達文西個資即時快報

盤點全球最新焦點

文章整理：林舒涵律師

審閱：孔德澔律師

▶ 監理動態 ◀

• 法國資訊自由委員會(CNIL)
  事實：
  ​​    法國資訊自由委員會(CNIL) 於2025年11月20日對雜誌《浮華世界》法國版網站vanityfair.fr的出版商LES PUBLICATIONS CONDE NAST公司裁罰75萬歐元。該公司因未能遵守法國資料保護法第82條關於Cookie的規定，CNIL先前已於2021年9月對該公司發佈違規命令。然而，在2023年及2025年的後續追蹤檢查中，CNIL發現該公司仍未修正其違規行為，因此決定對該公司進行裁罰。
  違規行為：
  1. 未經使用者同意安裝cookie：訪客一進入網站，即便尚未於cookie同意橫幅做出任何選擇，Cookie就已在其裝置上被啟用。
  2. 拒絕機制無效：當使用者點擊「拒絕所有」(Refuse all) cookie按鈕或撤回同意時，網站仍持續啟用新的cookie，並使既存cookie繼續被讀取。
  3. 誤導與分類不實：將部分用於追蹤或廣告目的的Cookie被錯誤標記為「嚴格必要」(strictly necessary)，藉此規避徵求使用者同意的義務。
  • 資料來源：https://www.cnil.fr/en/cookies-placed-without-consent-company-publishes-website-vanityfairfr-fined-750000-euros
  • 關於資料後續傳輸（onward transfers）的相關規定，包括當事人是否受到明確告知。
  • 資料來源：https://www.edpb.europa.eu/news/news/2025/draft-adequacy-decision-brazil-edpb-adopts-opinion_en

▶ 司法動態 ◀

• 《電子商務指令》責任豁免失靈：網路平台經營者為「共同控制者」，對包含敏感個資廣告負有事前審查義務。
  事實：
        由羅馬尼亞公司Russmedia Digital經營的線上交易平台www.publi24.ro，允許使用者免費或付費在該平台刊登廣告。2018年，有匿名使用者在該平台發布女性性服務廣告，內容包含未經該名受害女子同意的照片與電話號碼。儘管平台在接獲受害者要求後的一小時，即下架該則廣告，但廣告內容已被複製且散佈至其他網站。
           受害女子以肖像權、名譽權、隱私權被侵害以及平台違反個資相關規定為由提告，本案於2025年12月2日由歐盟法院判決受害女子勝訴，認定平台經營者亦屬資料控制者，對於涉及敏感個資(sensitive data)的廣告負有事前審查義務。
  爭點：

1. 線上交易平台(Online Marketplace)的經營者是否屬於其平台上廣告中個人資料的「控制者」(controller)？
2. 平台經營者在廣告刊登前，對於廣告內容所包含的敏感個資是否包含下列義務：
   • 事先識別包含敏感個資的廣告
   • 事先識別廣告刊登者的身分
3. 平台經營者是否須採取適當安全措施以避免包含敏感個資的廣告被複製或散佈至其他網站？
4. 平台經營者得否依《電子商務指令》第12條至第15條中介服務提供者的責任豁免規定而免責？

歐盟法院判決理由

1. 平台經營者屬於共同控制者
         Russmedia Digital擁有平台系統的控制權，決定個資在該平台上如何被儲存、揭露和傳輸。此外，該平台的使用條款具有對廣告內容進行複製、修改、刪除等權限。對於廣告刊登的目的與手段具決定性影響，使得Russmedia與廣告刊登者構成GDPR第4條第7款及第26條規定的共同控制者（Joint Controller）。
2. 平台經營者的事前審查義務：
   • 識別廣告中是否含有GDPR第9條第1項的敏感個資(sensitive data)
   • 查證準備刊登此類廣告的廣告商是否為該敏感個資的資料主體本人。
   • 若非資料主體本人，則必須拒絕發布該廣告，除非該廣告商能證明資料主體已給予明確同意(explicit consent)(GDPR第9條第2項(a)款)，或符合其他豁免情況。
3. 平台經營者應採取適當的技術和組織措施，以防止含有敏感資料的廣告被複製並非法散佈至其他網站。
         一旦包含個資的廣告被刊登，即存在對於資料失去掌控權(loss of control)的風險，將使資料主體依據GDPR享有的權利失去實益。因此，當敏感資料被刊登時，資料控制者必須採取所有技術和組織措施，確保能有效防止對資料喪失掌控權的情況發生，控制者應考量所有既存技術措施，盡可能阻止平台內容被複製或散佈。
4. 平台經營者不得援引《電子商務指令》的責任豁免規定而免責
         《電子商務指令》所保障的內容，不得削弱GDPR所要求的個人資料保護水準。因此，平台經營者即使主張《電子商務指令》第14條第1項所規定的免責條款，其效力亦不得影響GDPR個資保護制度的適用。換言之，平台經營者與所有受GDPR規範的主體相同，均須完全遵守GDPR之義務。
          此外，《電子商務指令》第15條規定，會員國不得對提供第14條所列服務的業者施加「一般性監督義務」（general monitoring obligation）。然而，要求平台經營者遵守GDPR所課予的義務，並不構成此種「一般性監督義務」，故平台經營者在處理其網站上廣告包含的個資時，應遵循GDPR規定，無法援引《電子商務指令》規避相關義務。
   • 資料來源：https://curia.europa.eu/juris/document/document.jsf?text=&docid=306764&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=15580921

​​​​​​​