達文西個資即時快報

盤點全球最新焦點

文章整理：林舒涵律師

審閱：孔德澔律師

▶ 監理動態 ◀

• 歐洲個人資料保護委員會（EDPB）通過歐盟執委會巴西適足性認定草案之意見書
  ​​    ​​​歐洲個人資料保護委員會（EDPB）於114年11月5日，針對歐盟執委會（European Commission）所提出的巴西適足性認定決議草案，正式通過了一份意見書。此項適足性認定（adequacy decision）一旦最終獲採納，將允許歐盟的個人資料自由流通至巴西，同時確保個資當事人對其個人資料的控制權。EDPB主席Anu Talus表示，EDPB樂見巴西與歐洲的個資保護框架具高度一致性。然而，EDPB 亦在意見書中呼籲歐盟執委會，應就以下幾個關鍵層面進一步釐清並加強監管​​：
  • 個資保護影響評估（DPIA）的執行方式：特別是針對 LGPD 法規並未明確強制要求「高風險處理須執行DPIA」以及「DPIA須包含必要性與比例原則評估」這兩項不足之處。
  • 因營業秘密而對透明度原則造成的限制。
  • 關於資料後續傳輸（onward transfers）的相關規定，包括當事人是否受到明確告知。
  • 資料來源：https://www.edpb.europa.eu/news/news/2025/draft-adequacy-decision-brazil-edpb-adopts-opinion_en

• 香港個人資料私隱專員公署（PCPD）提醒：LinkedIn 將用個資訓練 AI，用戶可選擇退出
       香港個人資料私隱專員公署（PCPD）提醒大眾，LinkedIn將自2025年11月3日起更新其隱私權政策，使用用戶的個人資料來訓練其生成式AI模型，此次更新的隱私權政策適用地區包含歐盟、歐洲經濟區、瑞士、加拿大以及香港等地區，用戶可以隨時透過其帳戶的隱私設定，檢視並選擇退出（opt out），拒絕LinkedIn將其資料用於AI訓練。
       PCPD於2024年9月已注意到此事並介入，LinkedIn曾自2024年10月11日起，暫停將香港用戶的個人資料用於上述目的。在2024年10月至2025年4月期間，PCPD與LinkedIn持續溝通，LinkedIn最終承諾會確保香港用戶對其個人資料的控制權，並遵守香港的《個人資料（私隱）條例》，PCPD也向LinkedIn提供保障個資與隱私的建議，並將持續對LinkedIn監督。
  • 資料來源：https://www.pcpd.org.hk/english/news_events/media_statements/press_20251030.html

▶ 最佳實務動態 ◀

• 繳證件換千元，龍山寺旁爆「買個資」，警介入調查
      一名24歲的黃姓男子夥同4名男子，在廣州街的超商前擺攤，向民眾收取身分證或健保卡。他們將證件影印後歸還，並向提供者支付1000元現金。警方首次到場時，黃男聲稱是為了日後公益使用而徵求個資，但未說明具體用途，事後黃男到案說明時改口稱是代表某宮廟發放1000元「紅包」，影印證件是為了避免重複領取，但未清楚交代是哪間宮廟。目前警方已通知5名涉案人到案說明，並深入追查收購個資的真實目的、資料流向，以及是否違反《個人資料保護法》​​​​​​​。
  • 新聞來源請見：https://udn.com/news/story/7320/9114938

• 反壟斷調查查扣電郵是否需事先授權？ 歐盟法院佐審官提出意見
  1.事實：葡萄牙的競爭法主管機關（Autoridade da Concorrência）在進行反壟斷調查時，查扣了涉案公司員工的電子郵件。涉案公司（IMI、Synlabhealth II和SIBS）主張，這種做法侵犯了《歐盟基本權利憲章》第7條所保障的「通訊隱私權」。
  2.爭點：競爭法主管機關在進行反壟斷調查時，是否需要「事先」獲得法院授權才能查扣員工的商業電子郵件?
  3.歐盟法院佐審官（Advocate general）意見：不需要事前司法授權，前提是該國法律必須提供充分且有效的「事後司法審查」（ex-post judicial review）機制，以防止濫權與專斷。競爭法主管機關查扣商業電子郵件的行為，涉及在反壟斷調查中，針對公司查扣專業工作電子郵件。佐審官認為這種干預較輕微，僅係附帶且零星收集個人資料，不會描繪出完整的私生活樣貌。
  • 資料來源：https://curia.europa.eu/juris/document/document.jsf?text=&docid=287318&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=9039771。