歐盟執委會(EC)因根據社群網站使用者的政治觀點投放精準廣告,遭歐盟資料保護監督機關(EDPS)訓誡
歐盟資料保護監督機關(European Data Protection Supervisor, EDPS)於2024年12月13日,就歐洲數位權利中心(Noyb - The European Center for Digital Rights,下稱noyb)之申訴做成決定,認定歐盟執委會(European Commission, EC)於社群媒體上依據使用者的政治傾向投放精準廣告,違反歐盟機構資料保護規則(Data Protection Regulation for EU institutions, bodies, offices and agencies, EUDPR),對EC作成訓誡處分。
本案背景事實:EC在2023年9月15日至28日間,於社群網站X上投放了精準廣告,旨在向公眾傳達EC當時正在推動的兒少性剝削防治法(Child Sexual Abuse Regulation, CSAR)草案。該草案本身亦因涉及對數位通訊服務的管制而引發了隱私爭議。EC委託X依照其制定的受眾方針進行廣告投放,該投放方針定義了某些包含和排除關鍵字,和排除了與政治利益相關的帳戶。該政策顯示,包含的關鍵字多與「親歐盟」的立場與情緒相關,包含特定政黨如荷蘭自由民主人民黨(Dutch VVD);而排除的關鍵字則多與「疑歐論」的立場與情緒相關,如Viktor Orban。X並透過關鍵字定位和相似(look-alike)策略,根據關鍵字和與代表資料(proxy data)相比較下顯示出的相似性,篩選成年荷蘭公民進行精準廣告投放。
Noyb認為此類廣告投放操作已經涉及EUDPR第10條第1項的特種個資(政治立場),在同條第2項之許可性條件未獲滿足之情況下,已構成EUDPR第4條第1項(a)的合法性原則的違反。EC則主張其並未利用X使用者的個人資料,也未打算處理特種個資,只是使用X的服務。EC還主張,為了傳達立法草案,並基於EC依歐盟條約(Treaty of EU, TEU)的提案權,其行為也應該被認為是出於EUDPR第5條第1項(a)的公共利益,具備合法基礎。
EDPS經過調查後,認定:
1.EC透過委託投放廣告和制定受眾方針,決定了資料處理的目的(purpose determination),在此範圍內,也應被認為是資料控制者。
2.社群媒體供應商透過比較和關鍵字分析將使用者歸類為具有某些宗教、哲學或政治信仰,亦屬處理了使用者的特種個資。
3.雖然當事人若屬主動公開特種個資,會滿足EUDPR第10條第2項(e)的許可性條件,但依照歐盟法院判決先例,僅點讚某些貼文不當然等於當事人主動公開其這類動態個人活動資料,且即便當事人使用公開帳戶可能滿足許可性條件,該資料之處理仍須具備合法性基礎。
4.TEU中有關提案權之規定本質上非常籠統,難認包含EC的宣傳活動。因此EC進行的資料處理其實並不符合EUDPR第5條所謂的有明確法律依據要求,從而,難認具備執行符合公共利益的任務之合法基礎。
5.最後,雖然EDPS認為EC違反EUDPR,但也同時認為,廣告已經結束,並無罰款的必要,因此僅對EC做成訓誡處分。
- European Data Protection Supervisor [EDPS], EDPS Decision concerning investigation in complaint case submitted by NOYB – European Center for Digital Rights on behalf of [redacted] against the European Commission (Case 2023-1205)
- EDPS, EDPB-EDPS Joint Opinion 4/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
賴威豪
副法律研究員 編譯整理
European Data Protection Supervisor [EDPS], EDPS Decision concerning investigation in complaint case submitted by NOYB – European Center for Digital Rights on behalf of [redacted] against the European Commission (Case 2023-1205), https://gdprhub.eu/images/7/7d/EDPSDecision_printed_Redacted-1.pdf (last visited Feb. 3, 2025).
EDPS, EDPB-EDPS Joint Opinion 4/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse, https://www.edps.europa.eu/system/files/2022-07/22-07-28_edpb-edps-joint-opinion-csam_en.pdf (last visited Feb. 3, 2025).
