Tag: GDPR

宣布推動「Copilot+ PC」設計產品生態時，微軟也在新版Windows 11加入名為「Recall」的回溯功能，雖然標榜不涉及影響用戶隱私，但英國隱私主管單位資訊委員辦公室 (Information Commissioner's Office,ICO)顯然仍對微軟此項功能有意見。 英國隱私主管單位資訊委員辦公室表示，希望微軟公開其如何蒐集用戶資訊，並且明確說明如何使用此類資訊。同時，英國隱私主管單位資訊委員辦公室也說明也業者從產品開發階段就必須考量如何保護用戶資訊，並且透過嚴格評估減少用戶資訊隱私外洩風險，因此將針對微軟此次提出功能進行調查，釐清是否有影響用戶隱私情形。 不過，在微軟先前說明中，其實就已經強調允許使用者移除「Recall」紀錄資料，或是設定紀錄範圍，甚至也能關閉「Recall」功能，另外也說明「Recall」所紀錄資料全數僅保留在使用者持有裝置，不會另外上傳至雲端備份。 但從相關分析指出微軟此功能仍有一定程度的隱私問題，例如紀錄內容不會隱藏使用者的帳號、密碼，同時過濾網站資訊功能也僅限使用Microsoft Edge瀏覽器，無法套用在其他第三方瀏覽器，甚至也可能無法符合歐盟GDPR一般資料保護法。

Meta先前被歐盟監管機構認定違反一般資料保護規範 (GDPR)，並且裁定3.9億歐元罰款 (約4.25億美元、新台幣132.14億元)，原因在於Meta的個人化廣告內容無法證明在合理範圍內取用使用者隱私數據。 而Meta後續表示將提出上訴，但目前仍在評估法院裁決結果。 在此之前，Meta要求使用者必須先同意接受個人化廣告相關條款才能使用Facebook、Instagram或WahtsApp等服務，歐盟認為Meta此設計違反使用自由，同時要求必須接受提供個人隱私用於廣告的條件也違反一般資料保護規範。 在歐盟認定看法中，Meta必須證明使用者出於自願同意提供隱私數據，才能將使用者提供隱私用於廣告業務，但如何證明使用者自願提供個人隱私，而非迫於要求卻不容易。 以Meta的立場來看，若允許使用者在服務內自行決定是否同意以個人隱私顯示個人化廣告，不少人必然會選擇不提供個人隱私，因此將使Meta透過Facebook等服務顯示廣告產生營收比例降低。 在此之前，蘋果已經從iOS 14開始加入可讓使用者自訂是否允許使用個人隱私顯示更精準廣告內容，而Google後續也同樣在Android作業系統加入廣告內容顯示設定，讓使用者能自行決定廣告呈現方式，對於Meta的廣告營收也造成不少影響。

愛爾蘭數據隱私監管機構稍早以處理青少年隱私數據不當為由，針對Meta處以4.05億歐元 (約4.03億美元)罰款。 此項罰款是基於Meta旗下Instagram服務未能妥善保護青少年隱私數據，而相關調查則是起於2020年，當時愛爾蘭數據隱私監管機構質疑Instagram允許店家獲取13歲至17歲青少年隱私數據，其中包含與帳號關聯的電子郵件與電話號碼。 而Meta對此回應表示將對此裁決進行上訴，同時也強調已經在1年多前更新服務運作模式，並且加入更多隱私保護機制。不過，愛爾蘭數據隱私監管機構調查發現，在Instagram服務設計中，開放青少年用戶申請使用帳號，除非手動將帳號公開狀態調整為「私人」，否則預設狀態都會被設置為「公開」。 目前此筆罰款成為Meta至今為止在歐盟境內，因違反一般資料保護規範 (GDPR)所面臨最高罰款，去年9月則是因為WhatsApp在2018年被認定違反一般資料保護規範，因此遭歐盟裁罰2.25億歐元 (約2.24億美元)。

依照Meta近期向美國證券交易委員會遞交資料，若未來無法繼續透過美國境內伺服器傳輸、存取歐洲地區用戶資料，將可能關閉歐洲地區的Facebook、Instagram服務。 Meta之所以有此決定，源自於歐盟自2018年5月下旬啟用的GDPR (一般資料保護規範)法案，其中明文規定禁止跨境傳輸涉及個人隱私資訊的內容，但可在用戶個資獲得充分保護等條件下獲准放行。 而美國境內業者所提供跨國網路服務若要合法使用歐盟境內使用者個資，必須符合美國與歐盟之間簽訂《隱私盾保護協議》 (EU-U.S. Privacy Shield)，或是由業者與歐盟境內用戶個別簽訂的標準化契約條款。 目前包含Google、微軟、亞馬遜等美國大型企業所提供跨境網路服務，基本上都是以標準化契約條款與歐盟境內用戶個別簽訂個資使用同意項目，但Meta所提擬標準化契約條款並未符合GDPR要求，並且由愛爾蘭數據保護委員會介入調查。 若愛爾蘭數據保護委員會調查結果確實發現Meta提供標準化契約條款未符合要求，勢必會影響Meta旗下Facebook、Instagram等服務在歐盟境內運作，因此Meta在稍早向美國證券交易委員會遞交資料，便提及可能關閉Facebook、Instagram等服務在歐盟地區所提供服務。

