【個資週報26】歐盟法院Schrems II案判決推動歐盟機構個資保護新動作|2020/11/09~2020/11/16
2020-11-19
達文西個資週報
盤點全球最新焦點
全文約2200字,閱讀約需8分鐘
▶ 法規動態 ◀
- 11月11日,最高法院刑事大法庭開庭審理109年度台上大字第1869號刑事案件,釐清個人資料保護法第41條之「利益」是否限於財產上利益之問題,並由范姜真媺教授、薛智仁教授等專家學者提供鑑定意見。
- 本案提案裁定原文請見:https://tps.judicial.gov.tw/archive/109%E5%B9%B4%E5%BA%A6%E5%8F%B0%E4%B8%8A%E5%A4%A7%E5%AD%97%E7%AC%AC1869%E8%99%9F%E6%8F%90%E6%A1%88%E8%A3%81%E5%AE%9A.pdf。
- 本案各方意見資料全文請見:https://tps.judicial.gov.tw/faq/index.php?parent_id=1588。
- 延伸閱讀:
- 個資週報15|個資法非財產損害是否有刑事責任?大法庭將統一見解:https://www.davinci.idv.tw/news/823。
- 11月11日,歐盟法院(Court of Justice of the European Union, CJEU)對Orange România案(Case C-61/19)作出判決,釐清通訊傳播業者依據「同意」蒐集和儲存使用者身分證件之條件。該判決認為,業者如在通訊傳播服務契約中,事先勾選「同意蒐集儲存身分證件」之選項,則不構成使用者之有效同意。
- 該判決原文請見:http://curia.europa.eu/juris/document/document.jsf?text=&docid=233544&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=12662923。
- 延伸閱讀:
- 網站cookie條款不得預先勾選同意!—德國聯邦最高法院依CJEU見解判決Planet49案:https://www.davinci.idv.tw/news/774。
- 11月11日,歐洲個人資料保護委員會(European Data Protection Board, EDPB)為因應歐盟法院Schrems II案判決,制定並公布《關於確保遵守歐盟資料保護水準的傳輸工具輔助措施之建議01/2020》(Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data)和《關於監控措施的歐洲根本保障之建議02/2020》(Recommendations 02/2020 on the European Essential Guarantees for surveillance measures),為控管者和處理者向歐洲經濟區以外傳輸資料時確保適足保護提供指引。
- 《建議01/2020》原文請見:https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf。
- 《建議02/2020》延伸閱讀:https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_recommendations_202002_europeanessentialguaranteessurveillance_en.pdf。
- 延伸閱讀:
- 個資週報09|當漏風的隱私盾遇上較真的歐盟法院:https://www.davinci.idv.tw/news/808。
- 安全港早已潰堤,隱私盾竟也遭歐盟法院擊破! —歐盟法院判決Schrems II案:https://www.davinci.idv.tw/news/803。
- 11月9日,歐盟資通安全署(European Union Agency for Cybersecurity, ENISA)發布《物聯網安全維護指引》(Guidelines for Securing the Internet of Things)。
- 11月13日,法國最高行政法院(Conseil d’Etat)就公務機關使用空拍裝置問題發表諮詢意見。該諮詢意見認為,公務機關使用無人機等空拍裝置拍攝自然人影像,構成對個人資料之處理。考量到此等拍攝可能為執法活動所必要,同時可能對自然人之基本權利造成嚴重干預,行政規則不足以對所處理的個資提供適足保護,法國需要對此制定法律。
- 11月11日,西班牙公布《關於可信電子服務某些方面之法律6/2020》(Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza)。該法配合歐盟2014年eIDAS規則(Regulation (EU) No 910/2014),規範西班牙境內電子身分認證、電子簽名等事宜。
▶ 監理動態 ◀
- 11月12日,歐盟執委會分別公布GDPR第46條資料境外傳輸標準契約條款(Standard Contractual Clauses, SCC)草案,以及GDPR第28條控管者與處理者間之SCC草案,並就兩項草案公開徵求意見。歐盟執委會依個人資料保護指令(Directive 95/46/EC),曾於2001年和2010年分別發布不同版本之資料境外傳輸SCC。此兩個版本將在本次資料境外傳輸SCC通過後被廢止。
- 資料境外傳輸SCC草案原文請見:https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries。
