達文西個資週報

盤點全球最新焦點

 

全文約2000字，閱讀約需7分鐘

▶ 法規動態 ◀

• 8月19日，德國聯邦資料保護與資訊自由委員（Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI）就《病患資料保護法》（Patientendaten-Schutz-Gesetzes, PDSG）法案發表意見，認為該法案條文違反GDPR。該法案於2020年7月初經德國聯邦眾議院（Bundestag）通過，目前正在聯邦參議院（Bundesrat）審議之中，預計將於2020年秋季生效。
  • 該聲明原文請見：https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/20_BfDI-zu-PDSG.html。
  • PDSG法案原文請見：https://www.bundesgesundheitsministerium.de/fileadmin/Dateien/3_Downloads/Gesetze_und_Verordnungen/GuV/P/PDSG-Bundestag_Drs-18793.pdf。

 

• 8月20日，加拿大隱私委員辦公室（Office of the Privacy Commissioner of Canada, OPC）發布《物聯網裝置製造者隱私指引》（Privacy guidance for manufacturers of Internet of Things devices），透過該指引提供遵守加拿大個資法，即《個人資訊保護與電子文件法》（Personal Information Protection and Electronic Documents Act, PIPEDA）之最佳實務做法。
  • 該指引原文請見：https://www.priv.gc.ca/en/privacy-topics/technology/gd_iot_man/。

 

• 8月21日，紐西蘭隱私委員辦公室（Office of the Privacy Commissioner, OPC）公布《2020年隱私法》（Privacy Act 2020）與現行《1993年隱私法》（Privacy Act 1993）之對照表。紐西蘭《2020年隱私法》於2020年6月底經國會通過並獲得御准（royal assent），將於2020年12月1日生效。
  • 該對照表原文請見：https://www.privacy.org.nz/assets/Privacy-2-0-Page/Comparing-the-Privacy-Acts-1993-and-2020.pdf。

 

▶ 監理動態 ◀

• 8月20日，據媒體報導，愛爾蘭資料保護委員會（Data Protection Commission, DPC）對Twitter 2019年個資外洩事故之處罰決定草案遭到其他歐盟會員國資料保護主管機關的反對。愛爾蘭DPC已就此發動GDPR第65條規定之爭議解決程序，請求歐洲個人資料保護委員會（European Data Protection Board, EDPB）作出有拘束力之裁決。這是GDPR第65條爭議解決程序之首次適用。
  • 相關報導原文請見：https://www.reuters.com/article/us-europe-privacy-twitter/twitter-privacy-ruling-delayed-after-dispute-among-eu-regulators-idUSKBN25G1EL。
  • 延伸閱讀：
    • 本事務所受國家發展委員會委託翻譯之歐盟第29條個資保護工作小組《關於識別控管者或受託運用者的主責監管機關之指引》中英對照全文請見：https://www.davinci.idv.tw/download。

 

• 8月21日，據媒體報導，Google向加州北區聯邦地方法院（United States District Court for the Central District of California）提出動議，請求駁回原告之訴。2020年6月，該案原告對Google提起集體訴訟，指控Google 在其Chrome瀏覽器「私密瀏覽」（Incognito）模式下，依然即時追蹤、蒐集與記錄使用者的瀏覽行為。該案索賠額或可達50億美元。Google在該駁回動議中辯稱，「私密瀏覽」模式僅防止使用者裝置儲存瀏覽資料，並不保護使用者免受網站或第三方的行為分析，原告係有意曲解Google關於「私密瀏覽」模式之說明。
  • 相關報導原文請見：https://www.mediapost.com/publications/article/355023/google-seeks-dismissal-of-privacy-suit-alleging-it.html。
  • 延伸閱讀：
    • 「私密瀏覽」也會被追蹤記錄？ —Google面臨集體訴訟，索賠額超50億美元：https://www.davinci.idv.tw/news/777。

 

• 8月24日，德國聯邦資料保護與資訊自由委員（BfDI）就歐盟法院（Court of Justice of the European Union, CJEU）Schrems II案判決發布指引，建議業者對資料境外傳輸狀況進行全面回顧，檢視相關國家是否已通過適足性認定，評估歐盟執委會公布之標準契約條款（standard contractual clauses, SCC）是否可用。BfDI承認，遵守Schrems II案判決可能對個別業者造成「嚴重負擔」，並表示將密切關注相關進展。
  • 該指引原文請見：https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/LfDI-BW-Orientierungshilfe-zu-Schrems-II.pdf。
  • 延伸閱讀：
    • 個資週報9｜當漏風的隱私盾遇上較真的歐盟法院：https://www.davinci.idv.tw/news/808
    • 安全港早已潰堤，隱私盾竟也遭歐盟法院擊破！—歐盟法院判決Schrems II案：https://www.davinci.idv.tw/news/803。  

