法國CNIL重罰微軟因搜尋引擎Bing違法運用cookie
法國國家資訊自由委員會(Commission Nationale de l'Informatique et des Libertés, CNIL)基於cookie聲明(cookie banner)違反法國資料保護法(Act N°78-17 of 6 January 1978 on Information Technology, Data Files and Individual Liberties)裁罰微軟愛爾蘭分公司(Microsoft Ireland Operations LTD,下稱微軟)搜尋引擎Bing,並根據cookie蒐集資料間接產生的廣告收入、資料主題數量及處理的資料範圍定出6千萬歐元之罰鍰額度,且要求微軟應於3個月內限期改正,如逾期按日處以6萬歐元罰鍰。本案是繼2022年1月6日以來,CNIL以相同理由分別對Google與Facebook裁罰1.5億及6千萬歐元罰鍰後,再增1件科技巨頭因違法運用cookie遭受裁罰之案例。本案對我國隱私執法機關參酌於數位環境中,應就cookie聲明如何進行管理之理由與細節,具有參考價值。
而本案微軟之搜尋引擎Bing遭受裁罰之理由,主要可分為二面向:
一、未經使用者事前同意,逕於使用者設備中設置cookie
依法國資料保護法第82條規定,業者利用cookie或其他追蹤方式針對使用者終端設備上的資料進行讀取或寫入資料前,應盡告知義務並取得使用者同意。惟搜尋引擎Bing在使用者造訪網站時,未經使用者同意便設置一種具有安全及廣告等多種用途的cookie(MUID cookie)於其電腦設備,且當使用者繼續瀏覽網站時,將會另設置其他廣告cookie,然微軟亦未就此取得使用者同意。
二、拒絕設置cookie與給予同意之方式便利性應相同
在有效同意的標準與具體判斷上,由於搜尋引擎Bing的cookie聲明第一階層僅提供「接受」與「設定」兩類按鈕,並未提供「拒絕」按鈕,因此使用者同意或拒絕設置cookie之流程便利性有其差異,並未一致,如下說明:
(一)使用者同意設置cookie
如使用者同意設置cookie,僅需於cookie聲明的第一階層點擊「接受」按鈕,即完成設置。
(二)使用者拒絕設置cookie
若使用者欲拒絕設置cookie,需於cookie聲明的第一階層點擊「設定」按鈕;其後進入第二階層,使用者可於各類型cookie選擇開啟或關閉,再點擊「保存設定」按鈕,始完成設置。
是以使用者拒絕同意設置cookie與給予同意之方式,兩者的便利性並未一致。又因第二階層顯示默認未設置cookie,恐導致使用者誤以為網站並未設置cookie,故CNIL認為此種同意欠缺自願性而屬無效者。
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
盧秉羲
專案經理 編譯整理
Cookies: MICROSOFT IRELAND OPERATIONS LIMITED fined 60 million euros, Commission Nationale de l'Informatique et des Libertés, Dec 22, 2022, https://www.cnil.fr/en/cookies-microsoft-ireland-operations-limited-fined-60-million-euros(last visited December. 29, 2022.
吳采薇,〈法國資料保護機關要求Clearview AI刪除非法蒐集的個人資料〉,資訊工業策進會科技法律研究所,2022/1,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8774&no=64(最後瀏覽日:2022/12/29)。
羅健倫,〈歐盟個人資料保護委員會提出關於資料主體接近使用其個人資料權利之指引〉,資訊工業策進會科技法律研究所,2022/3,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8796&no=64(最後瀏覽日:2022/12/29)。
科法觀點
英國技術大臣(U.K. Secretary of State for Science)蜜雪兒·多尼蘭(Michelle Donelan)和美國商務部長(U.S. Secretary of Commerce)吉娜·雷蒙多(Gina Raimondo)於2024年4月1日在華盛頓特區簽署一份合作備忘錄(MOU),雙方將共同開發先進人工智慧(frontier AI)模型及測試,成為首批就測試和評估人工智慧模型風險等進行正式合作之國家。 此備忘錄之簽署,是為履行2023年11月在英國的布萊切利公園(Bletchley Park)所舉行的首屆人工智慧安全峰會(AI Safety Summit)上之承諾,諸如先進AI的急速進步及濫用風險、開發者應負責任地測試和評估應採取之適當措施、重視國際合作和資訊共享之必要性等等,以此為基礎羅列出兩國政府將如何在人工智慧安全方面匯集技術知識、資訊和人才,並開展以下幾項聯合活動: 1.制定模型評估的共用框架(model evaluations),包括基礎方法(underpinning methodologies)、基礎設施(infrastructures)和流程(processes)。 2.對可公開近用模型執行至少一次聯合測試演習(joint testing exercise)。 3.在人工智慧安全技術研究方面進行合作,以推進先進人工智慧模型之國際科學知識,並促進人工智慧安全和技術政策的一致性。 4.讓英、美兩國安全研究所(AI Safety Institute)間的人員互相交流利用其團體知識。 5.在其活動範圍內,依據國家法律、法規和契約規定來相互共享資訊。 換言之,兩國的機構將共同制定人工智慧安全測試之國際標準,以及適用於先進人工智慧模型設計、開發、部署、使用之其他標準。確立一套通用人工智慧安全測試方法,並向其他合作夥伴分享該能力,以確保能夠有效應對這些風險。就如英國技術大臣蜜雪兒·多尼蘭強調的,確保人工智慧的安全發展是全球性問題,只有通過共同努力,我們才能面對技術所帶來的風險,並利用這項技術幫助人類過上更好的生活。
「環境科技、環境政策與貿易」專題連載(3):環保標章、環境商品市場拓展與貿易