Tag: 一般資料保護規範

Meta先前被歐盟監管機構認定違反一般資料保護規範 (GDPR)，並且裁定3.9億歐元罰款 (約4.25億美元、新台幣132.14億元)，原因在於Meta的個人化廣告內容無法證明在合理範圍內取用使用者隱私數據。 而Meta後續表示將提出上訴，但目前仍在評估法院裁決結果。 在此之前，Meta要求使用者必須先同意接受個人化廣告相關條款才能使用Facebook、Instagram或WahtsApp等服務，歐盟認為Meta此設計違反使用自由，同時要求必須接受提供個人隱私用於廣告的條件也違反一般資料保護規範。 在歐盟認定看法中，Meta必須證明使用者出於自願同意提供隱私數據，才能將使用者提供隱私用於廣告業務，但如何證明使用者自願提供個人隱私，而非迫於要求卻不容易。 以Meta的立場來看，若允許使用者在服務內自行決定是否同意以個人隱私顯示個人化廣告，不少人必然會選擇不提供個人隱私，因此將使Meta透過Facebook等服務顯示廣告產生營收比例降低。 在此之前，蘋果已經從iOS 14開始加入可讓使用者自訂是否允許使用個人隱私顯示更精準廣告內容，而Google後續也同樣在Android作業系統加入廣告內容顯示設定，讓使用者能自行決定廣告呈現方式，對於Meta的廣告營收也造成不少影響。

愛爾蘭數據隱私監管機構稍早以處理青少年隱私數據不當為由，針對Meta處以4.05億歐元 (約4.03億美元)罰款。 此項罰款是基於Meta旗下Instagram服務未能妥善保護青少年隱私數據，而相關調查則是起於2020年，當時愛爾蘭數據隱私監管機構質疑Instagram允許店家獲取13歲至17歲青少年隱私數據，其中包含與帳號關聯的電子郵件與電話號碼。 而Meta對此回應表示將對此裁決進行上訴，同時也強調已經在1年多前更新服務運作模式，並且加入更多隱私保護機制。不過，愛爾蘭數據隱私監管機構調查發現，在Instagram服務設計中，開放青少年用戶申請使用帳號，除非手動將帳號公開狀態調整為「私人」，否則預設狀態都會被設置為「公開」。 目前此筆罰款成為Meta至今為止在歐盟境內，因違反一般資料保護規範 (GDPR)所面臨最高罰款，去年9月則是因為WhatsApp在2018年被認定違反一般資料保護規範，因此遭歐盟裁罰2.25億歐元 (約2.24億美元)。

依照Meta近期向美國證券交易委員會遞交資料，若未來無法繼續透過美國境內伺服器傳輸、存取歐洲地區用戶資料，將可能關閉歐洲地區的Facebook、Instagram服務。 Meta之所以有此決定，源自於歐盟自2018年5月下旬啟用的GDPR (一般資料保護規範)法案，其中明文規定禁止跨境傳輸涉及個人隱私資訊的內容，但可在用戶個資獲得充分保護等條件下獲准放行。 而美國境內業者所提供跨國網路服務若要合法使用歐盟境內使用者個資，必須符合美國與歐盟之間簽訂《隱私盾保護協議》 (EU-U.S. Privacy Shield)，或是由業者與歐盟境內用戶個別簽訂的標準化契約條款。 目前包含Google、微軟、亞馬遜等美國大型企業所提供跨境網路服務，基本上都是以標準化契約條款與歐盟境內用戶個別簽訂個資使用同意項目，但Meta所提擬標準化契約條款並未符合GDPR要求，並且由愛爾蘭數據保護委員會介入調查。 若愛爾蘭數據保護委員會調查結果確實發現Meta提供標準化契約條款未符合要求，勢必會影響Meta旗下Facebook、Instagram等服務在歐盟境內運作，因此Meta在稍早向美國證券交易委員會遞交資料，便提及可能關閉Facebook、Instagram等服務在歐盟地區所提供服務。

在GDPR (General Data Protection Regulation,一般資料保護規範)正式推行兩年後，歐盟坦承此項法案難以全面實施，甚至造成中小企業負擔，同時也讓許多新技術難以推行。 依照歐盟在GDPR推行兩年後所整理報告，雖然強調此項法案推行成果顯著，並且確保歐盟境內居民個資安全，同時也阻止企業濫用使用者個資獲取不當利益。 而在報告內容，歐盟也提到GDPR確實在部分情況下難以實踐，例如以數據為基礎運作的人工智慧、物聯網應用，甚至包含諸多需要使用者個資運作服務。除此之外，透過網路流通數據如何追查、清除，實際上也讓不少企業產生困擾。 以Facebook、Google或微軟在內跨國發展企業立場而言，如何在服務中明確遵守GPDR規範，更是難上加難，因此不少企業選擇一視同仁，使旗下服務均以符合GPDR規範形式設計，或是乾脆限制歐盟居民身分用戶使用。 不少看法認為，縱使GPDR規範能確保用戶隱私安全，但實際作為上確難以達成，因此反而可能造成許多技術難以發展。 就歐盟提出報告來看，顯然也已經發現此類問題，因此針對諸如人工智慧等新技術已經提出適用方案，藉此讓新技術能有額外發展彈性。

