達文西個資即時快報

盤點全球最新焦點

 

文章整理：林舒涵律師

審閱：孔德澔律師

 

 

 

▶ 監理動態 ◀

一、Reddit兒童個資保護不周，遭英國ICO裁罰1,447萬英鎊。

      英國資訊委員辦公室（ICO）於2026年2月24日對Reddit, Inc.(Reddit)裁罰14,470,000英鎊，因該社群平台處理兒童個人資料時違反英國資料保護法之規定。

      Reddit雖在服務條款中規定未滿13歲不得使用，但實務上僅依賴使用者自行申報年齡，未建立可靠的年齡驗證制度，導致實際上仍有大量未達法定年齡之兒童使用該服務。ICO認為，平台若明知或可合理預見兒童會使用其服務，即應採取更具體且有效之驗證與保護措施。

      在2025年1月以前，Reddit並未就兒童使用其平台所涉及的資料處理風險進行充分資料保護影響評估（DPIA），也未建立相對應的風險應對措施。ICO指出，當服務明顯可能吸引兒童使用時，企業有義務事前評估風險並設計符合兒童最佳利益之資料處理機制。

      雖然Reddit於2025年中開始強化年齡聲明機制並限制部分成人內容，但ICO 認為，單純依賴「自我申報」仍然不足，容易被規避，無法達到實質保護兒童個資之要求。

      ICO進一步考量，本案違規行為持續期間相當長，且受影響人數規模龐大，潛在風險包括未成年人接觸不適齡內容、個人資料遭蒐集與進一步利用之可能性。此外，Reddit 作為具全球影響力之大型社群平台，其資源與技術能力足以建立更完善之年齡辨識與保護制度，卻未採取相應措施，因此可歸責程度較高。綜合違規性質、影響範圍、持續時間、潛在損害程度及公司營收規模等因素，ICO 認定有必要以高額罰款作為具嚇阻效果之處分，以強化對兒童個資保護之執法。
 

• 資料來源：https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2026/02/reddit-issued-with-1447m-fine-for-children-s-privacy-failures/

 

▶ 新聞動態 ◀

• 本週無重大新聞動態

 

▶ 司法動態 ◀

一、歐盟法院里程碑判決：確認EDPB具拘束力決定之獨立可訴性

1.事實背景
        本案起因於GDPR施行後，愛爾蘭資料保護委員會（DPC）接獲多起針對WhatsApp處理個人資料之申訴，內容涉及透明度義務及資訊揭露義務之遵循情形。由於WhatsApp於歐洲之主要營業據點設於愛爾蘭，愛爾蘭DPC依GDPR第56條擔任「主要監管機關」，並於2018年12月主動展開調查，檢視WhatsApp是否遵守GDPR第12至14條所規定之資訊提供義務。調查完成後，愛爾蘭DPC於2020年12月依第60條提出決定草案，送交其他相關會員國監管機關徵詢意見。其後，多個監管機關提出相關且具理由之異議，雙方未能達成共識，爰依GDPR第65條將爭議提交歐洲資料保護委員會（EDPB）啟動一致性機制下之爭議解決程序。
      2021年7月28日，EDPB依GDPR第65條作成具有拘束力之Binding Decision 1/2021，針對法律爭點作出明確裁決，包括認定WhatsApp違反透明度原則、認定部分資訊揭露義務未盡，以及認為原草案擬定之罰鍰金額過低並應予提高，並將改善期限由六個月縮短為三個月。嗣後，愛爾蘭DPC依GDPR第65(6)條規定，於2021年8月20日作成最終決定，對WhatsApp處以總額2億2,500萬歐元之行政罰，並將EDPB決定附於該最終處分之中。WhatsApp一方面向愛爾蘭法院提起救濟，另一方面亦依TFEU第263條向歐盟普通法院提起撤銷訴訟，請求撤銷EDPB之Binding Decision。普通法院以該決定僅屬程序中間行為且未直接影響WhatsApp為由，裁定不受理。WhatsApp遂向歐盟法院提起上訴。 

2.爭點

• EDPB依GDPR第65條所作成之Binding Decision，是否屬於TFEU第263條第一段所稱「意圖對第三人產生法律效果之行為」，亦即是否為可受撤銷訴訟之標的？
• 該決定是否對WhatsApp構成「直接影響」（direct concern），以符合第263條第四段所規定之原告適格要件？
• WhatsApp提起撤銷訴訟是否已逾越法定期間？

3.法院判決理由
      法院指出，依TFEU第263條第六段規定，訴訟期間自行為「公布」之日起算。由於GDPR第65(5)條明定EDPB決定應公布於其網站，且本案決定於2021年9月2日公布，WhatsApp於同年11月1日提起訴訟並未逾期，因此駁回EDPB關於時效抗辯之主張。

      就EDPB決定是否為可受司法審查之行為，法院重申其既有判例，凡歐盟機構所作成且具有拘束性法律效果之行為，無論其形式為何，均得成為撤銷訴訟之標的。法院強調，應從該行為之內容、法律效果及其所處制度脈絡加以客觀判斷。雖然EDPB之決定作成於多階段行政程序之中，但該決定已最終確定EDPB對所有提交爭點之立場，並對主要監管機關及相關監管機關具有拘束力。依GDPR第65(6)條規定，主要監管機關必須依該決定作成最終決定，且不得偏離其內容。是以，該決定並非單純準備行為，而係具有獨立法律效果之最終立場表示。普通法院誤將該決定認定為僅屬程序準備行為，否認其獨立可受司法審查之性質，屬於法律適用錯誤。

      就「直接影響」要件，法院指出，該要件包含兩項標準：其一，該行為須直接影響申請人之法律地位；其二，實施該行為之機關不得享有裁量空間。法院認為，EDPB決定對違法認定、資料性質之定性、罰鍰計算標準及改善期限均作出具體裁示，直接改變WhatsApp所面臨之法律責任範圍與風險結構。至於主要監管機關在其他未被提交之事項上或仍有裁量，並不影響其在EDPB已裁決事項範圍內之拘束性，就該等事項而言，愛爾蘭DPC並無實質裁量空間。因此，該決定對WhatsApp構成直接影響。

      法院亦指出，依據GDPR前言第143段，當EDPB之決定對控制者具有直接且個別影響時，得向歐盟法院提起撤銷訴訟。此一立法設計顯示，歐盟立法者本已承認EDPB決定可能具備獨立可訴性，而非僅能透過普通法院間接審查。綜上，歐盟法院撤銷普通法院之裁定，認定WhatsApp之撤銷訴訟為可受理，並將案件發回普通法院就實體違法問題續行審理。

資料來源：https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:62023CJ0097