歐盟執委會(EC)因根據社群網站使用者的政治觀點投放精準廣告,遭歐盟資料保護監督機關(EDPS)訓誡
歐盟資料保護監督機關(European Data Protection Supervisor, EDPS)於2024年12月13日,就歐洲數位權利中心(Noyb - The European Center for Digital Rights,下稱noyb)之申訴做成決定,認定歐盟執委會(European Commission, EC)於社群媒體上依據使用者的政治傾向投放精準廣告,違反歐盟機構資料保護規則(Data Protection Regulation for EU institutions, bodies, offices and agencies, EUDPR),對EC作成訓誡處分。
本案背景事實:EC在2023年9月15日至28日間,於社群網站X上投放了精準廣告,旨在向公眾傳達EC當時正在推動的兒少性剝削防治法(Child Sexual Abuse Regulation, CSAR)草案。該草案本身亦因涉及對數位通訊服務的管制而引發了隱私爭議。EC委託X依照其制定的受眾方針進行廣告投放,該投放方針定義了某些包含和排除關鍵字,和排除了與政治利益相關的帳戶。該政策顯示,包含的關鍵字多與「親歐盟」的立場與情緒相關,包含特定政黨如荷蘭自由民主人民黨(Dutch VVD);而排除的關鍵字則多與「疑歐論」的立場與情緒相關,如Viktor Orban。X並透過關鍵字定位和相似(look-alike)策略,根據關鍵字和與代表資料(proxy data)相比較下顯示出的相似性,篩選成年荷蘭公民進行精準廣告投放。
Noyb認為此類廣告投放操作已經涉及EUDPR第10條第1項的特種個資(政治立場),在同條第2項之許可性條件未獲滿足之情況下,已構成EUDPR第4條第1項(a)的合法性原則的違反。EC則主張其並未利用X使用者的個人資料,也未打算處理特種個資,只是使用X的服務。EC還主張,為了傳達立法草案,並基於EC依歐盟條約(Treaty of EU, TEU)的提案權,其行為也應該被認為是出於EUDPR第5條第1項(a)的公共利益,具備合法基礎。
EDPS經過調查後,認定:
1.EC透過委託投放廣告和制定受眾方針,決定了資料處理的目的(purpose determination),在此範圍內,也應被認為是資料控制者。
2.社群媒體供應商透過比較和關鍵字分析將使用者歸類為具有某些宗教、哲學或政治信仰,亦屬處理了使用者的特種個資。
3.雖然當事人若屬主動公開特種個資,會滿足EUDPR第10條第2項(e)的許可性條件,但依照歐盟法院判決先例,僅點讚某些貼文不當然等於當事人主動公開其這類動態個人活動資料,且即便當事人使用公開帳戶可能滿足許可性條件,該資料之處理仍須具備合法性基礎。
4.TEU中有關提案權之規定本質上非常籠統,難認包含EC的宣傳活動。因此EC進行的資料處理其實並不符合EUDPR第5條所謂的有明確法律依據要求,從而,難認具備執行符合公共利益的任務之合法基礎。
5.最後,雖然EDPS認為EC違反EUDPR,但也同時認為,廣告已經結束,並無罰款的必要,因此僅對EC做成訓誡處分。
- European Data Protection Supervisor [EDPS], EDPS Decision concerning investigation in complaint case submitted by NOYB – European Center for Digital Rights on behalf of [redacted] against the European Commission (Case 2023-1205)
- EDPS, EDPB-EDPS Joint Opinion 4/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
賴威豪
副法律研究員 編譯整理
European Data Protection Supervisor [EDPS], EDPS Decision concerning investigation in complaint case submitted by NOYB – European Center for Digital Rights on behalf of [redacted] against the European Commission (Case 2023-1205), https://gdprhub.eu/images/7/7d/EDPSDecision_printed_Redacted-1.pdf (last visited Feb. 3, 2025).
EDPS, EDPB-EDPS Joint Opinion 4/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse, https://www.edps.europa.eu/system/files/2022-07/22-07-28_edpb-edps-joint-opinion-csam_en.pdf (last visited Feb. 3, 2025).