依照跨國律師事務所DLA Piper研究指出，歐盟從2018年5月開始正式實施一般資料保護規範 (GDPR)之後，歐洲境內已經累積超過16萬個隱私數據洩漏案例，前後罰款金額約累積達1.14億歐元，約等同1.3億美元 (新台幣約40億元)。 不過，基於並非所有歐盟成員國家都會公開完整違反一般資料保護規範統計數據，部分成員國可能僅提供部分數據，因此實際隱私數據洩漏案例數量，以及罰款金額可能會更高。 相比一般資料保護規範正式啟用的前8個月，目前為止的隱私數據洩漏案例數量增加約13%，其中目前面臨最高罰款案例為法國政府指控Google未能提供足夠用戶隱私使用透明，並且未經由用戶同意即取用隱私數據，因此以違反一般資料保護規範為由裁罰5000萬歐元。 而DLA Piper共同合夥人Ross McKean認為，未來將會有更多與隱私外洩問題相關裁罰發生，並且預期罰款金額會因為隱私法模糊界定情況增加。 依照目前一般資料保護規範內容，一旦企業被認定違反隱私保護規定，將會被裁定罰款2000萬歐元，或是以其年收入4%為計算，兩者將以金額較高者計算。而在目前一般資料保護規範之下，諸如Google、Facebook在內藉由使用者隱私數據提供服務的企業，都會面臨被認定違反隱私安全規定的風險。 但今年開始在加州地區推行的消費者隱私保護法 (CCPA)，則是讓位於加州的科技業者面臨更加嚴格的隱私保護審核，因此不少科技業者從去年便開始著手準備，並且在今年推行全新隱私使用協議，反而也讓許多同時在全球市場提供服務的科技業者能以此為基準，讓旗下服務可以符合加州境內隱私保護規範，同時也能符合歐盟地區對於隱私保護要求。

近期有不少話題圍繞在GDPR (General Data Protection Regulation，一般資料保護規範)，究竟這項由歐盟提出法規為什麼會讓不少人對此關注，同時又讓許多服務內容面臨改變？ 以GDPR縮寫為稱的歐盟一般資料保護規範法令，最早是在2016年4月27日通過，提供兩年緩衝期讓各類牽涉用戶個人隱私的服務內容有充裕時間做調整，並且在2018年5月25日全面執行運作，未來取代1995年同樣由歐盟提出的數據保護法。 相比數據保護法，GDPR本身是針對所有歐盟居民設計適用規範，並非屬於在地執行法令，同時也無須由各國政府另外立法授權，而是可直接套用在所有歐盟居民身上，並且伴隨以公司全球市場營收4%，或是以2000萬歐元 (以金額較高者為基準)作為罰款的嚴格違法處置，因此被稱為歐盟有史以來最嚴格隱私法令，使得許多取得用戶隱私營運的網路服務、App或遊戲內容廠商，在很早之前便開始關注此項法令。 GDPR要求歐盟居民在任何存取個人用戶隱私運作的服務內容中，必須能獲得最高個人隱私資料控制權，同時也規範嚴謹的個人隱私被忘卻權利，亦即服務內容在取用任何用戶隱私資料時，嗶需要能讓使用者更容易明白會有什麼樣的影響，同時除非獲得使用者同意，否則不能將用戶隱私資料永久或長時間存放在網路伺服器，一旦使用者不希望個人隱私留存在網路服務時，提供服務廠商必須提供全面清除用戶隱私的選項。 例如在蘋果稍早更新的用戶隱私政策中，除了將使歐洲地區使用者能刪除，並且下載過往曾經被蘋果服務使用資料內容如帳號與裝置資訊，甚至是同步到iCloud備份的數據，以及在Apple Music、App Store操作記錄，另外就連AppleCare與Apple Store線上購物時的紀錄也能一併被打包下載，未來也將擴及讓全球用戶能方便地從蘋果服務移除個人資訊。 一旦使用者向蘋果提出要求刪除且下載個人隱私內容，蘋果將會以1週左右工作時間進行處理，同時若使用者原先備份在iCloud檔案內容過多的話，將可透過分批下載方式逐一取回。而當使用者提出刪除個人帳號請求後，蘋果將會在兩週時間內將資料從伺服器中完全移除。 在其他情況中，則包含未在使用者同意情況下，將無法長時間保存使用者任何行為記錄、存放內容，因此對於過往利用使用者瀏覽行為推送廣告，或是提供合適內容的服務，將會明顯面臨影響。另一方面，不少藉由用戶行為數據進行深度學習的人工智慧技術，也可能因為新隱私政策規定而受影響。 對於服務內容而言 (尤其服務內容擴及全球地區的情況)，將必須格外小心處理用戶隱私權，否則將面臨鉅額罰款，因此近期應該會有不少App內容、網站服務均陸續說明因應GDPR上線所作的隱私政策調整，同時也會要求使用者重新檢視個人使用情況，並且確認是否同意服務內容取用個人資訊。 而對於一般使用者而言，直接受到影響的情況可能不明顯，可能必須重新確認是否同意讓服務內容取用個人資訊，另外或許面臨部分服務因無法長時間記錄用戶隱私，變成必須重複輸入個人帳號、密碼，或是原本可以透過線上服務暫存的資訊內容，反而變成無法隨時透過網路存取，造成使用上的「困擾」。 雖然勢必造成一些使用個人數據運作的服務、技術發展受到影響，但既然歐盟已經通過此項規範，所有網路服務也必然要配合調整，而從結果來看的話，對於使用者個人隱私也有一定保障。