達文西個資即時快報

盤點全球最新焦點

 

文章整理：林舒涵律師

審閱：孔德澔律師

 

 

 

▶ 監理動態 ◀

一、金融防詐技術越界！義大利郵政與Postepay因App非法監控用戶軟體清單，遭處1,250萬歐元巨額罰鍰。  

1.事實
     義大利個資保護局(Garante)於2026年4月17日對Poste Italiane與Postepay作成裁罰處分。本案起因於Bancoposta與Postepay兩款Android行動應用程式導入ThreatMetrix防詐技術，要求使用者授權App存取手機中的「使用資料（usage data）」，以偵測惡意軟體。若使用者拒絕授權，最多僅能登入三次，其後即無法繼續使用App功能。Garante調查發現，該系統除可蒐集裝置中執行中的App資訊、使用頻率、裝置識別資訊等資料外，亦可能藉由App類型推知使用者之健康狀況、宗教信仰、政治傾向、性傾向、財務狀況及生活習慣等敏感資訊。Garante最終認定，兩家公司透過ThreatMetrix所進行之資料處理，違反GDPR第5、6、13、25、28、32、35條及義大利個資法相關規定，屬違法處理個人資料，因此對Poste Italiane處以662萬4千歐元罰鍰，對Postepay處以587萬7千歐元罰鍰，並命其停止蒐集裝置中已安裝或執行中的 App 資料，同時限期重新訂定資料保存期間並提出改善措施。

2.違規行為
（1）欠缺合法處理依據
       兩家公司主張，其蒐集裝置資料係為遵循PSD2及歐洲銀行管理局（EBA）之反詐技術規範，屬履行法定義務所必要之措施。惟Garante認為，相關金融監理規範並未明確要求業者蒐集使用者裝置內所有App資訊，且該等資料處理本質上較接近基於「防制詐欺」目的所進行之合法利益處理。然而，公司並未完成適當之利益衡量，也未證明如此大規模且高度侵入性的監控措施，對於達成防詐目的具有必要性與比例性，因此認定其違反GDPR第6條之合法處理要件。

（2）未充分告知資料處理內容
      Garante認為，雖然公司曾於隱私權政策中提及部分反詐措施，但並未具體揭露將蒐集哪些App資訊、蒐集目的、ThreatMetrix的實際運作方式、資料保存期間、法律依據，以及可能對使用者權益造成之影響。使用者亦難以合理預期金融App會監控其裝置中的其他應用程式，因此認定公司違反GDPR第13條之資訊揭露與透明性義務。

（3）違反隱私設計與預設原則privacy by design/privacy by default
      Garante指出，公司並未評估侵害較小的替代措施，例如僅檢測高風險惡意App、僅針對特定malware進行比對，或採用其他較低侵入性的裝置安全機制，而是直接蒐集大量裝置中App的相關資訊。Garante因此認定，公司未遵循資料蒐集最小化原則，違反GDPR第25條之privacy by design與privacy by default要求。

（4）未進行適當資料保護影響評估
      兩家公司雖主張已針對反詐系統進行資料保護影響評估（DPIA），但Garante認為，既有DPIA並未真正評估ThreatMetrix技術本身所帶來的特定風險，也未分析大規模監控使用者App使用資訊對資料主體權利與自由可能造成之高風險影響，因此認定其違反GDPR第35條之規定。

（5）資料保存期間不當
      公司原先向Garante表示資料保存期間為24個月，後又修正為28個月，並稱延長保存係基於統計與分析需求。惟Garante認為，公司並未事先明確訂定保存期間，也未充分說明延長保存之必要性與比例性，更未妥善告知使用者，因此認定違反GDPR第5條之保存期間限制原則。

（6）處理者與次處理者管理不足
      Garante另指出，公司對於ThreatMetrix供應商及次處理者之角色、責任與技術措施缺乏充分監督與管理，相關契約與責任分工亦存在不一致與不明確之情形，因此認定違反GDPR第28條有關處理者管理之規定。

3.裁罰理由
      Garante考量本案涉及數百萬名使用者，且相關資料處理具有高度侵入性，可能進一步揭露使用者之敏感資訊。此外，公司未正確認定處理之法律依據、未妥善進行DPIA、未採取足夠之資料保護與安全措施，也未充分審查技術供應商之方案內容，顯示其在資料治理與GDPR遵循方面具有重大疏失，故分別對Poste Italiane處以662萬4千歐元罰鍰，對Postepay處以587萬7千歐元罰鍰。

• 資料來源：https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10241537

 

▶ 新聞動態 ◀

• 本週無重大新聞動態

 

