英國因劍橋分析個資外洩事件開罰臉書

  英國資訊專員辦公室(Information Commissioner’s Office, ICO)於2018年10月24日公告針對臉書公司(Facebook Ireland Ltd. & Facebook Inc.)之劍橋分析(Cambridge Analytica)個資外洩事件,依據英國資料保護法(Data Protection Act 1998)第55A條之規範,裁罰臉書公司50萬英鎊之罰鍰。

  自2018年3月劍橋分析違法取得與使用臉書個資事件爆發以來,估計約有8700萬筆臉書上的個人資料遭到違法使用,引起全球對於網路個資保護的重視。在遭到違法取得與使用的個資當中,也包含了歐盟以及英國臉書使用者的個資,因此英國ICO有權對此事件展開調查並對臉書公司進行裁罰。

  根據英國ICO的調查,自2007年至2014年間,臉書公司對於其平台上的個資處理(processed)有所不當,違反資料保護法之資料保護原則(Data Protection Principle,DPP),包含未適當處理個人資料(DPP1),以及未採取足夠的技術與作為防止未經授權或違法使用個資(DPP7),致使劍橋分析得以透過臉書公司提供之API違法取用臉書使用者個資。

  由於劍橋分析事件發生時,歐盟GDPR(General Data Protection Regulation)尚未正式上路,因此英國ICO依據事件發生時之法律,亦即基於歐盟資料保護指令(Directive 95/46/EC)所訂定之英國資料保護法,裁處臉書公司50萬英鎊的罰款;若依據基於GDPR之新版英國資料保護法(Data Protection Act 2018),臉書公司將可被裁處最高1700萬英鎊或年度全球營業額4%之罰款。

本文為「經濟部產業技術司科技專案成果」

相關連結
你可能會想參加
※ 英國因劍橋分析個資外洩事件開罰臉書, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8145 (最後瀏覽日:2024/11/10)
引註此篇文章
你可能還會想看
美國參議院提出「2019年物聯網網路安全促進法」草案

  自2016年Mirai殭屍網路攻擊事件後,物聯網設備安全成為美國國會主要關注對象之一,參議院於2017年曾提出「2017年物聯網網路安全促進法」(Internet of Things Cybersecurity Improvement Act of 2017)草案,防止美國政府部門購買有明顯網路安全性漏洞之聯網設備,並制定具體規範以保護聯網設施之網路安全,然而該法案最終並未交付委員會審議。   2019年4月,美國參議員Mark Warner提出「2019年物聯網網路安全促進法」草案(Internet of Things Cybersecurity Improvement Act of 2019),再度嘗試建立物聯網網路安全監管框架。本法將授權主管機關建立物聯網設備所應具備之安全性條件清單,而該清單將由美國國家標準與技術研究院(National Institute of Standards and Technology)擬定,並由管理與預算局(Office of Management and Budget, OMB)負責督導後續各聯邦機關導入由美國國家標準與技術研究院所制定之網路安全指引。本法草案相較於2017年的版本而言雖較具彈性,惟網路安全專家指出,清單之擬定與執行管理分別交由不同單位主責,未來可能導致規範無法被有效執行,且聯邦各層級單位所需具備之資安防護等級不盡相同,如何制宜亦係未來焦點。

2004年WIPO推出國際專利電子申請系統且申請數量激增

  世界智慧財產組織 (WIPO)於今年3月報導指出:WIPO於2004年推出了新的E-Pdoc申請系統,這一系統讓WIPO得以用電子形式接收、處理和發送國際專利優先權文件。有了此一電子申請系統,申請人可以要求同一件申請案以其在任何特定簽約國專利局首次提出申請的日期?國際專利申請日。如果申請得到有關國家專利局的專利授權,該先申請日還可以作?獲得國際專利有效保護的起始日期。    受到電子申請系統方便性之鼓舞, 2004年國際專利申請數量激增並正式突破了一百萬件申請的大關,同一年依據專利合作條約(PCT)規定所提交申請的數量也創下紀錄,共計12萬多件。其中美國繼續列在最大用戶榜首,但增長速度最快的是亞洲大陸─即:日本、韓國和中國大陸。

落實資訊傳遞之流程透明與提昇效率,英國成立照護資訊標準化委員會

  資訊的保密機制和數據的標準化是當代的醫護過程中,相當關鍵重要的一部分,使得資訊得以安全地蒐集、記錄和交換,同時也是衛生照護系統在品質和服務管理上得以維繫的關鍵。過去英國負責處理醫療資訊交換標準的單位為「衛生和社會照護資訊標準委員會(Information Standards Board for Health and Social Care, ISB)」,負責就國家性的資料標準進行評核、統一資料標準格式,進而符合國際規範。為了因應國家治理在資訊標準、資料收集和資料提取上新的規劃,自今(2014)年4月1日起,ISB轉型為照護資訊標準化委員會(Standardisation Committee for Care Information, SCII)。   新的照護資訊標準化委員會-SCCI主要負責發展、批准並保障資訊標準、資料蒐集與資料提取。該委員會的成員組成廣泛地來自國家單位和相關衛生、照護服務組織。現階段的主要目標為標準化醫院和家庭醫生之間的醫療資訊交換,將醫療資訊標準提升至國家層級,透過該委員會的運作來監督、改善照護服務、照護系統和資訊的處理方式,進而達到流程公開和運作透明。以下為ISB轉型為SCCI之主要原因: 1、2012衛生和社會照護法(Health and Social Care Act 2012)之規定,該法§250賦予衛生部長和NHS England(英國國家健康服務)發布資訊標準的權力; 2、NHS成立新的國家資訊委員會(National Information Board, NIB),該委員會前身為資訊服務調查小組(Information Services Commissioning Group, ISCG),主要針對衛生和社會照護提供國家層級的資訊服務整合規劃,以確保資訊標準統一,使得不同IT系統間得以相互傳輸、驅動更多整合服務給人民。SCCI即隸屬於NIB,負責識別、調查和完整執行資訊標準、資料蒐集和提取。 3、衛生部於2012年發布衛生和照護系統的10 年資訊策略(ten year information strategy for the health and care system)。

Skype多了測謊功能?

  以色列BATM公司研發出Skype整合性軟體-KishKish,未來將提供消費者以付費的方式使用測謊功能。此軟體係透過分析談話者聲音中的緊張程度,告知軟體使用者「對方是否說謊」。如此一來,使用者便可透過軟體分析出來的指示,而即時修正詢問的問題。據說,美軍已開始運用此套軟體!   雖然KishKish的使用如此便利,但是根據英國專家表示,網路使用者若不當使用KishKish,將可能違反「資料保護法」(Data Protection Act)而負擔民事責任,甚至還可能涉及「調查權規範法」(Regulation of Investigatory Powers Act,RIPA)將被處以兩年以上有期徒刑或科以罰金。   至今,Skype仍尚未公布其價格及發布日期。

TOP