【個資法即時快報023】2026年05月22日全球個資保護動態焦點
達文西個資即時快報
盤點全球最新焦點
文章整理:林舒涵律師
審閱:孔德澔律師
▶ 監理動態 ◀
一、荷蘭個資保護機關AP重罰Yango母公司1億歐元:違反GDPR國際傳輸規定,命停止將歐洲個資傳至俄羅斯。
1.事實
荷蘭個資保護機關 Autoriteit Persoonsgegevens(AP)對MLU B.V.裁罰1億歐元,理由是MLU B.V.經營歐洲版Yango計程車叫車App,將挪威及芬蘭境內使用者與司機的個人資料傳輸至俄羅斯,但未確保該等資料在俄羅斯可獲得與歐洲相當之保護水準。Yango 在歐洲經濟區主要於挪威及芬蘭使用,而MLU的歐洲總部位於荷蘭,因此本案由荷蘭AP擔任主導監理機關,並與挪威及芬蘭監理機關合作調查。調查發現,Yango蒐集並儲存大量顧客與司機個資於俄羅斯伺服器,包括駕照影本、住址、聯絡資訊、銀行帳號、精確位置、行程資料、照片、聊天內容及個人識別號碼等資料。除罰鍰外,AP也要求MLU立即停止透過Yango App將挪威及芬蘭境內個人之個資傳輸至俄羅斯。
2.違規行為
MLU的主要違規行為,是將Yango App所蒐集之歐洲使用者及司機個人資料傳輸至俄羅斯,但未依GDPR關於第三國傳輸之要求,確保資料於接收國具有與歐洲相當之保護水準或適當保障措施。涉及資料不僅包含一般聯絡資訊,也包含精確位置、行程紀錄、駕照影本、聊天內容、帳戶資訊及個人識別號碼等高度敏感或具高度風險之資料。
3.裁罰理由
AP認為,依GDPR規範,企業將個人資料傳輸至歐洲經濟區以外國家時,必須確保接收國或接收方能提供實質相當之個資保護。惟俄羅斯並不具備與歐洲相當之個資保護環境,且缺乏獨立個資監理機關;在此情況下,俄羅斯政府可能取得相關資料,特別是位置、行程、身分及聯絡資訊等資料,可能對當事人隱私及人身安全造成風險。AP 因此認定,MLU未對顧客及司機之敏感且高風險資料採取足夠嚴格之保護措施,違反國際傳輸規範,情節重大,故處以1億歐元罰鍰,並命其停止相關傳輸。罰鍰金額亦考量MLU所屬Yandex集團之全球營收;該集團2024年全球營收約為120億歐元。
二、英國 ICO 提議修改PECR:擬放寬「低風險線上廣告」Cookie 同意權限制。
英國資訊專員辦公室ICO於2026年5月18日發布文章,主要說明ICO已向英國政府提出建議,針對線上廣告涉及cookie、script、tag等「儲存或讀取使用者裝置資訊」技術時,是否仍一律要求取得同意,進行可能的法規調整。ICO強調,線上廣告是英國數位經濟的重要基礎,可促進網路內容之服務與創新;但同時,PECR(Privacy and Electronic Communications Regulations)與UK GDPR仍扮演保障個人權利與自由的重要角色,使用者也有正當期待,要求線上廣告具備高度透明性與控制權。
ICO指出,現行PECR第6條對於透過cookie等技術進行線上廣告,採取較接近「一體適用」的同意要求。亦即,多數具商業可行性的線上廣告,只要涉及在使用者裝置上儲存或讀取資訊,即使對隱私的風險相對較低,通常仍須取得使用者同意。ICO認為,這種制度可能降低業者投資或採用較低風險、較保護隱私之廣告技術的誘因,也可能阻礙隱私友善廣告模式的發展。
因此,ICO建議政府可考慮修正PECR第6條,使某些「低風險」的線上廣告活動,在不取得第6條同意的情況下仍得運作;但對於涉及侵入性追蹤、長期或跨服務建立個人輪廓的廣告,仍應維持取得有效同意的要求。ICO特別指出,若廣告是依據使用者當下瀏覽內容的脈絡投放,而非依據個人過去的線上活動紀錄,隱私風險通常較低,也較符合使用者對線上廣告與隱私的期待。
ICO也說明,這項建議是基於PECR與UK GDPR的法律分析、與線上廣告生態系利害關係人的互動、使用者研究、公開徵詢意見、公民陪審團,以及成本效益分析等資料所形成。換言之,ICO是以獨立專家顧問的角色,提供英國政府作為後續政策與立法調整的參考。
不過,ICO特別提醒,目前法律尚未改變,現行PECR規則仍然適用,業者仍必須依現行規範遵循cookie與線上追蹤相關要求。ICO並表示,仍有部分業者採用削弱使用者知情選擇、提高使用者風險的技術或作法。對於業者採取使用者難以理解、無法合理預期,且未賦予使用者充分控制權之方式進行線上廣告者,ICO 將採取相應執法行動。
▶ 新聞動態 ◀
- 本週無重大新聞動態
▶ 司法動態 ◀
- 本週無重大新聞動態