達文西個資即時快報

盤點全球最新焦點

文章整理：林舒涵律師

審閱：孔德澔律師

▶ 監理動態 ◀

• 法國資訊自由委員會(CNIL)對Mobius處以百萬歐元重罰，揭示GDPR域外效力與受託處理者之義務
  1.事實​
  ​​​​​​法國資訊自由委員會(CNIL) 因MOBIUS SOLUTIONS LTD（以下簡稱 Mobius）造成大規模個資外洩事件，於2025年12月11日對其裁罰100萬歐元。
  2022年11月，音樂串流平台Deezer發現使用者資料於暗網流竄，隨即向CNIL通報。經調查釐清，資料外洩源頭指向曾受託執行精準行銷數據分析的服務商Mobius。CNIL指出，Mobius作為「資料受託處理者」，未能履行GDPR下之安全維護義務，涉及多項違規，故依法開罰。
  2.違規行為與裁罰理由：
    (1)違反契約終止後刪除資料之義務(GDPR第28.3.g條)
          Mobius在與Deezer合約關係終止後，仍保留超過4,600萬名Deezer使用者資料
       之複本，未依約刪除。Mobius推諉是因為三名員工未經通報即複製資料，然而
       CNIL認為公司對員工行為負有責任，且該等資料存放於測試環境 (non-
       production environment)並與其他客戶資料一起存放，造成資安風險。
    (2)未遵循資料控制者指示 (GDPR第29條)
        Mobius在未經Deezer明確指示的情況下，自行複製並使用Deezer使用者資料以
        提升自己廣告平台的效能。Mobius主張此種資料使用屬於履約範圍之一部分，
        但CNIL認為，合約中並無授權該使用目的之條款，因此違反控制者指示義務。
    (3)Mobius作為資料處理者，未建立其資料處理活動的紀錄。根據GDPR規定，無
       論是公私部門，或為資料控制者處理資料之處理者，原則上都應保有資料處理紀
       錄以供監督。
  3.GDPR域外效力與CNIL管轄權：
     雖然Mobius並未在歐盟境內設立實體，CNIL認為，Mobius作為處理者所進行之資
     料分析與託管等行為屬於對資料主體行為之監控(monitoring of data subject's
     behavior)(GDPR第3.2條)，因此適用GDPR之域外效力規定，CNIL有權審查、處
     罰該公司在法國境內所涉之資料處理活動。
  • 資料來源：https://www.cnil.fr/en/data-breach-mobius-solutions-ltd-fined-eu1-million

▶ 司法動態 ◀

• 歐盟法院判決(C‑422/24)：隨身攝影機蒐集乘客影像之告知義務適用──GDPR 第 13 條之適用範圍
  1.事實：
        瑞典公共運輸公司AB Storstockholms Lokaltrafik(SL)為防止驗票人員在執行查票勤務時遭受威脅或暴力，並用以蒐證及確認未持有效車票乘客的身分，自2018年12月起讓驗票人員配戴隨身攝影機(body camera)。該攝影機在驗票人員執勤期間會持續錄影錄音，並採用「循環覆寫」機制，影像通常僅暫存1分鐘，之後即自動刪除；但在開罰或發生威脅情況時，驗票人員可按鍵保留影像資料。
        瑞典隱私保護局(Integritetsskyddsmyndigheten, IMY)在調查後認為，SL在使用隨身攝影機蒐集乘客個人資料時，未依GDPR第13條充分告知資料當事人相關資訊，構成違規，遂對SL裁罰總額約1,600萬瑞典克朗，其中400萬瑞典克朗係因違反告知義務。
         SL不服裁罰而提起訴訟，第一審法院維持裁罰；第二審法院則認為本案不適用GDPR第13條，撤銷該部分罰鍰；瑞典隱私保護局遂向瑞典最高行政法院上訴，該法院進而向歐盟法院聲請先行裁決。歐盟法院於2025年12月18日做出判決。
  2.爭點
    (1)告知義務的法條適用：在使用隨身攝影機蒐集資料的情況下，資訊告知義務是受 
       GDPR第13條（資料係向當事人直接蒐集）還是GDPR第14條（資料非向當事人
       蒐集）所規範？
   (2)資料蒐集方式的性質：以隨身攝影機拍攝乘客時，是否屬於資料控制者「直接向
       資料當事人蒐集個人資料」?
  3.判決理由：
    (1)使用隨身攝影機蒐集資料適用GDPR第13條，屬於資料控制者「直接向資料當事
       人蒐集個人資料」。
             歐盟法院指出，GDPR第13條與第14條的區分標準，不在於資料當事人是否
       主動提供資料，而在於個人資料是否「直接來自資料當事人」。隨身攝影機拍攝
       乘客影像時，資料並非來自第三人或其他來源，而是直接從被拍攝的乘客本人取
       得。即使當事人可能沒有主動「提供」資料，但資料的產生與獲取是發生在控制
       者與當事人直接互動的過程中，因此在文義與體系上，屬於GDPR第13條的適用
       範圍。
             法院強調，GDPR的目標是確保高水準的個資保護。為了落實透明度原則，
       當資料是直接從當事人身上取得時，控制者必須依據GDPR第13條即時且主動地
       提供相關資訊，例如處理目的、法律依據等，以確保當事人能行使相關權利。
             法院進一步闡述GDPR的基本目的，指出若將此類隨身攝影機蒐集行為適用
       GDPR第14條，將導致資料當事人在被拍攝當下無法即時得知，資料控管者可延
       後甚至免除即時告知義務，實質上產生「隱形監控」的風險。
    (2)實務彈性：可採「分層告知」方式
              法院也補充，適用GDPR第13條不代表必須一次完整揭露所有資訊，在影像
       監控情境下，資料控管者可採取「分層告知（layered approach）」方式：
       第一層：以清楚標示（例如告示牌）告知正在錄影、目的及資料控制者。​​​​​​​
       第二層：再透過網站或其他方式，提供完整的GDPR第13條資訊。
  • ​​​​​​​資料來源：https://curia.europa.eu/juris/document/document.jsf?text=&docid=307247&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=7480264

​​​​​