達文西個資即時快報

盤點全球最新焦點

 

文章整理：林舒涵律師

審閱：孔德澔律師

 

 

 

▶ 監理動態 ◀

• 印度《DPDP數位個資保護規則》2025正式上路：企業核心義務、用戶權利與高額罰則解析
  ​​    ​​​印度政府在 2025/11/14公布《Digital Personal Data Protection Rules, 2025》（數位個人資料保護規則），作為2023年通過之《Digital Personal Data Protection Act》（DPDP Act）（數位個人資料保護法）的重要授權細則。
       該規則主要包含以下重點：

1.資料受託人（Data Fiduciary，即企業）的核心義務

• 透明度與通知義務：資料受託人必須提供清晰且詳細的通知（Notice），說明收集哪些個人資料、處理資料的目的以及如何行使權利。該通知必須獨立於其他文件，使用易懂的語言，並在向資料主體請求同意時，或在獲得同意後盡快提供。
• 資料最小化與刪除：資料受託人必須確保僅收集執行指定目的所需的最小資料量。除非法律要求保留，否則在達到指定目的或資料主體撤回同意後，資料受託人必須刪除其持有的個人資料。若用戶帳戶閒置時間超過一年，則必須在48小時的預先通知後，刪除其個人資料。
• 個資外洩通報：發生資料洩露時，必須立即通知印度資料保護委員會（DPB），通知必須在72小時內提交詳細報告，同時立即通知受影響的資料主體。

2.資料主體之權利

• 同意與撤回：資料主體有權給予、管理或隨時撤回其同意。
• 獲取資訊權：用戶有權要求提供關於其資料處理活動的摘要資訊。
• 更正和刪除權：用戶有權要求更正、更新或刪除其資料。
• 申訴權：用戶有權向資料受託人、同意管理員（consent managers）或資料保護委員會提出申訴。

​​​​​​​3.特別規定

• 同意管理員（Consent Managers）：係經委員會（DPB）註冊和監管的中介機構，負責管理資料主體的同意。
• 兒童資料處理： 處理兒童（18歲以下）的個人資料需要其父母同意，並要求核對父母身分。
• 重要資料受託人 (Significant Data Fiduciaries, SDF)：委員會（DPB）可以指定符合特定門檻的實體為SDF，這些實體必須承擔額外義務。額外義務包括：任命資料保護長（Data Protection Officer, DPO）、任命獨立審計師、並進行資料保護影響評估（DPIA）。

​​​​​​​4.罰則

• 過渡期：該規則提供企業12到18個月的過渡期進行合規調整，但基礎合規義務，如通知和同意機制，是首要任務。
• 高額罰款：違規行為面臨高額裁罰，其中針對未能實施合理安全維護措施的最高罰款可達250億盧比（約3億美元）。
  • 資料來源：https://www.meity.gov.in/documents/act-and-policies/digital-personal-data-protection-rules-2025-gDOxUjMtQWa?pageTitle=Digital-Personal-Data-Protection-Rules-2025

 

• 西班牙AENA人臉辨識計畫遭重罰1,000萬歐元：DPIA不合規、違反個資最小化原則

事實
     西班牙機場管理局（AENA, S.M.E., S.A.）推動「臉部辨識計畫」（PRF），在機場通道、登機門及自助行李託運處使用人臉辨識系統，作為乘客自願使用的替代方案，目的係為確保安檢過程的安全性與效率。此系統涉及處理高度敏感的特殊類別生物識別資料，以及其他個人資料。AENA聲稱其處理行為已依GDPR第9.2條a款取得乘客的「明確同意」，且仍保留傳統人工檢查選項。該計畫從2019年開始試用，持續運作至2024年6月，總共有62,054名乘客註冊使用。
       2025年11月6日，西班牙個資保護監管機關（AEPD）做出裁決，對AENA處以 1,000 萬歐元罰款，並要求AENA 在完成合規的「個資保護影響評估」（DPIA）前，必須停止所有涉及生物識別系統的個資處理活動。​​​​​​​

