(資料來源:https://www.ithome.com.tw/news/123433)
該調查報告進⼀步發現,企業在調整策略以符合 GDPR 規範時,最⼤的挑 25 日,https://www.ithome.com.tw/news/123433
277 同前註。
278 The Deloitte General Data Protection Regulation Benchmarking Survey, available at
https://www2.deloitte.com/global/en/pages/risk/articles/deloitte-gdpr-benchmarking-survey-the-time-is-now.html (last visited July 15, 2019).
279 See 2019 GDPR Small Business Survey, https://gdpr.eu/wp-content/uploads/2019/05/2019-GDPR.EU-Small-Business-Survey.pdf (last visited July 15, 2019).
85%
‧
GDPR規範,另外有29%的公司認為還需要約⼀年的時間調整,才能夠符合GDPR
規範。
280 GDPR Article 12.
281 GDPR Article 32.
282 2019 GDPR Small Business Survey, https://gdpr.eu/wp-content/uploads/2019/05/2019-GDPR.EU-Small-Business-Survey.pdf (last visited July 15, 2019).
283 Statistics on small and medium-sized enterprises, EUROSTAT, https://ec.europa.eu/eurostat/statistics-explained/index.php?title=Statistics_on_small_and_medium-sized_enterprises (last visited July 15, 2019).
284 Maximizing the value of your data privacy investments: Data Privacy Benchmark Study, Cisco, https://www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs/dpbs-2019.pdf (last visited July 15, 2019).
‧
國立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
圖 2 各國企業符合 GDPR 規範之企業⽐例
(資料來源:Cisco 2019 Data Privacy Benchmark Study)
值得⼀提的是,有 87%受訪企業認為 GDPR 帶來的影響包含交易的延遲285,
主因包含企業需調整內部營運政策以符合 GDPR 規範、內部員⼯訓練、確保資
料主體權利⾏使⽅式等。
GDPR帶來的影響除了企業內部營運策略改變,隱私保護成本增加,以及交
易時程延遲之外,尚包括影響歐洲經濟,重創歐洲新創事業286,降低歐洲數位廣
告的競爭,降低⾮資料主體之網路使⽤者之資料接近使⽤權等287。⽽由於個⼈對
於隱私權意識的抬頭,國際上許多企業亦紛紛⾯臨訴訟。根據歐盟委員會的統計,
285 Id.
286 Jia, Jian and Jin, Ginger Zhe and Wagman, Liad, The Short-Run Effects of GDPR on Technology Venture Investment, available at SSRN: https://ssrn.com/abstract=3278912 or
http://dx.doi.org/10.2139/ssrn.3278912 (last visited July 15, 2019).
287 Eline Chivot & Daniel Castro, What the Evidence Shows About the Impact of the GDPR After One Year, CENTER FOR DATA INNOVATION (June 17, 2019), https://www.datainnovation.org/2019/06/what-the-evidence-shows-about-the-impact-of-the-gdpr-after-one-year/.
‧
⼤型社群網站如臉書(Facebook)、推特(Twitter)等,以及搜尋引擎如 Google
均⾯連訴訟問題289。
⾃ GDPR 施⾏起截⾄ 2020 年 2 ⽉,歐盟地區就有超過 16 萬件因違反 GDPR
規定⽽收受違法通知之案例,總罰款⾦額超過五億歐元290,其中,英國資訊專員
辦公室對英國航空(British Airways)以及萬豪國際(Marriot International)分別
開罰 204,600,000 歐元以及 110,390,200 歐元之巨額罰款,為 GDPR 施⾏以來最
⾼額的兩筆罰款。英國航空因為未妥善保護客⼾資料,使得約 50 萬名客⼾之姓
名、信⽤卡、訂票記錄等個⼈資料,⾃ 2018 年 6 ⽉起遭不法轉移到詐欺網站⽽
遭到不法使⽤,因⽽違反 GDPR291;萬豪集團於 2018 年 9 ⽉聲稱遭到網路攻擊,
但直到同年 11 ⽉才修正此漏洞並通報英國資訊專員辦公室,但此期間已嚴重影
288 First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities, EUROPEAN DATA PROTECTION BOARD,
http://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/LIBE/DV/2019/02-25/9_EDPB_report_EN.pdf (last visited July 15, 2019).
289 David Meyer, Twitter Under Formal Investigation for How It Tracks Users in the GDPR Era, FORTUNE (Oct 12,2018),https://fortune.com/2018/10/12/twitter-gdpr-investigation-tco-tracking/;
Russell Brandom, Facebook and Google hit with $8.8 billion in lawsuits on day one of GDPR, THE
VERGE (May 25, 2018), https://www.theverge.com/2018/5/25/17393766/facebook-google-gdpr-lawsuit-max-schrems-europe; Adam Satariano, Google Is Fined $57 Million Under Europe’s Data Privacy Law, THE NEW YORK TIMES (Jan. 21, 2019),
https://www.nytimes.com/2019/01/21/technology/google-europe-gdpr-fine.html.
290 DLA Piper GDPR Data Breach Survey 2020, DLAPIPER (Jan. 20, 2020),
https://www.dlapiper.com/en/us/insights/publications/2020/01/gdpr-data-breach-survey-2020/.
291 Intention to fine British Airways £183.39m under GDPR for data breach, ICO (July 8, 2019), https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/.
‧
292 Kate O'FlahertyS, Marriott Faces $123 Million Fine For 2018 Mega-Breach, FORBES (July 9, 2019), https://www.forbes.com/sites/kateoflahertyuk/2019/07/09/marriott-faces-gdpr-fine-of-123-million/#6d1032614525.