盧森堡國家資料保護委員會 (National Commission for Data Protection)以違反歐盟一般資料保護規範 (GDPR)為由，向亞馬遜裁罰7.46億歐元罰款。 此項裁定源自2018年法國隱私提倡組織La Quadature du Net向Google、亞馬遜等多家科技業者提出指控，認為這些科技業者濫用使用者隱私內容，因此導致Google日前被法國國家資訊自由委員會 (Commission Nationale de l'Informatique et des Libertés,CNIL)以違反歐盟一般資料保護規範裁罰5700萬歐元，而後續因為cookie使用模式向Google再次裁罰1億歐元，同時也向亞馬遜裁罰3500萬歐元。 而此次則是由盧森堡國家資料保護委員會直接向亞馬遜裁罰7.46億歐元罰款，原因也是違反歐盟一般資料保護規範。不過，亞馬遜則對此項裁罰表示毫無根據，並且將尋求上訴機會，更強調本身並未將任何使用者資料提供給第三方業者使用。 但隨著亞馬遜面臨被裁罰高額罰金情況下，歐盟監管機構也針對亞馬遜在歐盟境內業務是否涉及壟斷，其中更認定亞馬遜藉由第三方賣家銷售數據強化自有品牌產品規劃與銷售優勢，因此認定亞馬遜違反市場壟斷規範。

在GDPR (General Data Protection Regulation,一般資料保護規範)正式推行兩年後，歐盟坦承此項法案難以全面實施，甚至造成中小企業負擔，同時也讓許多新技術難以推行。 依照歐盟在GDPR推行兩年後所整理報告，雖然強調此項法案推行成果顯著，並且確保歐盟境內居民個資安全，同時也阻止企業濫用使用者個資獲取不當利益。 而在報告內容，歐盟也提到GDPR確實在部分情況下難以實踐，例如以數據為基礎運作的人工智慧、物聯網應用，甚至包含諸多需要使用者個資運作服務。除此之外，透過網路流通數據如何追查、清除，實際上也讓不少企業產生困擾。 以Facebook、Google或微軟在內跨國發展企業立場而言，如何在服務中明確遵守GPDR規範，更是難上加難，因此不少企業選擇一視同仁，使旗下服務均以符合GPDR規範形式設計，或是乾脆限制歐盟居民身分用戶使用。 不少看法認為，縱使GPDR規範能確保用戶隱私安全，但實際作為上確難以達成，因此反而可能造成許多技術難以發展。 就歐盟提出報告來看，顯然也已經發現此類問題，因此針對諸如人工智慧等新技術已經提出適用方案，藉此讓新技術能有額外發展彈性。

依照跨國律師事務所DLA Piper研究指出，歐盟從2018年5月開始正式實施一般資料保護規範 (GDPR)之後，歐洲境內已經累積超過16萬個隱私數據洩漏案例，前後罰款金額約累積達1.14億歐元，約等同1.3億美元 (新台幣約40億元)。 不過，基於並非所有歐盟成員國家都會公開完整違反一般資料保護規範統計數據，部分成員國可能僅提供部分數據，因此實際隱私數據洩漏案例數量，以及罰款金額可能會更高。 相比一般資料保護規範正式啟用的前8個月，目前為止的隱私數據洩漏案例數量增加約13%，其中目前面臨最高罰款案例為法國政府指控Google未能提供足夠用戶隱私使用透明，並且未經由用戶同意即取用隱私數據，因此以違反一般資料保護規範為由裁罰5000萬歐元。 而DLA Piper共同合夥人Ross McKean認為，未來將會有更多與隱私外洩問題相關裁罰發生，並且預期罰款金額會因為隱私法模糊界定情況增加。 依照目前一般資料保護規範內容，一旦企業被認定違反隱私保護規定，將會被裁定罰款2000萬歐元，或是以其年收入4%為計算，兩者將以金額較高者計算。而在目前一般資料保護規範之下，諸如Google、Facebook在內藉由使用者隱私數據提供服務的企業，都會面臨被認定違反隱私安全規定的風險。 但今年開始在加州地區推行的消費者隱私保護法 (CCPA)，則是讓位於加州的科技業者面臨更加嚴格的隱私保護審核，因此不少科技業者從去年便開始著手準備，並且在今年推行全新隱私使用協議，反而也讓許多同時在全球市場提供服務的科技業者能以此為基準，讓旗下服務可以符合加州境內隱私保護規範，同時也能符合歐盟地區對於隱私保護要求。