違規事實

1.違規行為涉及特殊類別的生物識別資料，其固有的高風險和侵入性，屬於應受到嚴格保護的個資類別之一。

2.AENA經過AEPD兩次指正其DPIA需改善之處後，仍繼續並擴大實施該高風險處理活動，此舉構成「嚴重疏忽」。

​​​​​​​3.AENA的核心業務與大量的個資處理緊密相關，且違規行為持續時間長，受影響人數超過6萬人。

4.AEPD 最終決定處以1,000萬歐元罰款，並確認暫時中止人臉辨識系統的措施，直至AENA重新完成一份符合GDPR第35條規定的DPIA。AEPD強調，由於傳統人工檢查方式仍持續運作，維持中止人臉辨識系統的決定並不會對乘客造成不利影響。​​​​​​​

• 資料來源：https://www.aepd.es/documento/ps-00431-2024.pdf

 

▶ 司法動態 ◀

• Meta 涉不公平競爭及違反歐盟GDPR，遭西班牙法院判罰近5億歐元

事實：

     西班牙馬德里15號商事法院審理由87家西班牙數位媒體公司（AMI）對Meta Platforms Ireland Limited提起的訴訟。原告指控Meta在2018年5月25日至2023年7月31日期間，在Facebook和Instagram上進行個人化廣告業務時，違法處理數百萬用戶的個人資料，違反歐盟GDPR，此舉使Meta獲得了重大競爭優勢，對於在數位廣告市場中守法的西班牙數位媒體構成《反不公平競爭法》第15.1條所稱的不公平競爭，原告因此要求Meta賠償其所損失的廣告收入。2025年11月20日西班牙法院對META判罰4.79億歐元。

爭點：

1.Meta的行為是否構成《西班牙反不公平競爭法》（LCD）第15.1條規定的「藉由違反法律獲得競爭優勢」的不公平行為？

2.Meta 在2018/05/25至2023/07/31期間用於其行為廣告的資料處理是否符合GDPR第6.1條b款和f款？

3.Meta違法處理個資所獲得的競爭優勢是否為重大（Significativa），且是否與原告的損失存在因果關係？

法院判決重點：

1.Meta之行為構成不公平競爭

Meta 在線上廣告市場的行為被認定為不公平（desleal），原因是其處理Facebook 和Instagram用戶資料以進行個人化廣告之行為，違反法律規定。

​​​​​​​2.Meta 違反GDPR規定

• Meta對個人資料進行的過度廣泛、長期且具高度侵入性的處理行為，法院認定無法適用GDPR第 6.1條b款「履行契約」或f款「合法利益」的法律基礎。
• Meta未區分資料的性質，包括特殊類別資料如政治立場、性傾向等，進行廣泛且無差別的資料收集，違反GDPR第5.1條c款的資料最小化原則。
• Meta未能清楚告知用戶資料處理的目的和法律依據，造成資訊不對稱，違反GDPR第5.1條a款的合法性、公正性及透明度原則。

3.Meta違法處理個資獲得重大競爭優勢，且與原告之損失間存有因果關係。

由於Meta違法存取和處理數百萬用戶的龐大個資，並蒐集遠超過數位媒體所取得的用戶個資，使其能夠提供更精準、更有效的進行個人化廣告，從而獲得重大競爭優勢，其違法行為與原告之損失間存有因果關係。

• 反壟斷調查查扣電郵是否需事先授權？ 歐盟法院佐審官提出意見
  1.事實：葡萄牙的競爭法主管機關（Autoridade da Concorrência）在進行反壟斷調查時，查扣了涉案公司員工的電子郵件。涉案公司（IMI、Synlabhealth II和SIBS）主張，這種做法侵犯了《歐盟基本權利憲章》第7條所保障的「通訊隱私權」。
  2.爭點：競爭法主管機關在進行反壟斷調查時，是否需要「事先」獲得法院授權才能查扣員工的商業電子郵件?
  3.歐盟法院佐審官（Advocate general）意見：不需要事前司法授權，前提是該國法律必須提供充分且有效的「事後司法審查」（ex-post judicial review）機制，以防止濫權與專斷。競爭法主管機關查扣商業電子郵件的行為，涉及在反壟斷調查中，針對公司查扣專業工作電子郵件。佐審官認為這種干預較輕微，僅係附帶且零星收集個人資料，不會描繪出完整的私生活樣貌。
  • 資料來源：https://www.ami.info/wp-content/uploads/2025/11/Sentencia-20-11-25-AMI-META.pdf。