美國貿易代表署近日公布特別 301不定期檢討報告,將台灣降級改列一般觀察名單。經濟部智慧財產局表示,對於美方仍有疑慮的藥品資料專屬權問題,衛生署已提出相關立法草案,台灣也將持續與美國合作,加強查緝網路侵權。 台灣連續3年名列美國特別301優先觀察名單,這幾年政府修法、加強取締盜版等努力,終於獲得美方肯定,將台灣降級改列一般觀察名單。 智慧局表示,美國對台灣取締侵權行為的執行面表示肯定,期待台灣繼續健全智慧財產權保護的相關法令,台美雙方也將持續合作加強查緝網路侵權行為。這次台灣未能直接從特別 301名單除名,與藥品資料專屬權保護有關。 智慧局表示,台美雙方對於世界貿易組織(WTO) 與貿易有關智慧財產權協定(TRIPS)的解讀略有不同 ,美方認為新藥上市前送審的檢驗資料應列入智慧財產權保護範圍,但 TRIPS並未明定保護年限。行政院衛生署去年已同意立法予以保護,但草案尚未完成立法,美方也多次表達關切。 智慧局表示,台灣保護智慧財產權的努力,不會因為美國特別 301名單公布與否而稍有鬆懈,相關工作都 會持續進行。智慧局相信只要相關立法進度順利,加上政府與全民持續努力保護智慧財產權,台灣應可在美國4月份定期檢討時完全由特別301名單中除名。
淺談創新應用服務(OTT)之創新與規範課題淺談創新應用服務(OTT)之創新與規範課題 科技法律研究所 法律研究員 蔡博坤 2015年05月26日 隨著資通訊科技快速的發展,例如網際網路、雲端運算、智慧聯網、巨量資料、4G/5G等等,創新應用服務(Over-the-top, OTT)已逐漸包含各種基於網際網路之服務與內容。此科技應用的服務應如何在現行法律規範體系下被論及,其本身以及衍生的議題復為何,均為所欲介紹的核心,本文係以美國作為觀察之對象,希冀對於我國未來在OTT領域之法制有所助益。 壹、美國FCC對於創新應用服務(OTT)的態度觀察 在美國,聯邦通訊委員會(Federal Communication Commission, FCC)係美國境內主管電信與通訊領域聯邦層級的主管機關,對於網際網路上之新興應用服務,為鼓勵新興技術的發展,一向以避免管制為原則,也因此一些OTT TV或VoIP之商業模式,近年來無論係在美國境內抑或境外,皆有著長足的發展。另一方面,隨著科技快速變遷,FCC亦與時俱進持續透過公眾諮詢,尋求是否有調整相關定義,抑或擴張規範管制之必要。例如,2014年12月,FCC發布一個法規修訂公開意見徵集的通知(Notice of Proposed Rulemaking, NPRM),希冀更新目前於1934年通訊法(Communications Act of 1934)下之相關規範,以反映目前透過網際網路所提供的影音服務,特別將更新對於Multichannel Video Programming Distributor(MVPD)一詞定義。 貳、關鍵之法制課題 由於FCC在創新應用服務(OTT)領域市場管制者(market regulator)的角色乃至關重要,同時,提供此應用服務的業者,無論係電信業者還是新興科技業者,其彼此間相互且複雜之法律關係,所衍生之法制議題,實有必要探討以及釐清,謹就兩個層面的問題概述如下: 關於第一個層次網路中立(Net Neutrality)的議題,從相關案例實務判決觀察,2014年2月,美國有線寬頻業者Comcast即以頻寬有限資源,以及確保網路流量充足的理由,說服Netflix服務營運商,同意因此付費給Comcast,而雙方所進行之合作,也引起所謂網路中立性的爭議課題。今(2015)年2月,FCC於最新通過的Open Internet Order,有別於過往命令僅能有限度地適用於行動網路服務業者(mobile broadband),新的命令將能全面性地適用於固網以及行動網路業者,反應近年來在無線寬頻網路科技之快速進展,將擴張保護消費者近取網際網路的方式。 其次,觀察目前美國境內OTT的業者,包括Now TV、Netflix、Ditto TV、Whereever TV、Hulu、Emagine、myTV等,均有建置整合平台,俾利提供消費者新型態的商業服務,從知名Netflix公司所建構的平台政策,相關重要的規範課題包含資料的蒐集、處理與利用,也提到對於安全性的重視與兒少保護等。在相關隱私權議題面向,其指出,由於使用者得通過不同的媒介透過網際網路近取相關服務,誠是些來源皆有各自獨立之隱私權聲明、注意事項與使用規約,除了提醒用戶應盡相關的注意義務外,相關衍生的責任亦會予以劃清。 參、簡評 從上述可得知,創新應用服務(OTT)整體之發展,係與網際網路(Internet)相關推動工作係一體的,因此,我國未來如欲推動OTT相關創新服務,相關網際網路所衍生的議題,例如網路中立等,勢必將成為重要的法制層面所亟需探究之課題。 在我國,如同美國聯邦通訊委員會(FCC)角色之行政主管機關係國家通訊傳播委員會(NCC),在主管的法令中,目前依據電信法相關規範,電信事業應公平提供服務,除另有規定外,不得為差別處理(第21條);無正當理由,第一類電信事業市場主導者不得對其他電信事業或用戶給予差別待遇,抑或不得為其他濫用市場地位或經主管機關認定之不公平競爭行為(第26-1條)。 相關法律條文規範是否可因此援引作為討論創新應用服務(OTT)之法源基礎,復如何調和第一類電信事業市場主導者與新興應用服務科技業者之關係,仍存在著灰色地帶。從鼓勵產業創新之觀點出發,謹初步建議從正面的立場,鼓勵相關創新應用發展,宜避免逕就OTT服務過度管制。
