達文西個資即時快報

盤點全球最新焦點

 

文章整理：林舒涵律師

審閱：孔德澔律師

 

 

 

▶ 監理動態 ◀

一、監控入微？Amazon義大利物流中心遭義大利個資保護局查獲違法記錄員工病史、工會活動及廁所進出紀錄。

1.事實      
     義大利個資保護局（Garante per la protezione dei dati personali）（下稱GARANTE）因媒體報導指出 Amazon Italia Logistica s.r.l.（以下稱 Amazon）於其物流倉庫內對員工進行個人資料處理，遂主動展開調查，並於2026年2月對位於Passo Corese倉庫進行實地稽核，發現該倉庫約有1,822名員工，其個資自2022年4月起即持續被蒐集與保存。
      調查發現，Amazon在倉庫管理中使用的平台系統與員工出勤系統連動，會在特定情況下提醒主管與員工進行面談，例如員工從未預期的缺勤返工、生日、到職週年；此外，若系統內建的Bradford Factor演算法偵測到員工有頻繁的短期缺勤，且分數達到預設門檻，亦會自動觸發面談警示。面談後，主管可在系統中記錄面談內容。
      GARANTE發現該系統中主管輸入之紀錄內容包含大量員工的敏感及私人資訊，例如：健康與醫療資訊（如克隆氏症、腳部手術、嚴重背痛、椎間盤突出、肺炎、高血壓、坐骨神經痛、物理治療等）、罷工與工會活動資訊（如員工是否參與罷工、是否支持罷工訴求、是否利用罷工時間休息、是否涉及工會活動等）、家庭與私人生活資訊（如家人罹患癌症、家庭照顧責任、離婚或分居狀況、個人嗜好與興趣等）、同事間私人關係資訊（如同事關係、戀愛關係或團隊傳言等）。
      此外，Amazon的資料保存政策規定，上述平台中所有資料於僱傭關係存續期間保存，並在離職後繼續保存最長10年。該平台資料亦可由多個Amazon內部團隊廣泛存取，例如營運主管可查看整個倉庫員工資料，系統開發團隊亦可存取原始個人資料。
       IGARANTE亦發現倉庫內有四支標示為「BATHROOM」的攝影機。儘管Amazon主張其用途為保護公共區域，但攝影機的角度仍可辨識出進出廁所及休息區的員工身分。監管機關亦發現，公司曾透過該監控系統辨識出某名進入廁所的保全人員。此外，其中一支攝影機的隱私遮蔽功能直到2025年12月22日才啟用，而該區域早在2024年11月即已納入攝影範圍。

2.違規行為

(1)蒐集與處理與工作能力評估無關之員工資料
系統備註中記錄大量與員工工作能力評估無關的資訊，例如健康狀況、家庭情況、個人嗜好及工會活動等，違反義大利個資法（Data Protection Code）第 113條及GDPR第88條對雇主處理員工資料之限制。

(2)違反個人資料處理基本原則
上述處理行為違反GDPR第5條所規定之基本原則，包括合法性與公平透明原則、資料最小化原則、保存期限限制原則。

(3)不當處理特種個資
系統記錄包含健康資訊及工會活動等資料，屬於GDPR第9條之特種個資，但Amazon並未具備合法處理基礎。

(4)不當監控員工活動
在接近廁所及休息區的區域設置攝影機，且能辨識出進出該區域的人員，已構成對員工私人空間之不當監控。

3.裁罰理由與監管措施

GARANTE認為本案個資侵害程度嚴重，主要理由包括：
(1)涉及大量員工（約1,822人）
(2)資料蒐集與儲存持續多年且可被多個內部部門廣泛存取
(3)所處理資料包含健康資訊、工會活動及私人生活等高度敏感資訊
(4)相關處理行為可能嚴重影響員工的尊嚴、基本權利與自由

因此，GARANTE依據GDPR第58條第2項(f)採取緊急措施，命令Amazon：
(1)立即停止處理系統中所記錄的相關員工資料
(2)在所有使用該平台的地點進行合法性檢查，並須於7日內向監管機關提交報告
(3)停止使用設置於廁所及休息區入口附近的四支攝影機進行資料處理
(4)將本決定公開於GARANTE網站並記錄於違規紀錄中
(5)如Amazon未遵守上述命令，可能依GDPR第83條第5項(e)再處以行政罰鍰

• 資料來源：https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10224096#english

 

▶ 新聞動態 ◀

• 本週無重大新聞動態

 

▶ 司法動態 ◀

一、駭客無法辨識個人就不算個資？英國上訴法院：資料安全義務應以「資料控制者」視角為準

1.事實
        本案源於2017年至2018年間，英國電子零售商DSG Retail Ltd（DSG）資訊系統遭受網路攻擊。駭客透過在銷售終端設備（POS）或刷卡機中植入惡意程式，在交易進行時持續擷取交易資料，並將資料儲存在DSG伺服器中，之後嘗試將資料外流。該攻擊持續約九個月，影響超過560萬張信用卡資料。
      在部分案例中，駭客取得信用卡號碼、卡片到期日以及持卡人姓名；然而大多數交易因採用晶片與PIN碼系統，駭客僅取得信用卡號碼與到期日，而未取得可直接識別持卡人身分的資訊。 
      英國資訊專員辦公室Information Commissioner's Office（ICO）經調查後認定，DSG未依《1998年資料保護法》（Data Protection Act 1998）第七項資料保護原則（DPP7），採取適當的技術與組織措施（Appropriate Technical and Organisational Measures, ATOMs）以保護個人資料安全，因此對DSG處以50萬英鎊罰鍰。
       DSG對此提出行政救濟程序：

• 第一審法院（First-tier Tribunal）認為，相關資料在DSG手中仍屬個人資料，駁回DSG主張，維持裁罰。
• 第二審法院（Upper Tribunal）改判支持DSG，認為若第三人取得資料後無法識別個人，則該資料在第三人手中並非個人資。
• ICO上訴至英國上訴法院（Court of Appeal）

2.爭點

當資料對資料控制者而言仍可識別特定個人，但對未經授權取得資料的第三人而言無法識別個人時，資料控制者是否仍負有資料安全保護義務？

3.法院判決理由
英國上訴法院最終撤銷（Upper Tribunal）判決，改判ICO勝訴，其主要理由如下：

(1)資料安全保護義務應以「資料控制者」觀點判斷：
法院指出，《1998年資料保護法》第4條規定，資料控制者必須遵守資料保護原則，以保護其所處理的所有個人資料。個人資料之定義包括，可以直接識別特定個人之資料或需結合資料控制者掌握之其他資訊才能間接識別個人之資料。因此，只要資料在資料控制者手中仍能識別個人，即屬個人資料。即使第三人取得資料後無法識別個人，也不影響資料控制者應負之安全義務。

(2)法院認為若採（Upper Tribunal）見解，將產生不合理之結果，例如：資料控制者無須防範勒索軟體攻擊、無須防止駭客竄改或刪除資料、即使資料被非法取得，只要駭客無法識別個人，也不構成違法。

(3)資料安全義務係資料主體與資料控制者法律關係之一部分
法院強調，資料安全義務係資料控制者對資料主體所負之法律義務，其目的在於保護資料主體所交付之個人資料。只要資料在資料控制者手中仍屬個人資料，該義務即持續存在，並不取決於第三人是否能識別資料主體。

資料來源：https://www.judiciary.uk/wp-content/uploads/2026/02/ICO-v-DSG-2026-EWCA-Civ-140-FINAL-for-hand-down.pdf