【重磅】比利時DPA執法出新招,違反GDPR網站可能被「下架」!
作者:許 斌 博士
審閱:葉奇鑫 律師
王慕民 律師
全文約1700字,閱讀約需6分鐘
近日,比利時資料保護署(Data Protection Authority, DPA)宣布,其已與比利時域名管理機構DNS Belgium簽訂協議(註1),就.be域名網站之個資法遵展開執法合作。
DNS Belgium為非營利組織,負責比利時國家頂級域名.be之登記、分發、使用監督及受理濫用投訴。DNS Belgium無權判定網站之特定行為是否構成違法,但可依法院或執法部門已作出之違法判定,對網站採取管理措施,包含暫停網站域名使用,乃至收回網站之域名。
● 二階層合作制度
依該合作協議,比利時DPA將與DNS Belgium建立二階層(two-tier)合作制度,在以下兩個層面展開合作:
第一層:配合比利時DPA調查處(Inspection Service)之違法調查。比利時DPA調查處依法對網站實施調查時,得要求DNS Belgium提供與該網站有關之資訊。
第二層:對於故意嚴重違法的網站,採取「通知—遮罩」(Notice & Action)程序。依比利時DPA組織法,其調查處或訴願處(Litigation Chamber)如認定特定網站之個資處理活動違反GDPR,得要求相關資料控管者或處理者限期改正。若該控管者或處理者逾期未改正,則可請求DNS Belgium採取通知—遮罩程序。
● 通知—遮罩程序之運作方式
網站控管者逾期未改正違法處理個資之行為時,比利時DPA得向DNS Belgium寄出Email通知,載明違法網站相關資訊,發起通知—遮罩程序。
DNS Belgium收到該通知後,須於1個工作日內Email通知域名註冊人,要求域名註冊人於14日內改正違法行為。該14日期間內,對該網站之訪問將被導向警示頁面,提醒訪問者該網站存在個資違法風險。在通知—遮罩程序執行期間,比利時DPA或DNS Belgium須保持資訊暢通,任一方如收到域名註冊人之訊息,皆須於2個工作日內通知另一方。
通知—遮罩程序發起後,可能有兩種結果:
其一,若域名註冊人於14日期間內未改正違法行為,且經比利時DPA確認仍有必要繼續執行通知—遮罩程序,DNS Belgium將繼續執行6個月。此後,網站將被移除,其域名將進入40日保管期(quarantine period)。保管期結束後,該域名將重新開放註冊。
其二,若(1)域名註冊人於14日期間內改正違法行為並獲得比利時DPA認可,(2)域名註冊人於14日期間內通知DNS Belgium其已改正違法行為,而比利時DPA未於期限內對此主張作出回應,或(3)該14日期間屆滿後,比利時DPA未向DNS Belgium確認須繼續執行通知—遮罩程序,DNS Belgium將停止通知—遮罩程序、移除警示頁面,網站將回復正常訪問。
● 觀察與展望
熟悉網路的讀者大概瞭解,網站之域名並非由政府機關管理,而是由網際網路名稱與號碼指配組織(Internet Corporation for Assigned Names and Numbers, ICANN)等非營利組織負責。在普遍不具備執法權力的情況下,這些域名管理機構發展出通知—遮罩程序,以因應域名濫用行為。通知—遮罩程序最初主要針對網站的著作權侵權內容,之後逐步發展到其他違法內容(註2),乃至詐欺等違法行為。
DNS Belgium對於濫用行為亦遵循此策略,並嘗試將其發展為與政府機關合作機制。在與比利時DPA簽訂合作協議前,DNS Belgium於2018年12月與比利時聯邦公共服務經濟部(Federal Public Service Economy, FPS Economy)簽訂合作協議(註3),透過通知—遮罩程序共同應對線上購物所涉詐欺問題。DNS Belgium還有意向與FPS財政部(FPS Finance)、FPS 公共衛生部(FPS Public Health)等展開合作(註4)。
在類似執法合作中,責任分擔是作為非營利組織的DNS Belgium最關注的問題之一。DNS Belgium與比利時DPA在合作協議中約定,與判定網站違法、發起通知—遮罩程序相關之一切責任,由比利時DPA承擔。而因未依該合作協議執行通知—遮罩程序而引發之責任,由DNS Belgium承擔。如DNS Belgium因執行通知—遮罩程序而面對第三方索賠,比利時DPA將主動介入並承擔相應責任。在DNS Belgium與FPS Economy的合作協議中,也有類似條款。這些約定在相當程度上為DNS Belgium提供了「免責保障」,在遵守合作協議的情況下,DNS Belgium將不必因通知—遮罩程序承擔責任。
比利時DPA與DNS Belgium透過其合作協議,將通知—遮罩程序之適用範圍擴展到個資法遵領域,不失為一項創新。該協議約定,比利時DPA和DNS Belgium有意將合作擴展到DNS Belgium管理的其他域名,並將就此展開談判。通知—遮罩程序對於GDPR執法成效如何?未來是否將擴展到其他執法領域?都是值得關注的問題。
______________________________
註2:Annemarie Bridy, Notice and Takedown in the Domain Name System: ICANN’s Ambivalent Drift into Online Content Regulation, 74 Wash. & Lee L. Rev. 1343, 1360-67 (2017).
註3:DNS Belgium相關新聞稿請見:https://www.dnsbelgium.be/en/news/block-fraudulent-websites。
註4:DNS Belgium相關資料請見:https://static.ptbl.co/static/attachments/200987/1552452240.pdf?1552452240。
※歡迎註明出處後轉載。
延伸閱讀:
- 個資週報18|美國聯邦統一個資法輪廓初現?:https://www.davinci.idv.tw/news/832。
- CCPA甫上路,CPRA又公投?—加州民間團體發起隱私權保護新提案:https://www.davinci.idv.tw/news/759。
- CCPA或將面臨大改? —美國加州消費者隱私保護法規最新動向:https://www.davinci.idv.tw/news/787。
- 比特幣交易記錄居然不是隱私資訊?—淺談美國法判定合理隱私期待之「第三人法則」:https://www.davinci.idv.tw/news/811。
- 安全港早已潰堤,隱私盾竟也遭歐盟法院擊破! —歐盟法院判決Schrems II案:https://www.davinci.idv.tw/news/803。