美國公民權利辦公室就Sentara醫療機構違反個資外洩通知義務予以重罰美國衛生及公共服務部(Department of Health and Human Services, 下稱HHS)轄下的公民權利辦公室(Office for Civil Right, 下稱OCR)在2019年11月27日,正式對Sentara醫療機構處以217萬美元行政罰,主因該機構違反《健康保險可攜與責任法》(Health Insurance Portability and Accountability Act, 下稱HIPAA)的醫療個資外洩通知義務。 HIPAA是美國有關醫療個資管理的主要規範,依據HIPAA第164.400條以下「違反通知規則」(Breach Notification Rule)規定,當超過500位病患的「受保護健康資訊」(Protected Health Information, 下稱PHI)遭受不當使用或被外洩時,除應通知受害人外,還必須立即告知HHS以及在當地知名媒體發布新聞。而OCR主要負責檢查受規範機構,是否確實執行HIPAA隱私、安全和違反通知規則。 而在2017年4月,HHS收到指控Sentara將含有病患姓名、帳號、就診日期等涉及PHI的帳單發送到錯誤地址,造成557名病患個資外洩。Sentara卻認為該帳單內容未含有病患病歷、治療資訊或其他診斷紀錄,且僅有8人被影響,並非HIPAA應進行個資外洩通知義務之範疇,故不依規定程序通報HHS。不過OCR認為依HIPAA第160.103條規定,PHI包含病史、保險資訊、就醫紀錄(含日期)、身心健康狀態等可識別個人之健康資訊。因此認為Sentara確實違反個資外洩通知義務,予以罰款並命檢討改善。 Sentara醫療機構服務範圍橫跨美國維吉尼亞州(Virginia)和北卡羅來納州(North Carolina),共有12家急性照護醫院、10家護理中心和3家照護機構,為美國最具知名的大型非營利醫療機構之一。這次重罰也告誡國內醫療機構當發生敏感性醫療個資外洩時應從嚴判斷,以避免民眾對醫療照護單位失去信任,確保國內醫療機構體系應恪遵HIPAA規範。
美國聯邦首席資料長委員會指出2021年工作重點之一在於促進跨機關的資料共享2021年1月6日,美國聯邦首席資料長委員會(Federal Chief Data Officers Council, 後稱CDO Council)向美國國會提交報告,報告中指出今年度的工作重點之一將放在促進聯邦政府跨機關的資料共享,以極大化政府資料的價值。 CDO Council是根據2018年的《實證決策基本法》(Foundations for Evidence-Based Policymaking Act of 2018)所設立,並於2020年1月正式召開第一次會議,該委員會的成員包含聯邦政府各部會的首席資料長(Chief Data Officers, CDO)。該委員會的任務是加強各部會利用資料作為戰略資產的能力,促進聯邦政府資料的管理、使用、保護、傳播和衍生,以達到聯邦資料戰略(Federal Data Strategy)所設定的目標。 美國農業部首席資料長兼CDO Council主席Ted Kaouk表示,以農業部所建置的農業資料共通平台(Ag DATA COMMONS)為例,農業部所屬機關間透過資料共享,已產生許多應用。 譬如:該部所屬的食品與營養局(Food and Nutrition Service, FNS)利用經濟研究局(Economic Research Service, ERS)統計的糧食不安全(Food Insecurity)資料,推動食物箱計畫(Farmers to Families Food Box Program);農業部所屬風險管理局(Risk Management Agency, RMA)使用平台上其他單位的資料,作為作物保險(crop insurance)的決策依據;農業部所屬食品安全和檢驗局(Food Safety and Inspection Service, FSIS)使用平台上其他單位的資料,來追蹤肉品加工廠的狀況。 CDO Council於去(2020)年10月成立了一個資料共享工作小組(Data Sharing Working Group),負責研究聯邦政府各機關間資料共享的使用案例,希望透過這樣的努力,強化聯邦政府的資料治理,產生高品質與即時性的資料,以此作為政府的決策依據。