達文西個資週報

盤點全球最新焦點

 

• 五分鐘一覽當週全球個資法大事 • 

 

全文約2700字，閱讀約需9分鐘

 

❝ 達文西短評 ❞

本週我們整理了17則全球個資法重要焦點，其中三則都涉及以手機應用程式追蹤新冠肺炎確診者的接觸史。因此，本期週報將與大家聊聊接觸史追蹤應用程式的話題。

 

第一則新聞是關於宏觀面的監理制度。歐盟資料保護主管機關EDPB對與接觸史追蹤應用程式間互通性（interoperability）發表聲明，分析實現互通性時須注意的個資保護問題。

 

其餘二則新聞則是關於監理者與特定業者之互動。美國39名州檢察長聯名致函Apple和Google，要求兩家公司管理其線上商店中的接觸史追蹤應用程式；另外，英國政府的官方接觸史追蹤應用程式，將改以Apple與Google合作開發的接觸史追蹤技術為基礎。

 

隨著新冠肺炎疫情趨向穩定，各地封鎖措施也逐步放寬。在民眾的日常活動的接觸範圍相對擴大、防範意識相對減弱的情況下，接觸史追蹤應用程式對於防控第二波疫情爆發有關鍵作用。

 

但另一方面，接觸史追蹤應用程式的也存在業者追蹤使用者位置、侵害使用者隱私的隱憂。關於此類程式對使用者個資權利的影響，EDPB於4月針對此議題發布指引，達文西也曾在4月為大家報導了英國資料保護主管機關ICO對接觸史追蹤技術的意見（詳見文後延伸閱讀）。

 

從技術面而言，接觸史追蹤應用程式完全可以在不利用使用者個資、不追蹤使用者位置的前提下，實現接觸史追蹤。以Apple與Google合作開發之接觸史追蹤技術為例，其作用原理為，使用者的裝置上定期生獨立的加密token，再透過應用程式，以藍牙進行裝置間交換。Token的匹配在使用者裝置上進行，不存儲於應用程式的伺服器，且匹配過程無第三方參與。

 

雖然接觸史追蹤技術自身符合個資保護原則，且在大多數國家，應用程式係由使用者自願下載使用，但業者對技術之利用行為，仍有侵害使用者資料自主權之風險。確保使用者對於資料之蒐集與分享充分知情、資料之處理符合法律依據，防範以接觸史追蹤之名蒐集不必要資料或將使用者資料作目的外利用，不僅是主管機關監理的核心議題，也應是業者自律的重要方面。

 

許斌

於達文西
2020.06.19

 

---

▶ 法規動態 ◀

• 6月19日，法國最高行政法院（Conseil d'État）作出決定，認為法國資料保護主管機關「國家資訊自由委員會」（Commission Nationale de l'Informatique et des Libertés, CNIL）所作出的禁止使用cookie wall的意見，已超越CNIL之法定權限。CNIL 2019年7月cookie指引中cookie wall之相關部分因此無效。
  • 法國最高行政法院之決定原文請見：https://www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions-importantes/conseil-d-etat-19-juin-2020-lignes-directrices-de-la-cnil-relatives-aux-cookies-et-autres-traceurs-de-connexion。

• 6月16日，歐洲資料保護委員會（European Data Protection Board, EDPB）就新冠肺炎接觸史追蹤應用程式之互通性（interoperability）議題發表聲明，分析構建應用程式互通性架構須考量的個人資料保護問題。
  • 本事務所相關快訊請見：https://www.davinci.idv.tw/news/788。

• 6月18日，美國參議院提出「資料課責與透明化法」（Data Accountability and Transparency Act）法案。該法案主張對個資蒐集、利用與分享行為設定嚴格合法性標準，禁止利用人臉辨識技術，禁止將資料用於歧視性目的，並在聯邦層面設立資料保護專責機構。
  • 該法案原文請見：https://www.banking.senate.gov/imo/media/doc/Brown%20-%20DATA%202020%20Discussion%20Draft.pdf。

• 6月11日，美國加州參議院對「加州消費者隱私保護法」（California Consumer Privacy Act, CCPA）提出新修正。
  • 本事務所相關快訊請見：https://www.davinci.idv.tw/news/787。

• 6月18日，紐約市議會（New York City Council）投票通過「監控技術公眾監督法」（Public Oversight of Surveillance Technology (POST) Act）。該法要求紐約市警察局就其使用之監控技術列明清單，並解釋各項技術對民眾權利之影響。
  • 相關報導原文請見：https://www.reuters.com/article/us-minneapolis-police-surveillance/new-york-city-council-passes-police-surveillance-oversight-bill-idUSKBN23P3OO。

• 6月11日，臺南地方法院作出刑事判決，認為在論罪階段，我國「個人資料保護法」第41條之「利益」不限於財產利益；所得之不法利益或損害他人之利益是否為財產法益，僅為法定刑範圍內之考量要素。但本案判決尚非我國實務見解之通說，關於個資法第41條「利益」之檢討，請見文後「延伸閱讀」。
  • 臺南地院109年度訴字第332號刑事判決全文請見：https://law.judicial.gov.tw/FJUD/data.aspx?ty=JD&id=TNDM,109%2c%e8%a8%b4%2c332%2c20200610%2c1。

 

▶ 監理動態 ◀

• 6月19日，法國最高行政法院作出決定，駁回Google針對法國資料保護主管機關CNIL裁罰決定之訴訟。2019年1月，CNIL認為Google未依GDPR取得使用者之知情（informed）同意，決定對其罰款5000萬歐元。
  • 法國最高行政法院之決定原文請見：https://www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions-importantes/conseil-d-etat-19-juin-2020-sanction-infligee-a-google-par-la-cnil。