根據衛報指出,英國最新推出的手機行動定位追蹤服務恐將引發新一波個人隱私侵害爭議。該定位服務由業者World-Tracker提供,只要將欲追蹤的手機號碼輸入該服務網頁,就會有一通簡訊發到該手機介面上,詢問手機持有人是否希望被追蹤。若手機持有人以簡訊向系統回覆同意,World-Tracker就會在該服務網站上顯示出該手機位置地圖(目前使用Google地圖介面),精確值在50到500公尺。當手機移動,系統亦會隨時偵測手機位置並在網頁上顯示移動狀況。 經由電腦或手機等任何能上網的終端裝置即可使用該服務,目前能支援該服務的系統業者則包括Vodafone、O2、T-Mobile以及Orange。但已有人質疑,World-Tracker所提供的該項服務是否符合英國Ofcom所規範的個人隱私權保護正當程序,即定期發簡訊確認手機持有人之同意。此外,該服務將使非檢調機關得在未取得手機真正使用人同意之情形下,對手機位置進行監視,此亦有違反英國調查權法之虞(The Regulation of Investigatory Powers Act)。
從Google提起的「FITBEING」商標異議案談JPO對於近似與著名商標的判斷日本特許廳(Japan Patent Office,後稱JPO)於2024年6月駁回Google公司對來自中國大陸的深▲せん▼小▲ちぇ▼科技有限公司(後稱中國大陸公司)有關「FITBEING」文字商標的註冊異議,認為中國大陸公司的「FITBEING」商標與Google公司的「FITBIT」商標在外觀、發音等方面存在顯著差異,因此不會對消費者造成混淆。 中國大陸公司於2023年1月在日本申請註冊「FITBEING」文字商標,指定於第14類的「鐘錶和計時儀器」等商品。Google公司於同年8月對該商標提出異議,主張「FITBEING」商標與其於2018年註冊的「FITBIT」文字商標,在拼寫及發音上相似,並有致相關消費者混淆誤認之可能,違反日本商標法第4條第1項第11款、第15款。此外,Google公司亦表示其「FITBIT」文字商標已為Google穿戴設備的「周知」標識,應具有排他性。 JPO指出,儘管「FITBEING」和「FITBIT」在拼寫上皆以「FITB」開頭,惟二者字尾的「ING」和「IT」無論在文字外觀、字母數量還是音節數量上的差異皆具顯著差異。此外,JPO亦評估「FITBIT」商標是否為「周知」商標。依日本商標法第4條第1項第10款規定,與消費者廣泛認識其為表示他人營業商品或服務之商標相同或近似,使用於同一或類似之商品或服務者,不得註冊商標。本案中,JPO指出Google公司所提供的證據,包括各國市場調查報告和廣告宣傳資料,卻未能提交足夠的日本市場調查資料,以證明「FITBIT」在日本已被相關消費者廣泛認識為Google穿戴式設備的「周知」標識。因此,基於雙方商標近似及周知程度,JPO駁回了Google公司的異議,認定兩商標無導致消費者混淆誤認之虞。 由本案可知,日本JPO對商標近似性的判斷標準與我國大致相同,均會考量商標的外觀、發音及涵義的差異。企業在設計創作商標時,應檢視商標的外觀、讀音以及涵義,避免欲註冊商標與現有商標近似,以避免無法取得註冊商標。此外,若欲主張「周知商標」,企業應確保提交充分的當地市場調查資料證明商標的知名程度,包括當地市場的消費者調查結果及銷售資料等,當面臨爭議時,用以主張商標的著名程度。 本案目前經JPO駁回Google公司的異議後,尚無進一步的訴願或訴訟公開資訊。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw/)
英國無線電頻譜管理改革政策(上)-政策源起與目標 何謂德國「資訊科技安全法(IT-Sicherheitsgesetz)?德國聯邦議會於2015年通過資訊科技安全法(IT-Sicherheitsgesetz),主管機關為聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI),隸屬於德國聯邦內政部(Bundesministerium des Innern)。目的是為保障德國公民與企業使用的資訊系統安全,特別是在全國數位化進程中,攸關國家發展的關鍵基礎設施,讓德國成為全球資訊科技系統及數位基礎設施安全的先驅與各國的模範,同時藉此強化德國資訊科技安全企業的競爭力,提升外銷實力。 該法案主題包括,在關鍵基礎設施上改進企業資訊科技安全、保護公民的網路安全、確保德國聯邦資訊科技、加強聯邦資訊技術安全局的能力與資源、擴展聯邦刑事網路犯罪的調查權力。 該法主要係針對關鍵基礎設施營運者(Kritische Infrastrukturbetreiber) 進行安全要求,例如在能源、資訊科技、電信、運輸和交通、醫療、水利、食品、金融與保險等領域的企業。德國聯邦政府要求關鍵基礎設施的營運商,要滿足資訊科技安全的最低標準,且須向聯邦資訊安全局通報資訊安全事件。聯邦資訊安全局要對關鍵基礎設施營運商的資訊進行評估分析,並提供給關鍵基礎設施營運商彙整改善,以提高其基礎設施的保護。