法國CNIL認Google於Gmail中投放之偽裝廣告及個人化廣告因欠缺當事人有效同意而違法,開罰3.25億歐元
法國國家資訊與自由委員會(Commission Nationale de l’Informatique et des Libertés, CNIL)於2025年9月1日針對一起由歐洲數位權利中心(noyb - The European Center for Digital Rights)提出的申訴做成決議,指Google未經Gmail使用者同意,將廣告偽裝為電子郵件進行「偽裝廣告」(Disguised Ads)投放,以及在對Gmail使用者投放個人化廣告前,未能於Gmail帳號申請流程中提供當事人提供較少cookies、選擇非個人化之通用廣告(generic ads)的選項,違反了《電子通訊法》(code des postes et des communications électroniques)與《資訊與自由法》(loi Informatique et Libertés)中關於歐盟《電子隱私指令》(ePrivacy Directive)之施行規定,對Google裁處了3.25億歐元的罰鍰,並要求改善。以下節錄摘要該裁決之重點:
一、 偽裝成電子郵件的偽裝廣告與電子郵件廣告均須獲當事人同意始得投放
歐盟《電子隱私指令》第13條1項及法國《電子通訊法》規定,電子郵件直接推銷(direct marketing)僅在其目標是已事先給予同意的使用者時被允許。CNIL,依循歐盟法院(CJEU)判例法(C-102/20)見解,認為若廣告訊息被展示在收件匣中,且形式類似真實電子郵件,與真實電子郵件相同位置,則應被認為是電子郵件直接推銷,須得到當事人之事前同意。因此,CNIL認定偽裝廣告即便技術上不是狹義的電子郵件,僅僅因其在通常專門用於私人電子郵件的空間中展示,就足以認為這些廣告是透過使用者電子郵件收件匣傳遞的廣告,屬於電子郵件廣告,而與出現在郵件列表旁邊且獨立分開的廣告横幅不同,後者非屬電子郵件廣告。
二、 Cookie Wall下當事人的有效同意:「廣告類型」的選擇、服務申請流程的隱私設計與資訊透明
CNIL參酌歐盟個人資料保護委員會(European Data Protection Board, EDPB)第2024/08號關於「同意與付費模式」意見,認為同意接受廣告在特定條件下得作為使用Gmail服務的條件。換言之,以「cookie wall」(註:拒絕cookie的蒐集即無法獲得服務之網站設計)取得之當事人「同意」,非當然不自由或無效。CNIL認為,在免費服務的框架下,cookie wall在維持提供服務與服務成本之間的經濟平衡上,要求服務申請者須接受投放廣告的cookie是合法的。惟CNIL認為,這不代表Google可以任意決定所蒐集的cookies和相應廣告模式的類型。
CNIL要求,當事人在cookie wall的框架內仍應享有選擇自由,才能取得蒐集為投放個人化廣告之cookies的當事人有效同意,亦即:在個人化廣告處理更多個資和對當事人造成更多風險的情況下,當事人應被給予機會選擇「等值的替代選項」,亦即通用廣告,並完全且清晰地了解其選擇的價值、範圍及後果。
然而,CNIL發現,Google將與廣告個性化相關的cookies拒絕機制設計得比接受機制更複雜,實際上阻礙了使用者拒絕隱私干預程度更高的cookies。這種拒絕途徑偏袒了允許個人化廣告的cookies的同意,從而影響了當事人的選擇自由。CNIL也發現,Google從未以明確方式告知使用者建立Gmail帳戶時面臨cookie wall,以及對此使用者享有甚麼選擇,而其提供的資訊更引導使用者選擇個人化廣告,導致選擇一般廣告的機會遭到犧牲。
三、 為何不是愛爾蘭資料保護委員會(Data Protection Commission, DPC)管轄?
GDPR設有「單一窗口機制」,依據該合作機制,對Google進行的GDPR調查,應由作為主任監管機關(Lead Supervisory Authority)的愛爾蘭DPC管轄。惟在本案,CNIL認為並不適用於單一窗口機制。因為與cookies使用及電子推銷相關的處理並非屬於GDPR範疇,而是適用電子隱私指令,CNIL對法國境內的cookies使用及電子推銷處理享有管轄權。此爭議反映出即便GDPR旨在確保標準化單一市場內的數位管制,但尚不足以弭平成員國間監管強度之差異。
- Commission Nationale de l’Informatique et des Libertés [CNIL], Délibération de la formation restreinte n°SAN-2025-004 du 1er septembre 2025 concernant les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED
- Court of Justice of European Union [CJEU], Judgement of 25 November 2021, StWL Städtische Werke Lauf a.d. Pegnitz, C-102/20, EU:C:2021:954
- European Data Protection Board [EDPB], Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
賴威豪
副法律研究員 編譯整理
Commission Nationale de l’Informatique et des Libertés [CNIL], Délibération de la formation restreinte n°SAN-2025-004 du 1er septembre 2025 concernant les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED, https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000052182222. (Latest visited: 4. Nov., 2025.)