 

• 8月19日，Facebook隱私侵害訴訟6.5億美元和解方案獲得法院初步核准。2015年，Facebook被訴透過照片標籤（tag）功能蒐集使用者的臉紋（faceprint）資料，違反美國伊利諾州《生物特徵辨識資訊隱私法》（Biometric Information Privacy Act, BIPA）。Facebook於2020年年初同意以5.5億美元和解本案，但被該案主審法官認為和解金額過低，Facebook隨後於同年7月將和解金額提高至6.5億美元。
  • 該案法院意見原文請見：https://www.courtlistener.com/recap/gov.uscourts.cand.290385/gov.uscourts.cand.290385.474.0.pdf。
  • 延伸閱讀：
    • 【個資週報10】網路巨頭隱私爭訟新發展：https://www.davinci.idv.tw/news/812。

 

• 8月20日，據媒體報導，TikTok的母公司字節跳動就一宗消費者隱私侵害訴訟與原告達成初步和解意向。TikTok目前在美國境內面臨多起隱私侵害訴訟，被控非法蒐集生物特徵辨識資訊並將消費者敏感資料傳輸至中國。如不達成和解，可能須因此支付數億美元賠償。
  • 相關報導原文請見：https://www.bloomberg.com/news/articles/2020-08-20/tiktok-poised-for-deal-to-avoid-millions-in-privacy-damages。
  • 延伸閱讀：
    • TikTok又一樁新麻煩？—近20起隱私訴訟將由伊利諾州法院合併審理：https://www.davinci.idv.tw/news/814。  
• 8月17日，荷蘭資料保護署（Autoriteit Persoonsgegevens, AP）表示，荷蘭政府之接觸史追蹤應用程式CoronaMelder未能對使用者隱私提供適足保護。AP建議荷蘭政府改採Apple公司和Google 公司合作開發之接觸史追蹤技術。
  • 該聲明原文請見：https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-privacy-corona-app-gebruikers-nog-onvoldoende-gewaarborgd。
  • 延伸閱讀：
    • 個資週報5｜接觸史追蹤APP的貢獻與隱憂：https://www.davinci.idv.tw/news/789。
    • 不同接觸史追蹤應用程式間如何安全實現「互通有無」？：https://www.davinci.idv.tw/news/788。
    • 英國ICO就Apple和Google合作開發之新冠肺炎接觸史追蹤技術發表意見：https://www.davinci.idv.tw/news/757。

 

• 8月17日，波蘭資料保護署（Urząd Ochrony Danych Osobowych, UODO）就僱員聯絡資訊之隱私保護發表聲明，認為依波蘭《勞動法》（Kodeksu Pracy）與GDPR，僱主如要求僱員提供姓名、學歷與職業資格以外之其他資訊，須依GDPR第7條取得僱員同意。
  • 該聲明原文請見：https://uodo.gov.pl/pl/138/1636。

 

• 8月19日，英國資訊委員辦公室（Information Commissioner’s Office, ICO）宣布啟動新一輪監理沙盒（Regulatory Sandbox）計畫，本輪計畫之重點為兒童隱私保護與資料共享議題。
  • 該計畫原文請見：https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/08/children-s-privacy-and-data-sharing-in-focus-as-regulatory-sandbox-re-opens/。

 

▶ 最佳實務動態 ◀

• 8月17日，Facebook表示其已根據歐盟法院（CJEU）Schrems II案判決，停用歐盟-美國隱私盾，改以歐盟執委會公布之標準契約條款（SCC）作為向美國傳輸資料之法遵安全措施。
  • 該聲明原文請見：https://www.facebook.com/business/news/updating-our-international-data-transfer-mechanisms/。

 

• 8月17日，歐盟法院Schrems II案當事人Maximillian Schrems發起之NGO「None of your business」(NOYB)宣布，針對101家在Schrems II案判決後仍向Facebook或Google美國總部傳輸資料之歐盟企業，分別向歐盟有關個資保護主管機關提出申訴。
  • 該聲明原文請見：https://noyb.eu/en/101-complaints-eu-us-transfers-filed。

 

※ 歡迎註明出處後轉載。

不想錯過全球個資法大事嗎？〔訂閱電子報〕