【個資法即時快報010】2026年01月02日全球個資保護動態焦點
2026-01-02
達文西個資即時快報
盤點全球最新焦點
文章整理:林舒涵律師
審閱:孔德澔律師
▶ 監理動態 ◀
- 法國資訊自由委員會(CNIL)以NEXPUBLICA FRANCE違反GDPR第32條之安全維護義務為由,對其裁罰一百七十萬歐元
1.事實
法國資訊自由委員會(CNIL)於2025年12月22日以NEXPUBLICA FRANCE違反GDPR第32條之安全維護義務為由,對其裁罰170萬歐元。
NEXPUBLICA FRANCE是一家專門設計資訊系統與軟體的公司,該公司開發一套名為PCRM的管理軟體,用於社會行動領域的使用者關係管理工具,並被法國部分「殘障人士縣級服務中心」(Maisons départementales des personnes handicapées, MDPH) 使用。2022年11月底,客戶向CNIL通報個資外洩事件,指出PCRM平台的用戶能夠存取第三方人士的資料。CNIL對NEXPUBLICA FRANCE進行調查,2025年12月22日,CNIL以NEXPUBLICA FRANCE違反GDPR第32條為由對其處以罰款170萬歐元。
2.違規行為與裁罰理由:
(1)安全措施不足
PCRM系統未採取足夠且適當之技術性與組織性安全措施以保護個人資料,致使敏感性個
人資料發生外洩。其主要原因,在於其未能充分理解並落實資訊安全基本原則及最新資安
實務。
(2)未及時補救已知資安漏洞
該等安全弱點早已在多份稽核報告中被發現並揭露,但公司未妥善處理或補救,導致問題
持續未獲改善。
(3)受影響資料涉及高度敏感個資且影響範圍廣泛
本次事件受影響之資料包含資料主體之殘障類別、健康狀況及社會救助等資訊,屬高度敏
感之個人資料。該等資料一旦外洩,可能影響大量資料主體,對其隱私權及其他個資保護
相關權利造成重大侵害。
(4)公司專業身分加重其注意義務與責任
Nexpublica 本身係從事資訊系統與軟體諮詢之專業業者,理應具備相當程度之資訊安全專
業能力與風險意識,卻仍未採取基本且適當之安全防護措施,因而被認定具有較為嚴重之
過失。
▶ 司法動態 ◀
- YouTube 影片沒標「兒童導向」也會被罰?迪士尼千萬美元和解案解析
1.事實:
本案係由美國聯邦貿易委員會(FTC)透過美國司法部,向聯邦法院提起訴訟,指控 Disney Worldwide Services, Inc. 與 Disney Entertainment Operations LLC(以下合稱迪士尼)違反《兒童線上隱私保護法》(Children’s Online Privacy Protection Act, COPPA)及其施行細則。案件源於迪士尼將其製作之大量影片內容上傳至YouTube平台時,未於部分情形下將實質上屬於「以兒童為主要受眾」的影片正確標示為「Made for Kids」。由於影片未被標示為兒童導向內容,YouTube即依一般內容模式處理,進而在未事先通知家長、亦未取得可驗證父母同意的情況下,蒐集13歲以下兒童的個人資料,包括持續性識別碼(persistent identifier)等,並將該等資料用於投放定向廣告(targeted advertisement),構成COPPA所禁止之行為。
2.爭點
(1)迪士尼是否因未正確標示兒童導向影片,而導致第三方平台對兒童個人資料之違法蒐集行
為,從而違反COPPA規定之義務?
(2)內容提供者在平台以內容標示作為兒童保護機制啟動基礎的情況下,是否仍須對後續資料
蒐集結果負擔法規遵循責任?
3.法院裁定內容:
法院最終於2025年12月23日核准雙方提出之和解裁定命令。該命令並未就實體爭議作成判決,而是基於執法目的與公共利益考量,確認迪士尼同意接受永久性禁制令及其他救濟措。依裁定內容,迪士尼須支付1,000萬美元之民事罰金,並承諾未來遵循COPPA及相關規則,包括建立內部審查與合規程序,以確保其上傳至YouTube或其他類似平台之影片,能正確判斷並標示是否屬於兒童導向內容,避免再次發生未經父母同意即蒐集兒童個人資料之情形。
裁定亦明確指出,迪士尼雖未承認或否認FTC的指控,但其同意受裁定拘束,並接受相關合規義務,藉此防止類似違規行為再次發生,彰顯COPPA對於兒童線上隱私保護的強制性與實效性。