歐盟執委會(EC)因根據社群網站使用者的政治觀點投放精準廣告,遭歐盟資料保護監督機關(EDPS)訓誡
歐盟資料保護監督機關(European Data Protection Supervisor, EDPS)於2024年12月13日,就歐洲數位權利中心(Noyb - The European Center for Digital Rights,下稱noyb)之申訴做成決定,認定歐盟執委會(European Commission, EC)於社群媒體上依據使用者的政治傾向投放精準廣告,違反歐盟機構資料保護規則(Data Protection Regulation for EU institutions, bodies, offices and agencies, EUDPR),對EC作成訓誡處分。
本案背景事實:EC在2023年9月15日至28日間,於社群網站X上投放了精準廣告,旨在向公眾傳達EC當時正在推動的兒少性剝削防治法(Child Sexual Abuse Regulation, CSAR)草案。該草案本身亦因涉及對數位通訊服務的管制而引發了隱私爭議。EC委託X依照其制定的受眾方針進行廣告投放,該投放方針定義了某些包含和排除關鍵字,和排除了與政治利益相關的帳戶。該政策顯示,包含的關鍵字多與「親歐盟」的立場與情緒相關,包含特定政黨如荷蘭自由民主人民黨(Dutch VVD);而排除的關鍵字則多與「疑歐論」的立場與情緒相關,如Viktor Orban。X並透過關鍵字定位和相似(look-alike)策略,根據關鍵字和與代表資料(proxy data)相比較下顯示出的相似性,篩選成年荷蘭公民進行精準廣告投放。
Noyb認為此類廣告投放操作已經涉及EUDPR第10條第1項的特種個資(政治立場),在同條第2項之許可性條件未獲滿足之情況下,已構成EUDPR第4條第1項(a)的合法性原則的違反。EC則主張其並未利用X使用者的個人資料,也未打算處理特種個資,只是使用X的服務。EC還主張,為了傳達立法草案,並基於EC依歐盟條約(Treaty of EU, TEU)的提案權,其行為也應該被認為是出於EUDPR第5條第1項(a)的公共利益,具備合法基礎。
EDPS經過調查後,認定:
1.EC透過委託投放廣告和制定受眾方針,決定了資料處理的目的(purpose determination),在此範圍內,也應被認為是資料控制者。
2.社群媒體供應商透過比較和關鍵字分析將使用者歸類為具有某些宗教、哲學或政治信仰,亦屬處理了使用者的特種個資。
3.雖然當事人若屬主動公開特種個資,會滿足EUDPR第10條第2項(e)的許可性條件,但依照歐盟法院判決先例,僅點讚某些貼文不當然等於當事人主動公開其這類動態個人活動資料,且即便當事人使用公開帳戶可能滿足許可性條件,該資料之處理仍須具備合法性基礎。
4.TEU中有關提案權之規定本質上非常籠統,難認包含EC的宣傳活動。因此EC進行的資料處理其實並不符合EUDPR第5條所謂的有明確法律依據要求,從而,難認具備執行符合公共利益的任務之合法基礎。
5.最後,雖然EDPS認為EC違反EUDPR,但也同時認為,廣告已經結束,並無罰款的必要,因此僅對EC做成訓誡處分。
- European Data Protection Supervisor [EDPS], EDPS Decision concerning investigation in complaint case submitted by NOYB – European Center for Digital Rights on behalf of [redacted] against the European Commission (Case 2023-1205)
- EDPS, EDPB-EDPS Joint Opinion 4/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
賴威豪
副法律研究員 編譯整理
European Data Protection Supervisor [EDPS], EDPS Decision concerning investigation in complaint case submitted by NOYB – European Center for Digital Rights on behalf of [redacted] against the European Commission (Case 2023-1205), https://gdprhub.eu/images/7/7d/EDPSDecision_printed_Redacted-1.pdf (last visited Feb. 3, 2025).
EDPS, EDPB-EDPS Joint Opinion 4/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse, https://www.edps.europa.eu/system/files/2022-07/22-07-28_edpb-edps-joint-opinion-csam_en.pdf (last visited Feb. 3, 2025).
