【個資法即時快報007】2025年12月12日全球個資保護動態焦點
2025-12-12
達文西個資即時快報
盤點全球最新焦點
文章整理:林舒涵律師
審閱:孔德澔律師
▶ 監理動態 ◀
- 美國運通法國子公司因Cookie 違規遭CNIL裁處150萬歐元罰款。
事實:
法國資訊自由委員會(CNIL) 於2025年11月27日對美國運通集團的法國子公司 AMERICAN EXPRESS CARTE FRANCE,以其未遵守法國資料保護法第82條之cookie相關規定為由,裁罰150萬歐元的罰款。
違規行為:- 未經使用者同意啟用Cookie:訪客一進入網站,即便尚未於cookie同意橫幅做出任何選擇,Cookie就已在其裝置上被啟用,尤其是用於廣告用途的cookie。
- 拒絕機制無效:當使用者點擊「拒絕所有」(Refuse all) Cookie按鈕,網站仍持續啟用廣告用途的cookie。
- 撤回同意後仍讀取Cookie:當使用者撤回同意時,先前被啟用的Cookie仍繼續被該網站讀取。
- 歐洲個人資料保護委員會(EDPB)建議 2/2025:電商網站要求使用者建立帳戶之法源依據分析
EDPB)於2025年12月3日通過「關於電商網站要求使用者建立帳戶的法源依據」的初版建議(Recommendations 2/2025 on the legal basis for requiring the creation of user accounts on e-commerce websites),本建議仍在公開徵詢意見階段,以下摘要該建議之重點:
許多電商網站經常要求使用者先開設帳戶,始得享有優惠或購買商品與服務。資料控制者經常以下列理由作為要求使用者建立帳戶的合法依據,例如:為了履行買賣契約、啟用訂閱服務、提供使用者專屬優惠、管理訂單等。然而,EDPB指出,強制使用者建立帳戶可能對於資料主體的權利與自由造成額外風險。
該建議中,EDPB 針對電商網站業者,就其依據 GDPR第5(1)(a)條和第6條,在何種情況下可合法要求使用者建立帳戶,提供相關建議。這些建議特別列舉在哪些情況下,強制建立帳戶對於履行合約(GDPR第6(1)(b)條)、遵守資料控制者所應負的法律義務(GDPR第6(1)(c)條),或為了資料控制者或第三方追求的合法利益(GDPR第6(1)(f)條)而言,是「必要」或「非必要」的。EDPB認為,只有在非常有限的情況(very limited situations)下,才能要求使用者建立帳戶,例如提供訂閱服務。否則一律強制使用者建立帳戶,恐違反比例原則,因為仍存在其他對於資料主體侵害較小之替代手段。
因此,EDPB建議,電商網站業者可提供使用者是否建立帳戶之選項或者允許訪客瀏覽模式,較符合透明度、資料蒐集最小化以及資料保護預設與設計(data protection by default and by design)等原則。
▶ 新聞動態 ◀
數發部公布5款行動應用程式資安高風險評估結果與防護建議
數位發展部(數發部)於2025年12月3日召開記者會,說明抖音、小紅書、微博、微信以及百度雲盤等5款受測行動應用程式(App),經資安風險評估後,被列為「高風險」App。
(一)受測App的資安風險:
- 蒐集敏感性資訊
- 讀取儲存空間
- 逾越使用權線
- 掌握生物特徵
- 擷取系統資訊
- 數據回傳與分享
(二)資安署指出,根據中國的《網絡安全法》與《國家情報法》,中國企業可能被要求提供用戶資料
給其國安/情報機構。換言之,即便使用者身處台灣,只要使用這些App,用戶資料仍可能被要
求移轉或被存取,對於人民隱私與國家安全造成極高風險。
(三)公務機關限制:依據2025年9月修正的資通安全管理法,政府機關不得下載、安裝或使用上述被
列為資安高風險的App。公部門配發的手機/電腦被禁止使用這些App。政府網路服務也不提供
這些App的下載/傳輸服務,以確保資通安全。
(四)建議防護措施:數發部建議民眾應避免安裝或使用上述資安高風險的App,使用其他App也要慎
選,下載、安裝前及使用時都應提高警覺,並可採取以下防護措施。
- 詳閱隱私政策條款
- 確認權限請求的合理性
- 使用資安防護工具