達文西個資即時快報

盤點全球最新焦點

 

文章整理：林舒涵律師

審閱：孔德澔律師

 

 

 

▶ 監理動態 ◀

一、個資外洩代價高！法國電信業者Free違反GDPR，遭重罰4200萬歐元

    1.事實

         法國資訊自由委員會(CNIL)於2026年1月13日就法國電信業者FREE MOBILE與其母公司FREE發生之重大
   個人資料外洩事件，分別裁罰2,700 萬歐元及1,500 萬歐元。
         本案源於2024年10月的一起資安攻擊事件，駭客成功入侵FREE與FREE MOBILE的資訊系統，取得約
   2,400萬筆用戶合約相關個人資料。外洩資料內容包含用戶之身分識別資訊，且部分資料涉及銀行帳號(IBAN)
   等高度敏感之財務資訊，對資料主體可能造成重大風險。
         事件曝光後，CNIL收到超過 2,500件申訴，因此啟動調查與監督程序，並對兩家公司之資訊安全措施與
   資料管理制度進行全面檢視。

    2.違規行為與裁罰理由：

      (1)未採取適當技術與組織措施確保資料安全(違反GDPR第32條)
               CNIL認定，FREE與FREE MOBILE 未依其所處理資料之性質、敏感程度及潛在風險，採取適當且足
         夠的資訊安全措施：

• 遠端存取(如 VPN)之身分驗證與防護機制設計不足
• 欠缺有效的入侵偵測或異常行為監控機制
• 整體資安防護水準，未與其處理之大量且敏感個人資料相匹配

                       CNIL 指出，雖然GDPR不要求達到零風險，但資料控制者仍負有義務，採取合理可行之措施，以降
         低資料外洩發生的可能性及其影響程度。

      (2)未依規定完整告知資料主體資料外洩事項(違反 GDPR 第 34 條)
                兩家公司雖以電子郵件通知受影響用戶資料外洩事件，惟通知內容未完整載明 GDPR所要求之必要
          資訊，例如：

• 外洩事件可能造成的具體風險
• 建議資料主體可採取之防範或自我保護措施
• 清楚說明聯絡窗口或後續協助方式

               CNIL 認為，此種通知方式不足以使資料主體充分理解資料外洩事件影響，亦不利其即時採取因應行
          動。

         (3)未遵守資料保存期限與最小化原則(僅針對Free Mobile) (違反GDPR第5條第1項第(e)款)
                就FREE MOBILE部分，CNIL另認定其未依法落實資料最小化與保存期限管理原則：

• 對於已終止契約之用戶，仍長期保留其個人資料
• 欠缺明確、可執行的資料刪除或定期清理制度
• 無法提出繼續保存該等資料之正當性與必要性

    3.裁罰理由

      (1)外洩資料性質高度敏感
               本案涉及資料不僅數量龐大，且包含IBAN等金融資訊，一旦遭不法利用，極可能造成詐欺、財產損
         失或身分盜用等嚴重後果。

      (2)受影響人數眾多
                外洩資料規模達2,400萬筆，並造成大量申訴，顯示其影響範圍廣泛，對資料主體權益造成實質威
          脅。

      (3)資安水準不符合公司規模
                CNIL特別指出，FREE集團屬大型電信業者，具備相當資源與技術能力，卻未建立與其業務規模相當
          的資安與個資治理機制，可歸責程度較高。

      (4)附加限期改善義務
                除金錢裁罰外，CNIL並命令FREE與FREE MOBILE於3個月內完成資訊安全措施之強化；FREE
          MOBILE另須於6個月內建立完善資料保存與刪除制度。

• 資料來源：https://www.cnil.fr/en/sanction-free-2026

▶ 司法動態 ◀

 一、歐洲人權法院認證，稅務機關逕調銀行資料構成《歐洲人權公約》第8條私人生活權之侵害

       1.事實
          本案兩位聲請人Ferrieri與Bonassisa，均為義大利籍自然人。義大利稅務機關(Agenzia delle Entrate) 於
    進行稅務查核時，依據國內法規定，直接向銀行調取聲請人特定年度期間之銀行帳戶資料、交易明細及其他
    可追溯之金融往來資訊。
               該等資料調取行為係經稅務機關內部主管核准後，逕向金融機構發函要求提供，並未事前通知聲請人，
    也未經法院或獨立機關審查。聲請人亦無法即時對該措施提起司法救濟，只能在未來稅捐處分作成時爭執。
          聲請人主張，上述措施構成對其《歐洲人權公約》第8條所保障之私人生活權（包括財務隱私）之不當干
    預，且義大利法制欠缺足夠之法律明確性與程序保障。

     2.爭點：

      (1)稅務機關為稅務查核目的，調取納稅義務人之銀行資料，是否構成對私人生活權之干預？

      (2)該等干預是否符合《歐洲人權公約》第8條第2項所要求之「依法為之(in accordance with the law)」？

     3.法院判決理由

       (1)稅務機關調取聲請人銀行資料，已構成對《歐洲人權公約》第8條所保障私人生活權之干預
              歐洲人權法院一貫見解認為，稅務機關自銀行文件所取得的資訊，無論是否屬於敏感資料，均屬於個
        人資料的一環。此類資料不僅可能涉及個人私生活，也可能涵蓋其專業或商業活動，原則上亦不應被排除
        於「私人生活」的保護範圍之外。公權力機關查閱或調取個人銀行帳戶資料，本身即構成對私人生活權的
        干預。因此，在本案中，稅務機關存取聲請人銀行資料的行為，已干預其受公約第8條所保障之權利。

        (2)未符合「依法為之」之要件
              法院重申，干預行為欲符合「依法為之」之要件，除須具有國內法依據外，相關法律尚須符合一定品
        質標準，包括可及性(accessibility)、可預見性(foreseeability)及與法治原則相容。
               法院認為，僅就立法條文所載之條件觀之，尚不足以有效界定行政機關裁量權之範圍。法律僅概括以
       「為評估納稅義務履行情形」作為調閱銀行資料之依據，實際上賦予稅務機關不受限制之裁量權。
               儘管稅務機關曾透過行政函令訂定若干補充標準，惟義大利最高法院之判例已明確指出，相關授權並
         無須附具理由說明。此一實務結果，導致行政機關行使權限時無須說明理由，形同享有不受限制之裁量
         權。
               就是否具備充分之程序保障部分，法院檢視政府所提出之三項救濟途徑：向稅務法院提起救濟、向民
         事法院提起訴訟，以及向納稅人保障官(Taxpayer’s Guarantor)申訴。法院認定，上述途徑均不足以構成
         有效之事後司法或獨立審查機制。尤其聲請人向稅務法院提起救濟，須以稅務機關是否實際作成課稅處分
         為前提，而該處分往往可能於稽查後數年始行作成。至於民事法院途徑，政府未能提出相關判例佐證其可
         行性；而納稅人保障官所為之決定，不具拘束力。

         (3)綜上，歐洲人權法院認定本案已違反《歐洲人權公約》第8條，理由在於相關干預行為並非「依法為
             之」。此外，法院指出，義大利應採取一般性措施，使其立法與實務符合本判決之意旨，特別是應具
             體界定得調閱納稅人銀行資料之情形與條件，並設置有效之司法或獨立審查機制。

• 資料來源：https://hudoc.echr.coe.int/fre#{%22itemid%22:[%22001-247632%22]}