Google 在2007年4月買下DoubleClick之後,競標落敗的微軟連同其他Google對手,控告Google和DoubleClick的結合,恐怕有壟斷之嫌,因此引來FTC和歐盟執委會的調查。 Google此前已經於去年12月首先取得美國聯邦貿易委員會的併購核準。歐盟執行委員會(EUropean Commission;EC)則於日前宣布通過無條件批准Google以31億美元收購線上廣告業者DoubleClick的購併案。 另據CNN Money網站報導,歐盟執委會通過雙方合併,主要基於沒有重大證據顯示,雙方的結合將會削弱微軟(Microsoft)、雅虎(Yahoo!)、美國線上(AOL)等競爭對手的生存空間;其次,Google和DoubleClick彼此並不存在競爭關係,雙方合併對線上廣告市場的競爭,不至於帶來負面的衝擊。 不過,提倡保護個人隱私的組織反對該收購交易,他們認為Google與DoubleClick合併之後,使兩家公司更容易獲取消費者個人資訊。但是歐盟執委會表示個人隱私權問題並非是否同意兩家公司合併的考量事項。 在得到歐盟方面正式核準之後,Google將會正式採取行動併購DoubleClick,將其線上廣告的經營,從文字廣告拓展至顯示廣告(display advertisement)領域。但在這塊線上廣告市場的步步進逼,勢必會刺激微軟加速買下雅虎的決心。
日立全球儲存科技公司對大陸微型硬碟製造商提起專利侵權訴訟硬碟製造商日立全球儲存科技公司(Hitachi Global Storage Technologies)聲明該公司已於2004年12月28日於北加州地方法院對中國大陸硬碟製造商南方匯通微型硬碟科技股份有限公司(GS Magicstor of China)及其位於加州Milpitas之聯合研究機構GS Magic and Riospring of Milpitas, CA提起專利侵權訴訟,主張南方匯通侵害日立對於生產硬碟所擁有的多項專利權,並希望獲得財產上損害賠償並永久禁止GS Magic繼續於美國製造、利用、進口、販售該侵權產品,求償額度目前尚未公佈。 日立所生產的一吋硬碟已被裝配於Apple的iPod Mini MP3隨身聽,該公司更計畫於今年開發更小的微型硬碟。
美國高速公路運輸安全局(NHTSA)發佈針對車輛對車輛間溝通的研究報告國家高速公路運輸安全局(NHTSA)發佈即將針對車輛與車輛間通訊訂立規則的訊息,以管理車對車之間(V2V)通訊技術,V2V技術最主要著眼在於避免碰撞,根據調查百分之94的車禍事故都有人為因素牽涉其中,V2V技術可以讓車輛有效的認知碰撞的情況與潛在威脅。V2V技術仰賴的是鄰近車輛之間的通訊溝通並交換訊息,以警告駕駛潛在的導致碰撞安全威脅,例如:V2V可以警告駕駛前車正在煞停,所以候車必須隨之減速以免碰撞,或是警告駕駛在經過十字路口的時候處於不安全的情況,因為有一輛看不見的車輛正以高速朝路口靠近。V2V通訊技術使用精密的短距離通訊技術以交換車與車子之間的基本訊息,諸如:位置、速度、方向已決定是否要警告駕駛以避免碰撞。本項規則制訂的提案可謂是數十年來NHTSA與各部門間合作努力的成果,包含汽車產業界、各州運輸交通部門、學術機構以建立共識的標準。NHTSA的提案當中規制運用在所有輕型車輛V2V技術使用無線電傳輸協定與光譜頻寬總稱為精密短距通訊技術(DSRC)。這項立法規制要求所有的車輛都應該要透過標準化技術講共同的語言,並且要求所有車輛均要納入安全與隱私保護的措施。本次即將管制的車輛包括一般轎車、多功能車(MPV)、卡車、公車,車輛在4536公斤以下的車輛未來必須配備V2V的通訊系統。 ●交換資訊部分 僅交換基本安全訊息,其中包含車輛的動態訊息諸如行進方向、速度、位置。這些基本的安全訊息每秒交換高達10次,裝有V2V裝置的車輛將保留這些訊息,去評判是否有碰撞的威脅。如果系統覺得有必要,將立即發出訊息警告駕駛採取必要措施避免立即碰撞。 ●V2V未來可能應用 ■十字路口動態輔助:車輛進入十字路口前,如果會發生碰撞會加以警示。 ■左轉輔助:駕駛一旦左轉會撞上來車的時候,特別在於駕駛視線被擋住的情況下,會加以警示。 ■警急電子煞車燈:同方向行進車輛,前車忽然減速的情況下,V2V技術可以允許使經過透視前車的情況下,知道駕駛目前正在減速,所以可以針對視線外的急煞車預先因應。 ■前端碰撞警示:前端碰撞警示將警告駕駛即將到來的撞擊,避免撞擊前車。 ■盲點警示與變換車道警示:車輛變換車道的時候系統將警告位於盲點區域的車輛即將靠近,避免在變換車道的時候發生碰撞。 ■超車警示:警告駕駛超車並不安全,因為對向車道正有車輛往此方向前進。 ●面對網路攻擊 ■設計訊息認證方案,確保交換訊息時的安全性。 ■每一項交換的訊息均會經過偵測避免惡意攻擊。 ■惡意攻擊的回報機制:諸如身份錯誤配置的訊息、惡意車輛阻擋V2V訊息。 ●隱私保護 在設計最初期即導入V2V僅允許分享蒐集通用的安全資訊,對於個人或其他車輛的資訊不能加以蒐集與傳輸。 目前NHTSA將針對本項提案蒐集公眾意見(預計將進行九十天),並審核公眾所提交意見是否可行,在發佈最終的規則。
美國聯邦航空總署公布《無人機遠端識別最終規則》美國聯邦航空總署(Federal Aviation Administraiton, FAA)於2020年12月28日公布「無人機遠端識別最終規則(Final Rule on Remote Identification of Unmanned Aircraft)」,針對250克以上無人機的遠端身分識別操作規則進行規範: (1)標準配備有遠端識別的無人機: 無人機需透過wifi或藍芽等技術廣播(broadcast)其遠端識別資訊,包含無人機ID,即無人機序號(serial number)或交談識別碼(session ID);無人機的速度、經緯度和海拔高度;控制站的經緯度和海拔高度;緊急狀況的狀態和時間戳記(time mark)。該規則要求無人機廣播範圍內大多數的個人無線裝置(wireless device)都可取得無人機的遠端識別訊息,但序號、交談識別碼以及註冊資料庫僅限FAA和被授權人員可於特定情況下取得。 (2)額外加裝遠端識別廣播模組的無人機: 廣播模組可能為與無人機連線的獨立裝置,或以加裝於無人機內部的形式存在,此類無人機必須於視距內操作,並透過wifi或藍芽等技術廣播其遠端識別資訊,包含模組的序號;無人機的速度、經緯度和海拔高度;起飛地點的經緯度、海拔高度和時間戳記。 (3)於FAA認可之識別區域(FAA-Recognized Identification Areas, FRIA)中飛行: 在FRIA區域中,無人機可不具備遠端識別飛行,但無人機操作需處於視距內與FRIA區域界線內。 該最終規則已送至美國聯邦公報辦公室(Office of the Federal Register),且會在公告後60天生效,預計於2021年1月公告。