達文西個資即時快報

盤點全球最新焦點

 

文章整理：林舒涵律師

審閱：孔德澔律師

 

 

 

▶ 監理動態 ◀

一、假名≠匿名，IQVIA健康資料管理違規遭法國個資保護監管機關裁罰500萬歐元。  

1.事實
     IQVIA OPERATIONS FRANCE是美國IQVIA集團的法國子公司，主要提供諮詢服務，並為製藥公司進行疾病或用藥相關研究。為執行這些研究，該公司建置兩個由法國資訊與自由全國委員會CNIL授權建立的健康資料倉儲：LRX 倉儲（2018年授權，來源為約 14,000 家藥局的資料）以及EMR倉儲（2021年授權，來源為數千名醫師的資料）。法國調查節目《Cash Investigation》播出相關報導後，CNIL收到多名個人與社會團體的投訴，主要針對資料處理過程欠缺透明度的問題，因此對IQVIA及部分合作藥局展開多次現場稽查。根據稽查結果，CNIL懲戒委員會（formation restreinte）於2026年 5月26日對 IQVIA OPERATIONS FRANCE裁處500萬歐元罰款，並公開此裁罰決定；同時發出命令，要求公司在六個月內完成特定違規事項的改正，逾期將加計每日 10,000歐元的怠金。

2.違規行為   
(1)未遵守CNIL授權條款（法國資料保護法第66條）：稽查發現實際資料處理作業與授權條件不符，具體包括：兩座倉儲均未建立定期分析連線紀錄的機制，無法有效偵測異常存取行為；EMR倉儲亦未實施多因素身份驗證。此外，EMR倉儲的病患告知文件內容有誤，且缺乏讓當事人有效行使反對權的程序。
(2)未依法告知資料當事人（GDPR 第14條）：針對四家合作藥局所進行的稽查顯示，沒有任何一家藥局告知顧客其個人資料已被移交給 IQVIA。由於IQVIA是資料控管者，即便委由藥局代為履行告知義務，最終仍須自行負責確保合規。
(3)在無法律授權框架下自行使用資料法國資料保護法第 66 條）：公司曾以LRX倉儲資料為自身利益進行研究，卻無任何法律依據。
(4)軟體設計缺乏預設隱私保護（GDPR第25條）：藥局所用的管理軟體，即便顧客已拒絕提供資料，仍會持續將其個人資料傳送給IQVIA
 

3.裁罰理由
     CNIL認定，本案資料並非匿名資料，而僅屬「假名化」（pseudonymous）資料，個人身份仍可透過合理手段重新識別。IQVIA曾援引2025年歐盟法院「SRB 判決」主張資料屬匿名性質，無須適用GDPR，但CNIL指出，IQVIA蒐集大量高度敏感的個人資訊，包含出生年份、性別、就醫記錄、處方內容，以及 EMR 倉儲中的婚姻狀況、子女數、社經地位、診斷、症狀、過敏、體重、身高、脈搏、疫苗接種、檢查結果與病假紀錄等，且每位病患均有唯一識別碼（unique identifier），可追蹤其完整就醫歷程，重新識別風險過高，不符匿名化標準，故仍應適用GDPR規範。綜合考量違規行為涉及健康等敏感個人資料、受影響人數高達數千萬人、公司在市場上的主導地位，以及集團的財務能力，CNIL裁定上述罰款金額，以充分反映違規的嚴重性。

• 資料來源：https://www.cnil.fr/en/health-data-fine-5-million-euros-against-iqvia

二、法國CNIL發布雲端運算業者GDPR角色認定指引。

1.背景   
     法國資訊與自由全國委員會CNIL於2026年5月28日發布指引，協助雲端運算業者釐清自身在 GDPR 框架下的法律角色，究竟是資料控管者、共同控管者，還是資料處理者。角色認定不同，在合約義務、資料安全責任及當事人權利行使上都會有顯著差異。

2.服務提供階段之角色認定

• 客戶通常是資料控管者，因為客戶決定處理目的（例如用CRM系統管理客戶關係）以及主要處理方式（選擇處理哪些資料、刪除資料、本地備份等）
• 供應商通常是資料處理者，依客戶指示執行資料儲存、維護等作業。
• 例外情況：如果某些資料處理同時服務於客戶與供應商自己的目的，例如 SaaS 平台使用追蹤器，一方面協助客戶分析網站流量，另一方面也用來改善供應商自身服務，則雙方可能構成共同控制者。

​​​​​​​3.服務改善階段之角色認定

• 供應商自行決定改善目的與方式，分析多個客戶的使用資料：供應商為控管者
• 客戶主動要求改善，並指定資料範圍與方式：客戶為控管者，供應商為處理者
• 雙方共同決定改善目的與資料處理方式：雙方為共同控管者

4.雲端安全責任之區分

• 指引中特別區分雲端安全中的「Security "of" the cloud／雲端本身的安全」與「security in the cloud／雲端內安全」。前者是供應商為保護其基礎設施、伺服器、網路、作業系統或應用程式所採取的措施，例如資料中心門禁、伺服器維護、安全修補、網路過濾或異常偵測；後者則是客戶為保護其存放於雲端中的資料所採取的措施，例如資料加密、身分與存取管理、備份與權限設定。CNIL 強調，兩者雖可概念上區分，但實務上高度交織：供應商未修補伺服器漏洞，可能使客戶已設定的雙因素認證或存取控制失效；反之，客戶錯誤設定管理介面，也可能擴大整體平台遭攻擊的風險
• 就「雲端本身安全」而言，若供應商處理其員工資料，例如記錄系統管理員登入帳號、IP、時間與操作紀錄，以便追蹤存取或偵測濫用，通常供應商是資料控制者。若供應商處理客戶使用服務時產生的技術資料，例如管理員帳號、IP 位址、登入時間、操作紀錄等，以偵測異常登入、DDoS 攻擊、惡意程式，原則上供應商也可能是資料控制者，因為此類處理是為了維護整體雲端基礎設施安全，並非依特定客戶指示進行。不過，如果大型客戶在契約中要求供應商採取特定安全設定，例如特定log類型、警示門檻、封鎖 IP 範圍或災難復原計畫（Disaster Recovery Plan），且這些要求影響整體安全管理，則客戶與供應商可能構成共同控制者
• 就「雲端內安全」而言，通常仍由客戶擔任資料控制者，因為客戶決定其在雲端中處理資料的目的與安全措施，例如是否啟用資料加密、如何設定身分權限、如何安排事件紀錄及備份。供應商若只是提供加密、權限控管、日誌紀錄、備份等工具，並依客戶設定與指示執行，則供應商仍屬受託處理者。整體而言，CNIL強調：雲端場景中不能僅以服務名稱或契約名稱判斷角色，而應回到誰決定處理目的、誰決定必要方法、處理是否服務於單方或雙方利益，以及資料處理是否依特定客戶指示進行，才能正確界定GDPR下各方之角色與責任
  • 資料來源：https://www.cnil.fr/fr/quelles-qualifications-pour-les-acteurs-de-linformatique-en-nuage-cloud​​​​​​​

 

▶ 新聞動態 ◀

• 本週無重大新聞動態

 

▶ 司法動態 ◀

• 本週無重大新聞動態