- 控管者與處理者間SCC草案原文請見:https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12740-Commission-Implementing-Decision-on-standard-contractual-clauses-between-controllers-and-processors-located-in-the-EU。
- 延伸閱讀:
- 個資週報21|國安調查與個資保護如何衡平,歐盟法院釐清規則:https://www.davinci.idv.tw/news/854。
- 個資週報17|改用標準契約條款也不行?愛爾蘭DPC又槓上Facebook:https://www.davinci.idv.tw/news/825。
- 個資週報09|當漏風的隱私盾遇上較真的歐盟法院:https://www.davinci.idv.tw/news/808。
- 歐盟法院又拋重磅判決,國家不得利用電信業者實施普遍性監控:https://www.davinci.idv.tw/news/853。
- 安全港早已潰堤,隱私盾竟也遭歐盟法院擊破! —歐盟法院判決Schrems II案:https://www.davinci.idv.tw/news/803。
- 11月10日,歐洲個人資料保護委員會(EDPB)首次依GDPR第65條對會員國資料保護主管機關之爭議作出有拘束力之裁決。2020年5月,愛爾蘭資料保護委員會(Data Protection Commission, DPC)作出對Twitter 2019年個資外洩事故之處罰決定草案,並依GDPR第60條分發給其他歐盟會員國資料保護主管機關。2020年8月,因歐盟會員國主管機關無法就該處罰決定草案達成一致,愛爾蘭DPC發動GDPR第65條規定之爭議解決程序,將爭議交予EDPB裁決。
- 11月12日,義大利個人資料保護署(Garante per la Protezione dei Dati Personali)以濫用個資實施電話行銷為由,對Vodafone義大利公司處以1220萬歐元(約合新台幣4.1億元)罰鍰。義大利個人資料保護署認為Vodafone的行為違反GDPR關於使用者同意和資料保護設計之要求。
- 該裁罰決定原文請見:https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9485681。
- 延伸閱讀:
- H&M侵害員工隱私被罰11億,GDPR史上第二高:https://www.davinci.idv.tw/news/851。
- 本事務所受國家發展委員會委託翻譯之歐盟第29條個資保護工作小組《同意指引》中英對照全文請見:https://www.davinci.idv.tw/download。
- 11月16日,歐盟法院 Schrems II案當事人Maxim Schrems 發起之NGO NOYB分別向西班牙資料保護署(Agencia Española de Protección de Datos, AEPD)和德國柏林資料保護與資訊自由委員會(Berliner Beauftragte für Datenschutz und Informationsfreiheit)提起申訴,認為Apple公司及其第三方廣告商在iOS裝置上使用廣告識別碼(Identifier for Advertiser, IDFA),違反了GDPR和電子隱私指令(ePrivacy Directive)。
- 11月12日,加拿大隱私委員辦公室(Office of the Privacy Commissioner of Canada, OPC)發布人工智慧(artificial intelligence, AI)監理建議。加拿大OPC建議修正現行之《2000年個人資訊保護和電子文件法》(Personal Information Protection and Electronic Documents Act 2000),允許為AI創新目的對個人資訊實施目的外利用,同時新增當事人對自動化決策之解釋權以及異議權。
- 該建議原文請見:https://www.priv.gc.ca/en/about-the-opc/what-we-do/consultations/completed-consultations/consultation-ai/reg-fw_202011/。
- 延伸閱讀:
- 個資週報23|個資法修法、AI立法、網路內容控管:國內外法規新動向:https://www.davinci.idv.tw/news/858。
- 11月10日,中國大陸市場監督管理總局公布《關於平台經濟領域的反壟斷指南(徵求意見稿)》,公開徵求意見。該指南將利用數據(資料)實施壟斷、限制競爭之行為亦納入監管範圍。
- 該指南全文請見:http://www.samr.gov.cn/hd/zjdc/202011/t20201109_323234.html。
- 延伸閱讀:
- 個資週報06|網路巨頭監理:個資保護法與競爭法之互動:https://www.davinci.idv.tw/news/796。
- 沒有帳號也會被社群網站蒐集資料?—德國聯邦最高法院認定Facebook資料政策違法:https://www.davinci.idv.tw/news/795。
▶ 最佳實務動態 ◀
- 11月16日,Apple公司就Mac OS作業系統Gatekeeper功能的隱私保護疑慮作出回應,表示Gatekeeper蒐集之資料不會與Apple使用者或其裝置的其他資料相結合。
※ 歡迎註明出處後轉載。
不想錯過全球個資法大事嗎?〔訂閱電子報〕