Court of Justice of European Union [CJEU], Judgement of 25 November 2021, StWL Städtische Werke Lauf a.d. Pegnitz, C-102/20, EU:C:2021:954, https://curia.europa.eu/juris/document/document.jsf?text=&docid=250043&doclang=en. (Latest visited: 4. Nov., 2025.)
European Data Protection Board [EDPB], Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms, https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-082024-valid-consent-context-consent-or_en. (Latest visited: 4. Nov., 2025.)
馬來西亞於2010年訂定個人資料保護法(Personal Data Protection Act, PDPA),惟當時並未立即施行,至2013年11月15日,才連同相關規則、命令正式施行。 任何因商業往來而取得個人資料之人,在馬來西亞境內以自動化工具處理(或授權、控制個人資料之處理)時,都必須遵循該法及其相關法令的規定。否則,將有可能面臨50萬元令吉(相當於新台幣450萬元)罰鍰或三年以下有期徒刑。 除此之外,2013年個人資料保護命令(Personal Data Protection Order 2013)更規定,通訊業、金融業、保險業、健康、遊樂業、運輸業、教育、直銷業、服務業、不動產業、公益事業等11種行業別的資料利用者,必須在2014年02月15日前向個資保護委員會註冊並取得執照。 針對施行前蒐集的個人資料,該法賦予三個月的寬限期,然而施行後所蒐集者立即適用,其中包括以下規定: 1.告知當事人蒐集目的、有權請求存取及更正,並提供聯絡窗口、電話、傳真號碼或e-mail等相關資訊,於21日內回覆當事人請求; 2.除履行契約所必要等情形外,處理個人資料前應取得當事人同意,且該同意若係透過既有表單取得,外觀上應與其他事項有所區別; 3.在蒐集目的內利用個人資料,將個人資料提供予第三人時,應定期維護該名單; 4.實施並確保從業人員遵循安全政策,該政策須符合個資保護委員會所定安全標準; 5.確保個人資料之完整性、正確性及最新性; 6.制訂保存期間政策; 7.除接受國事先經過核准、取得當事人同意或已盡相當能事確保個人資料不會以違反個資法規定之方式處理外,原則上禁止國際傳輸等。 馬來西亞由於該法的施行,早先於新加坡成為東協十國當中,第一個全面實施相關法規的國家,通訊暨多媒體部部長Ahmad Shabery Cheek表示,此舉將有助於馬來西亞躋身已開發國家之林。
OECD將制訂加密資產申報綱要G20要求OECD(經合組織)儘速制訂加密資產申報綱要(Crypto-Asset Reporting Framework, CARF),以建立「加密資產資訊自動交換制度」,使一國稅務機關有權收集,並與他國稅務機關交換從事加密資產交易者的稅務資訊。故OECD於今(2022)年3月發布公開徵詢文件,並於5月23日召開公開諮詢會議,並期能於今年10月完成CARF之制訂。 蓋人手一機的時代,透過APP買賣虛擬通貨及NFT等加密資產已是滑指日常。因使用區塊鏈技術,去中心化的特性使得所有交易都不需要傳統金融機構的中介或干預,又因為區塊鏈是分散式帳本,因此每一筆交易進行紀錄的礦工幾乎都不同。換言之,加密資產的交易及紀錄都有秘密性,金融機構與國家機關難以查得,就算能查到交易紀錄,也無法查得買賣加密資產雙方的真實身份,因此衍生出投資加密資產如有獲利,如果沒有申報,反正國家也查不到,就不用繳稅的問題。 因此,首段所稱CARF,即為解決前段因區塊鏈技術所引起的稅務挑戰,惟這項全新的交換制度涉及了加密資產與跨國稅務等事務,有賴全球合作,茲事體大,雖然CARF與現在已經在全球實施的稅務資訊自動交換制度類似,但顯有不同。