隨著加州政府推行的消費者隱私法 (CCPA,California Consumer Privacy Act)從2020年1月1日正式推行，Mozilla稍早發出聲明表示，不僅會在加州境內遵守消費者隱私法相關規範，同時也會以相同標準使旗下瀏覽器在內產品於全球市場採相同隱私使用設計，並且能讓使用者以最簡單方式移除被記錄的個人數據。 Mozilla說明，目前在Firefox瀏覽器中記錄的用戶隱私數據已經相當少，目前主要是蒐集使用者透過瀏覽器開啟多少分頁、使用多久時間等數據，但不會記錄使用者開啟哪些網頁內容，甚至在使用者開啟隱密瀏覽模式時，將不會記錄任何數據。 預計在1月7日釋出更新中，Mozilla將會在瀏覽器內提供可直接從伺服器刪除被記錄數據選項，同時為了不影響全球使用者的操作體驗，未來將會在全球市場均以符合加州消費者隱私法形式打造瀏覽器在內產品。 除了Mozilla，目前包含微軟、Facebook、Google、蘋果在內科技業者也先後聲明將會遵循消費者隱私法，並且在旗下產品做出因應調整，其中包含減少記錄使用者隱私內容比例，同時提供隨時可移除個人被記錄隱私數據選項。 而部分科技業者也比照Mozilla的作法，讓旗下產品在全球市場均以符合加州消費者隱私法規範形式設計，另一方面也能符合歐盟一般資料保護規範 (GDPR,General Data Protection Regulation)，避免旗下產品違反在地隱私規範。

去年9月便有消息指稱美國聯邦政府可能著手擬定適用美國境內的通用資料保護法，而從美國聯邦政府審計部提出長達56頁的獨立報告中，更建議美國國會仿照歐盟通用資料保護法針對網路數據隱私立法。 此份報告由美國聯邦政府問責局 (GAO,Government Accountability Office)撰寫，主要因應近年美國境內如Facebook、Google、蘋果等科技公司所提供網路服務引起隱私問題，希望比照歐盟通用資料保護法針對網路數據隱私立法。 在此之前，加州已經通過全新隱私法，讓科技業者必須額外細分用戶隱私使用方式，而為了避免日後各州可能跟進提出各自隱私法，導致服務內容在各州間的隱私使用模式變得更加複雜，其實包含Google、微軟在內科技業者曾經試圖說服美國政府擬定統一隱私法規，透過聯邦政府制定法規可凌駕各州州法情況，讓旗下服務能擬定更簡單的用戶隱私使用辦法。 此份長達56頁的報告是在兩年前由美國眾議商務及能源委員會委託製作，預計在今年2月26日舉辦聽證會，未來將就此份報告決定是否起草美國首個由聯邦政府制定的網路隱私法。 而在先前看法，若美國也開始推行自有用戶隱私保護法，意味許多與用戶隱私相關的網路、產品服務都將再度面臨審視調整，甚至有可能讓更多服務因此將用戶隱私管理方式作改變，或是將隱私數據存放位置「搬離」法規限制地區。

就在年初因Cambridge Analytica涉及竊用高達5-6000萬名Facebook用戶隱私數據，使得Facebook信譽大受影響之餘，稍早再傳出Facebook又發生因Photo API問題導致680萬名用戶照片隱私外洩問題。 愛爾蘭數據保護委員會 (IDPC)稍早表示已經針對此次安全問題介入調查，其中可能將使Facebook因歐盟一般數據保護法 (GDPR)面臨16億美元罰款。同時，愛爾蘭數據保護委員會也將針對Facebook去年涉及因漏洞問題，導致多達3000萬組用戶帳號隱私遭曝光的情況進行調查。 此次漏洞將造成用戶上傳至Facebook照片內容外洩，即便使用者並未將照片設為公開分享，也有可能因為上傳至Facebook的備份副本而遭曝光。 Facebook工程總監Tomer Bar稍早則回應表示，目前已經著手釐清哪些用戶隱私內容遭曝光，並且將刪除受影響內容。 不過，Facebook方面並未透露目前可能受影響用戶人數規模，而此項漏洞可能發生在今年9月13日至25日之間，並且在12天之間可能讓用戶照片內容被大量曝光 (包含未公開分享照片)，雖然Facebook後續已將漏洞修補，但當時並未對外公佈相關漏洞問題。 就Facebook說法，預計將於下周間進一步釋出工具讓開發者確認旗下服務用戶是否因此項漏洞受影響，同時也將告知用戶確認個人照片隱私是否遭外洩。