達文西個資即時快報

盤點全球最新焦點

 

文章整理：林舒涵律師

審閱：孔德澔律師

 

 

 

▶ 監理動態 ◀

一、西班牙資料保護局以巴塞隆納足球俱樂部未就生物辨識系統進行資料保護影響評估(DPIA)為由，裁罰50萬歐元。

1.事實      
       西班牙資料保護局（Agencia Española de Protección de Datos, AEPD）調查發現，巴塞隆納足球俱樂部（FC Barcelona, FCB）於2022年為更新會員名冊，導入遠端數位身分驗證系統，要求會員透過線上方式提交身分證件影像及自拍照，以進行臉部辨識比對，並建立聲紋辨識系統，以供會員在電話服務等遠端程序中進行身分驗證。相關生物辨識資料並與會員檔案中之其他個人資料（如電話號碼、身分證字號等）一併處理，影響對象約14萬3千名會員，且會員遍布西班牙及其他國家。。
      AEPD調查發現，FCB在導入上述生物辨識處理系統前，並未依法進行資料保護影響評估（Data Protection Impact Assessment, DPIA），僅於事後提出若干風險分析文件。經審查後，AEPD認定該等文件不足以構成符合GDPR要求之DPIA，遂認定FCB違反《GDPR》第35條規定，並對其裁處50萬歐元罰鍰。

2.違規行為

AEPD指出，FCB在未進行DPIA之情況下即導入臉部辨識與聲紋辨識系統，且其事後提出之風險分析文件，係於與服務提供者簽訂資料處理契約後始完成，未能於處理前評估個資處理之必要性、比例原則及對資料當事人權利與自由可能造成之風險，亦未充分分析資料處理生命週期、替代方案或相應之風險控管措施，因此不符合GDPR對DPIA之要求。

3.裁罰理由

AEPD認為，本案涉及臉部與聲紋辨識等生物辨識資料處理，具有高度識別性，且係針對大規模會員資料進行處理，同時包含自動化決策及新興技術應用，顯然具有對資料當事人權利與自由造成高風險之可能。依GDPR第35條規定，資料控制者應於處理前進行DPIA，以評估相關風險並制定適當之技術與組織措施。FCB未履行此一義務，且其風險分析文件內容不足，因此AEPD認定其違反GDPR之資料保護風險管理義務，遂裁處50萬歐元罰鍰。

• 資料來源：https://www.aepd.es/documento/ps-00450-2024.pdf

 

▶ 新聞動態 ◀

• 本週無重大新聞動態

 

▶ 司法動態 ◀

一、駭客無法辨識個人就不算個資？英國上訴法院：資料安全義務應以「資料控制者」視角為準

1.事實
        Criteo為總部設於法國之數位廣告公司，其主要業務係透過在第三方網站上投放個人化定向廣告（targeted advertising）。為此，Criteo透過在合作網站上放置追蹤器（cookies），蒐集造訪該等網站之使用者瀏覽資料，包括IP位址、裝置識別碼、地理位置、瀏覽紀錄、購買紀錄及所瀏覽之廣告等資訊，並透過分析上述資料建立使用者行為輪廓，以提供更精準之廣告投放服務。
      法國資料保護監管機關CNIL（Commission nationale de l'informatique et des libertés） 經調查後認定，Criteo在蒐集及使用使用者資料過程中，違反GDPR多項規定，遂於2023年6月15日對Criteo處以4,000萬歐元罰鍰，並決定公開該裁罰決定。 
      Criteo 不服該裁罰，向法國最高行政法院（Conseil d’État）提起訴訟，主張CNIL無管轄權、裁罰程序違法，並請求撤銷裁罰或降低罰鍰金額。法國最高行政法院最終於2026年3月4日駁回Criteo所提之訴訟，維持CNIL對Criteo處以4,000萬歐元罰鍰之處分以及維持裁罰決定公開之措施。

2.爭點

• Criteo 主張部分違規行為發生於法國境外，CNIL是否具管轄權？
• Criteo主張，在調查過程中未被告知其「保持緘默權」（right to remain silent），是否違反程序保障？
• 對於在合作網站上放置cookies並蒐集資料的行為，Criteo 是否應被認定為資料控制者或共同控制者？
• 假名化識別碼（pseudonymous identifiers）是否屬於個人資料？
• 是否違反GDPR各項義務（同意機制、資訊告知義務、資料主體權利、刪除權）？
• 4000萬歐元裁罰金額是否過高？

3.法院判決理由

(1)CNIL具有管轄權
法院指出，依GDPR第55條及第56條，主要營業據點所在地之監管機關得作為主要監管機關（lead supervisory authority）。由於Criteo的主要營業據點位於法國，因此CNIL對其跨境資料處理活動具有管轄權，即使部分資料處理行為涉及其他EU成員國，亦不影響其裁罰權限。

(2)未告知緘默權不構成程序違法
法院指出，保持緘默權主要適用於正式的制裁程序，亦即已提出指控、可能作成處罰決定的階段，而不適用於行政機關在提出指控前所進行的事實調查或稽查程序；CNIL 在該階段僅是在蒐集事實資料，因此即使未告知受調查者保持緘默權，也不影響程序合法。

(3)假名化識別碼與IP位址、裝置識別碼、地理位置及瀏覽紀錄等資料相連結，透過交叉比對，仍可能辨識特定個人，因此屬於GDPR第4條所稱之個人資料。

(4)4,000萬歐元罰鍰並未違反比例原則
法院指出，本案涉及大規模跨境資料處理，影響約3.7億個使用者識別碼，其中5000萬位於法國，且Criteo為數位廣告市場重要業者，公司因違規資料處理直接獲得商業利益。綜合上述因素，CNIL對Criteo處以4,000萬歐元罰鍰，並未違反比例原則。

資料來源：https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2026-03-04/482872