• 6月16日，美國39名州檢察長聯名致函Google和Apple公司的執行長，敦促兩家公司從其應用商店中下架非官方的新冠肺炎接觸史追蹤應用程式。聯名函還呼籲兩家公司在新冠肺炎疫情結束後，下架所有接觸史追蹤應用程式。
  • 該聯名函原文請見：https://oag.ca.gov/system/files/attachments/press-docs/Final%20Letter%206.16.20.pdf。

• 6月18日，Google在人臉識別訴訟中，抗辯伊利諾伊州生物特徵辨識資訊隱私法（Biometric Information Privacy Act）不適用於從照片中提取之臉紋（faceprint）資料，並據此請求法院駁回訴訟。
  • Google之動議原文請見：https://www.bloomberglaw.com/public/desktop/document/MolandervGoogleLLCDocketNo520cv00918NDCalFeb062020CourtDocket/2?1592631502。

• 6月16日，歐洲資料保護監察人（European Data Protection Supervisor, EDPS）就歐盟執委會「歐洲數據戰略」（A European Strategy for Data）發表意見。歐洲數據戰略旨在將歐盟打造為「最具吸引力、最安全、最靈活的」數據經濟體。EDPS在其意見中，讚賞歐盟執委會此一戰略對資料保護的關注，並強調數據戰略應構建開放、公平和民主的數據經濟模式。
  • EDPS之意見原文請見：https://edps.europa.eu/sites/edp/files/publication/20-06-16_opinion_data_strategy_en.pdf。
  • 歐洲數據戰略原文請見：https://ec.europa.eu/info/sites/info/files/communication-european-strategy-data-19feb2020_en.pdf。

• 6月18日，英國衛生與社會照護內閣大臣（Secretary of State for Health and Social Care）表示，英國將放棄自行開發的新冠肺炎接觸史追蹤應用程式，改用Apple與Google合作開發之接觸史追蹤技術。
  • 英國內閣大臣相關聲明原文請見：https://www.gov.uk/government/speeches/health-and-social-care-secretarys-statement-on-coronavirus-covid-19-18-june-2020。

• 6月17日，德國聯邦資料保護與資訊自由委員（Federal Commissioner for Data Protection and Freedom of Information）被報導批評德國政府機構與立法程序個資保護力度不足。
  • 相關報導原文請見：https://www.euractiv.com/section/data-protection/news/german-data-protection-commissioner-criticises-government-agencies-and-legislative-procedures/。

• 6月11日，美國加州居民對線上購物平台網站Minted提起集體訴訟，指控其於今年5月發生之客戶資料外洩事件違反CCPA。
  • 本案起訴狀原文請見：https://www.courtlistener.com/recap/gov.uscourts.cand.360822/gov.uscourts.cand.360822.1.0.pdf。

 

▶ 最佳實務動態 ◀

• 6月15日，外送平台Foodpanda之母公司Delivery Hero集團證實，集團旗下品牌Foodora發生使用者資料外洩事件，使用者之姓名、地址、電話號碼等資料於5月在網路論壇被公開。Delivery Hero集團並未說明外洩之具體規模，但據報道，超過72萬筆資料被洩露，涉及14個國家。
  • 相關報導原文請見：https://www.govinfosecurity.com/delivery-hero-confirms-foodora-data-breach-a-14435。

• 6月17日，Zoom宣布其將自今年7月開始，逐步實現全部使用者皆可使用「端到端加密」（end-to-end encryption, E2EE）功能。Zoom曾於5月底表示其將僅為付費使用者提供E2EE功能，引發外界批評。
  • Zoom相關聲明原文請見：https://blog.zoom.us/wordpress/2020/06/17/end-to-end-encryption-update/。

• 6月16日，英國資誠聯合會計師事務所（PricewaterhouseCoopers, PwC）回應以人臉辨識技術監控員工之報導。據報道，PwC開發人臉辨識技術軟體監控在家工作之員工。該軟體透過網路攝影機捕捉人像，再利用人臉識別技術，判定員工在工作時間是否位於電腦螢幕前。PwC在回應中稱，這一技術是為了「以侵入程度最小之務實方式」協助員工遵守法令要求。
  • 英國PwC之聲明原文請見：https://www.pwc.co.uk/press-room/press-releases/tech-trader-tool.html。

• 6月15日，數據智慧（data intelligence）公司Clickagy推出無須利用cookie的使用者行為追蹤方案Privacy Clusters。Clickagy聲稱該方案透過設備的匿名追蹤，獲得使用者行為的即時數據；該技術不利用任何個人資料，因此可迴避個資保護法規之適用。
  • Clickagy相關聲明原文請見：https://www.clickagy.com/resources/future-proof-your-marketing-strategy-with-cookieless-behavioral-targeting/。

 

不想錯過全球個資法大事嗎？

 

 

▶ 延伸閱讀 ◀

• 英國ICO就Apple和Google合作開發之新冠肺炎接觸史追蹤技術發表意見：https://www.davinci.idv.tw/news/757。
• 「不同意cookie條款就閃邊」合法嗎？—歐盟EDPB對cookie wall適法性之新見解：https://www.davinci.idv.tw/news/773。
• 新個資法來了！105年3月15日正式施行！(下)：https://www.davinci.idv.tw/news/467。