▶ 司法動態 ◀

一、芬蘭最高行政法院判決：教區選舉信封揭露教會成員身分，雖屬敏感個資但未違反 GDPR

1.事實

      芬蘭Järvenpää教區於2022年教區選舉期間，向具有投票資格之教會成員寄送選舉通知信函。該信件信封上除載有收件人姓名與地址外，亦印有「芬蘭福音信義教會（Evangelical Lutheran Church of Finland）」及教區選舉相關文字，因此外界可由信封內容推知收件人為該教會成員。原告主張，除郵務人員外，其同住家人亦可能因此得知其宗教信仰資訊，遂向資料保護監督機關提出申訴。副資料保護監察官原認為教區基於教區選舉及通知投票權之目的，具有處理該等個資之合法基礎，且已採取適當保護措施，因此未違反GDPR。惟赫爾辛基行政法院認為，將足以推知宗教信仰之資訊揭露於信封外並非達成選舉通知目的所必要，違反GDPR資料最小化原則及第9條第2項(d)款之要求，因此撤銷原處分並發回重審。其後，芬蘭最高行政法院於2026年4月29日，廢棄行政法院判決，認為雖然信封資訊確實構成GDPR第9條所稱特殊類別個資，但綜合資料性質、處理目的、處理方式及保護措施後，教區之資料處理仍屬合法，未違反GDPR規定。

2.爭點
（1）教區選舉通知信封上所揭露之資訊，是否屬GDPR第9條第1項所稱「特殊類別個人資料」，亦即得揭露宗教信仰之個資？
（2）若屬特殊類別個資，教區以該方式寄送選舉通知，是否符合GDPR第9條第2項(d)款所要求之合法處理條件及適當保護措施？
（3）該資料處理方式是否違反GDPR第5條之資料最小化原則與機密性保護要求？ 

3.法院判決理由

（1）信封資訊屬於GDPR第9條之特殊類別個資
      最高行政法院指出，教區選舉之投票資格係以教會成員身分為前提，因此從信封上的教區選舉資訊，確實可以推知收件人為教會成員。法院並援引歐盟法院（CJEU）判例指出，GDPR第9條對特殊類別個資之保護應採廣泛解釋，不僅直接揭露宗教信仰之資訊受保護，足以「間接推知」宗教信仰之資訊亦屬之。即便該推論僅具一定可能性，而非百分之百確定，仍可能構成特殊類別個資。因此，本案信封所透露之教會成員資訊，仍屬GDPR第9條第1項所保護之特殊類別個資。

（2）教區之資料處理符合GDPR第9條第2項(d)款
      法院進一步指出，GDPR第9條第2項(d)款允許宗教團體於其合法活動範圍內，在具備適當保護措施之前提下，處理其成員之特殊類別個資。本案中，教區係為辦理教區選舉並通知成員行使投票權而處理相關資訊，該目的涉及教會自治及教會民主運作，具有正當性，且處理對象僅限於教會成員，因此原則上符合該條款之適用前提。

（3）法院認為資料敏感程度相對較低，對權利侵害並不重大
      法院特別強調，雖然教會成員資訊屬特殊類別個資，但其敏感程度與直接揭露個人宗教觀點、宗教實踐或宗教活動之資訊並不相同。法院認為，芬蘭福音信義教會成員身分本身，並非高度私密或高度敏感之宗教資訊，因此該等資訊之處理，尚未達到GDPR通常對特殊類別個資所擔憂之「重大基本權侵害」程度。

（4）信封外揭露選舉資訊具有必要性，未違反資料最小化原則
      法院認為，教區於信封外標示與選舉相關之資訊，有助於收件人辨識該信件與投票權有關，進而提高資訊確實送達並被注意之可能性。此種做法與其他選舉通知程序相類似，亦符合教區通知成員行使權利之義務。法院並認為，若完全不於信封外揭露任何與教區或投票權有關之資訊，未必能合理達成通知目的，因此無法認定教區有過度處理個資或違反資料最小化原則。

（5）法院認為已具備適當保護措施
      法院指出，該信件係以封閉信封寄送，並非向公眾自由公開資訊；郵務公司及其員工亦依法負有保密義務。此外，即便同住家人可能看到信封內容，此種風險並不足以認定教區違反GDPR，尤其收件人本身亦可透過自身行為降低他人接觸信件之可能性。因此，法院認為整體而言，教區已採取適當保護措施，資料處理並未違反GDPR。

• 資料來源：https://資料來源：https://www.finlex.fi/en/case-law/supreme-administrative-court/precedents/2026/28