分,被害人承擔巨大的程序成本,卻仍須承擔訴訟程序中,社群網路供應商因系統保存時效屆期而自動刪除加害人IP位置資料之風險。 為了遏止頻繁的網路霸凌事件,日本國會已於2021年4月21日表決通過修正《關於特定電子通訊服務業者損害賠償責任限制及使用者資訊揭示法》,將「請求揭露匿名網路霸凌者個人資料」由原本的假處分及通常訴訟程序修正為非訟程序,被害人僅須向法院提出聲請狀,如法院判斷該聲請可特定網路服務供應業者,被害人即可請求社群網路服務業者及網路服務供應業者提供匿名誹謗者(即加害人)的姓名、地址及網路登錄紀錄。另外,為避免IP位置資訊被刪除的風險,法院可於非訟程序進行中,先命社群網路服務業者禁止刪除該IP位置資訊,大幅推進被害人程序利益之保障。
歐盟金融監管機構共同建議強化現行之永續金融揭露規則為促進綠色轉型並提高對投資人之保護,歐洲銀行監理機關(European Banking Authority, EBA)、歐洲保險與職業年金監理機關(European Insurance and Occupational Pensions Authority, EIOPA)及歐洲證券與市場監理機關(European Securities and Market Authority, ESMA)於2024年6月18日針對永續金融揭露規則(Sustainable Finance Disclosure Regulation),向歐盟執委會(European Commission)發布共同意見。 現行的永續金融揭露規則於2019年制定並於2021年生效,其目的在提高金融產品服務的 ESG 揭露透明度和標準化,透過要求金融市場參與者提供可靠且可比較的 ESG 資料,使投資者能夠做出更明智的投資決策,引導投資人重視環境與永續議題。現行的永續金融揭露規則係以「商品標籤」之方式揭露金融商品資訊,但共同意見中認為此標籤制度並未提供明確標準或門檻,使投資人無法充分了解為何特定商品具有永續性,導致漂綠(greenwashing)及相關投資風險。 因此,本次共同意見向執委會建議,執委會應建立投資人易於理解且具有客觀標準之金融商品類別,解決上述資訊落差疑慮。共同意見建議,金融機構可採用「永續(sustainable)」與「轉型(transition)」兩項金融商品類別。以下簡介共同意見就兩項金融商品類別提供之建議: 一、永續類別 永續類別係指金融商品投資於已達到環境或社會永續門檻之經濟活動或資產。共同意見提及,執委會或可考慮將永續類別再拆分為環境永續類別與社會永續類別;但若拆分兩項類別,可能必須注意目前環境永續與社會永續兩項類別得參考之指標發展程度不一,未來在訂定門檻時如何確認相關指標需進一步討論。 二、轉型類別 轉型類別係指金融商品投資於尚未達到環境或社會永續門檻,但未來將逐步提高其永續性以達到永續類別門檻之經濟活動或資產。共同意見建議,執委會於訂定轉型類別之門檻時,應參考經濟活動分類標準之關鍵績效指標、轉型計畫、商品減碳路徑及減緩主要不利影響之措施等因素。 目前執委會正評估利害關係人意見及永續金融揭露規則實施經驗,作為改善歐盟永續金融制度之依據,因此共同意見亦建議,執委會應先進行消費者調查,再著手後續規則修訂,方能達到制度優化之成果,保障投資人權益及永續發展。