法國即將設立新的簽證種類「科技簽證viva tech」面向三類科技人才法國總統馬克宏(Emmanuel Macron)6月15日在法國巴黎舉行開幕的法國創新技術會議(Viva Technology)上,宣布兩項新政策措施:簽證與投資基金。馬克宏宣布,即將設立新的簽證種類「科技簽證viva tech」法國科技簽證面向三類科技人才:創業創始人,員工和投資者,並允許他們在法國生活和工作。其內容如下: 一、 有效期限為四年,並且已可再生做為基礎。 二、 其延伸至直系親屬,且配偶還可獲得居留許可,得在法國生活、工作。 受撫養的孩子也有權在法國居住。 三、 且其不需要額外的工作許可,而來自歐洲經濟區和瑞士的公民則不需要居留許可。 而針對法國科技簽證的資格,有三個,一為企業創始人,二為員工,三為投資者,而三者類型可以透過不同的途徑獲得「科技簽證」。 如:企業創始人要成為法國技術簽證的創業者,其申請條件包括計畫在法國發展經濟創新型的創業項目,始符合申請資格。 若想以僱員身分獲得法國技術簽證的資格,必須擁有研究生學位(碩士以上)、與法國公司有資格通過法國技術簽證招聘的最少3個月的工作合約、年薪總額至少35,526.40歐元(為2017年1月1日法國最低工資的兩倍)。 而針對投資者,該簽證瞄準風險投資家和商業天使投資創業公司,有幾種方法可以獲得法國投資者技術簽證的資格:一家外國風險投資公司在法國開設辦事處、外國投資者由法國的風險投資公司招募、商業天使(通常是成功的企業家)移居法國。而要獲得標有“商業投資者”的人才通行證,須投資至少30萬歐元的固定有形或無形資產。直接或通過您至少擁有30%股權的公司進行投資、至少擁有您所投資公司的10%,並且在投資後的四年內創造或保護工作,而法國風險投資公司招募的外國投資者則不要考慮這些標準。 法國今年夏天推出“法國簽證”項目,使簽證更容易發放,政府部門遵循的程序更加可靠。
紐西蘭人工智慧論壇所發佈人工智慧原則紐西蘭人工智慧論壇(AI Forum)協會成立於2017年,為非營利組織,是紐西蘭政府的重要智庫單位。該協會的AI法律、社會和倫理工作組於2020年3月4日發表了紐西蘭第一份《紐西蘭可信賴的AI指導原則》, 此指導原則目的在提供簡潔有力的人工智慧參考點,以幫助大眾建立對紐西蘭人工智慧的開發和使用的信任。此份AI指導原則對政府具有重要的參考價值。 《紐西蘭可信賴的AI指導原則》,內容摘要如下: 一、公平和正義 (一)適用紐西蘭及其他相關管轄地包含科克群島、紐埃、托克勞、南極羅斯屬地法律; (二)須保護紐西蘭國內法及國際法所規範的人權; (三)須保障《懷唐伊條約》中毛利人的權利; (四)民主價值觀包含選舉的過程和在知情的情況下進行公眾辯論; (五)平等和公正的原則,要求人工智慧系統不會對個人或特定群體造成不公正地損害、排斥、削弱權力或歧視。 二、可靠性、安全性和私密性 AI利益相關者須確保人工智慧系統及資料的可靠、準確及安全性,並在人工智慧系統的整個生命週期中,保護個人隱私以及持續的識別和管控潛在風險。 三、透明度 人工智慧系統的運作應是透明的、可追溯的、並在一定的程度上具可解釋性,在面對責問時能夠被解釋且經得起質疑。 四、人類的監督和責任 AI利益相關者,應該對人工智慧系統及其產出進行適當的監督。 在利益相關者確定適當的問責制度和責任之前,不應使用會對個人或群體造成傷害的技術。 五、福利 AI利益相關者應在適當的情況下設計、開發和使用人工智慧系統,盡可能促進紐西蘭人民和環境的福祉,像是健康、教育、就業、可持續性、多樣性、包容性以及對《懷唐伊條約》獨特價值的認可。 此份AI指引較大的特色有兩點,第一,紐西蘭人工智慧論壇協會的成員組成,其中女性成員比例超過半數。第二,在其指導原則中第一點的「公平和正義」及第五點「福利」中,都特別提到須遵守《懷唐伊條約》以確保毛利人的權益。在這樣的基礎下,能更期待紐西蘭在發展AI技術的過程,能夠更切實的做到公平正義、無歧視。