熱門文章

【重磅】比利時DPA執法出新招,違反GDPR網站可能被「下架」!

作者:許    斌 博士

審閱:葉奇鑫 律師

王慕民 律師

 

全文約1700字,閱讀約需6分鐘

 

近日,比利時資料保護署(Data Protection Authority, DPA)宣布,其已與比利時域名管理機構DNS Belgium簽訂協議(註1),就.be域名網站之個資法遵展開執法合作。

 

DNS Belgium為非營利組織,負責比利時國家頂級域名.be之登記、分發、使用監督及受理濫用投訴。DNS Belgium無權判定網站之特定行為是否構成違法,但可依法院或執法部門已作出之違法判定,對網站採取管理措施,包含暫停網站域名使用,乃至收回網站之域名。

 

●    二階層合作制度

依該合作協議,比利時DPA將與DNS Belgium建立二階層(two-tier)合作制度,在以下兩個層面展開合作:

第一層:配合比利時DPA調查處(Inspection Service)之違法調查。比利時DPA調查處依法對網站實施調查時,得要求DNS Belgium提供與該網站有關之資訊。

第二層:對於故意嚴重違法的網站,採取「通知—遮罩」(Notice & Action)程序。依比利時DPA組織法,其調查處或訴願處(Litigation Chamber)如認定特定網站之個資處理活動違反GDPR,得要求相關資料控管者或處理者限期改正。若該控管者或處理者逾期未改正,則可請求DNS Belgium採取通知—遮罩程序。

 

●    通知—遮罩程序之運作方式

網站控管者逾期未改正違法處理個資之行為時,比利時DPA得向DNS Belgium寄出Email通知,載明違法網站相關資訊,發起通知—遮罩程序。

DNS Belgium收到該通知後,須於1個工作日內Email通知域名註冊人,要求域名註冊人於14日內改正違法行為。該14日期間內,對該網站之訪問將被導向警示頁面,提醒訪問者該網站存在個資違法風險。在通知—遮罩程序執行期間,比利時DPA或DNS Belgium須保持資訊暢通,任一方如收到域名註冊人之訊息,皆須於2個工作日內通知另一方。

 

通知—遮罩程序發起後,可能有兩種結果:

其一,若域名註冊人於14日期間內未改正違法行為,且經比利時DPA確認仍有必要繼續執行通知—遮罩程序,DNS Belgium將繼續執行6個月。此後,網站將被移除,其域名將進入40日保管期(quarantine period)。保管期結束後,該域名將重新開放註冊。

其二,若(1)域名註冊人於14日期間內改正違法行為並獲得比利時DPA認可,(2)域名註冊人於14日期間內通知DNS Belgium其已改正違法行為,而比利時DPA未於期限內對此主張作出回應,或(3)該14日期間屆滿後,比利時DPA未向DNS Belgium確認須繼續執行通知—遮罩程序,DNS Belgium將停止通知—遮罩程序、移除警示頁面,網站將回復正常訪問。

 

●    觀察與展望

熟悉網路的讀者大概瞭解,網站之域名並非由政府機關管理,而是由網際網路名稱與號碼指配組織(Internet Corporation for Assigned Names and Numbers, ICANN)等非營利組織負責。在普遍不具備執法權力的情況下,這些域名管理機構發展出通知—遮罩程序,以因應域名濫用行為。通知—遮罩程序最初主要針對網站的著作權侵權內容,之後逐步發展到其他違法內容(註2),乃至詐欺等違法行為。

 

DNS Belgium對於濫用行為亦遵循此策略,並嘗試將其發展為與政府機關合作機制。在與比利時DPA簽訂合作協議前,DNS Belgium於2018年12月與比利時聯邦公共服務經濟部(Federal Public Service Economy, FPS Economy)簽訂合作協議(註3),透過通知—遮罩程序共同應對線上購物所涉詐欺問題。DNS Belgium還有意向與FPS財政部(FPS Finance)、FPS 公共衛生部(FPS Public Health)等展開合作(註4)。

 

在類似執法合作中,責任分擔是作為非營利組織的DNS Belgium最關注的問題之一。DNS Belgium與比利時DPA在合作協議中約定,與判定網站違法、發起通知—遮罩程序相關之一切責任,由比利時DPA承擔。而因未依該合作協議執行通知—遮罩程序而引發之責任,由DNS Belgium承擔。如DNS Belgium因執行通知—遮罩程序而面對第三方索賠,比利時DPA將主動介入並承擔相應責任。在DNS Belgium與FPS Economy的合作協議中,也有類似條款。這些約定在相當程度上為DNS Belgium提供了「免責保障」,在遵守合作協議的情況下,DNS Belgium將不必因通知—遮罩程序承擔責任。

 

比利時DPA與DNS Belgium透過其合作協議,將通知—遮罩程序之適用範圍擴展到個資法遵領域,不失為一項創新。該協議約定,比利時DPA和DNS Belgium有意將合作擴展到DNS Belgium管理的其他域名,並將就此展開談判。通知—遮罩程序對於GDPR執法成效如何?未來是否將擴展到其他執法領域?都是值得關注的問題。

 

______________________________

 

註1:該合作協議原文請見:https://www.autoriteprotectiondonnees.be/publications/protocole-de-cooperation-entre-dns-belgium-et-l-autorite-de-protection-des-donnees.pdf

註2:Annemarie Bridy, Notice and Takedown in the Domain Name System: ICANN’s Ambivalent Drift into Online Content Regulation, 74 Wash. & Lee L. Rev. 1343, 1360-67 (2017). 

註3:DNS Belgium相關新聞稿請見:https://www.dnsbelgium.be/en/news/block-fraudulent-websites

註4:DNS Belgium相關資料請見:https://static.ptbl.co/static/attachments/200987/1552452240.pdf?1552452240

 

※歡迎註明出處後轉載。

 

延伸閱讀:

更多詳情請洽 達文西個資暨高科技法律事務所
service@davinci.idv.tw