293 GDPR Enforcement Tracker, CMS, https://www.enforcementtracker.com/?insights (last visited June 1, 2020).
Jul-18 Aug-18 Sep-18 Oct-18 Nov-18 Dec-18 Jan-19 Feb-19 Mar-19 Apr-19 May-19 Jun-19 Jul-19 Aug-19 Sep-19 Oct-19 Nov-19 Dec-19 Jan-20 Feb-20 Mar-20 Apr-20 May-20
‧
國立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
圖 4 累計裁罰個案總數 0
50 100 150 200 250 300
Jul-18 Aug-18 Sep-18 Oct-18 Nov-18 Dec-18 Jan-19 Feb-19 Mar-19 Apr-19 May-19 Jun-19 Jul-19 Aug-19 Sep-19 Oct-19 Nov-19 Dec-19 Jan-20 Feb-20 Mar-20 Apr-20 May-20
累計裁罰案例總數
‧
國立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第⼆項 重要法院判決及處分
個⼈資訊的保障在舊觀念中主要防⽌未獲當事⼈同意、⽋缺正當事由或是逾
越蒐集⽬的之必要範圍的處理,資料主體對於已合法公開⾔論不具有可以主張的
權利。然⽽,在 GDPR ⽣效前,歐盟法院已開始改變傳統的思維,重新思考對於
個⼈資料的保護範圍。在隱私保護思維改變的趨勢下,Google 在全球蒐集、處理
個⼈資料之⾏為亦將受到嚴格的檢視,本⽂就 GDPR ⽣效前後分別選錄以 Google
為被告的歐盟法院的判決及⾏政裁罰,說明歐盟資料保護的變化。歐盟法院在
GDPR⽣效前,依歐盟個資保護指令將被遺忘權納⼊當時歐盟個資保護規範脈絡,
保障資料主體的權利,⽽在 GDPR ⽣效後,歐盟也在該法規中將資料主體的被
遺忘權明⽂化,這也證明了歐盟法院的判決對於法規修訂具有⼀定的影響⼒。⽽
在 GDPR ⽣效後,法國個⼈資料保護機關依 GDPR 規定對 Google 裁罰 5000 萬
歐元,同樣受到極⼤的關注。該判決及裁罰說明如下:
第⼀款 Google Spain v. AEPD
2014年歐盟法院 Google Spain v. AEPD 判決以及 2019 年 Google 遭法國資
料主管機關重罰五千萬歐元的案件受到國際矚⽬。2014 年 Google Spain v. AEPD
判決乃係歐盟法院對於「被遺忘權」的標竿判決,但由於 GDPR 在法院判決之時
尚未⽣效,故當時僅有「概括刪除權」惟歐盟最⾼法院在判決中對概括刪除權的
‧
國立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
解釋仍對 GDPR 被遺忘權權利⾏時有重要的參考價值。該判決的事實為西班⽛
國民 Mario Costeja González 在 Google 搜尋引擎上搜尋⾃⼰的名字時,在結果⾴
⾯列出之相關資料中,有連結到 1998 年 1 ⽉ 19 ⽇及 3 ⽉ 9 ⽇的西班⽛主流先
鋒報(La Vanguardia)兩則數位報導,報導內容為其在 1998 年因為積⽋社會安全
費⽤⽽被強制拍賣不動產之事。Mario 在 2010 年以其已經還清債務,該報導與
現實不符⽽造成其損害為由,向西班⽛個資保護機關(Spanish data protection
Agency, AEPD)提出異議,要求報社刪除或變更網⾴內容,同時要求西班⽛ Google
公司及美國 Google 總公司移除報社連結及相關個資搜尋結果。
法院認為,搜尋引擎對於資訊蒐集、取回、紀錄、組織、儲存、揭露以及開
放使⽤皆為資料保護指令第 2 條第 b 款所規定之個⼈資料處理。搜尋引擎是否
具有區分個⼈資料與⾮個⼈資料之功能,所揭⽰之資料是否為公開資料,均不影
響其⾏為定性294。⾄於網路服務提供者是否為資訊控制者,法院依資料保護指令
之⽂義與⽬的肯認之。法院認為,搜尋引擎提供的服務⾏為之⽬的與⽅式符合資
料保護指令第 2 條第 d 款之要件,再者,搜尋引擎提供的服務獨⽴於內容服務提
供者,搜尋引擎使其使⽤者能透過姓名搜尋輕易取得難以取得之資訊,且在傳播
速度上極為快速,故使⽤⼈得透過搜尋結果快速且完整的獲得相關資訊,並完成
294 See Google Spain Inc., §§ 28-31.
‧
國立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
⼀定程度的⼈格分析295。由此可知,搜尋引擎提供的服務內容對資訊主體的隱私
權及個⼈資料保護造成了極⼤的衝擊,為了提供資訊主體完整的權利保障,具資
訊控制者⾝分之搜尋引擎操作者應遵守資料保護指令相關規定。
在⾏為義務層⾯上,資訊控制者違反資料保護指令時,資訊主體有權請求其
履⾏⼀定的⾏為義務,除了請求更正、移除其個⼈資料外,亦可提出異議,排除
其個⼈資訊。進⼀步⾔之,搜尋引擎對第三⼈隱私權與個資保護有重⼤影響,且
搜尋結果對資訊主體之基本權有重⼤⼲預,因此法院認為,搜尋引擎業者的獨⽴
⾏為義務對個資有效保障具有重⼤意義。在內容提供者不在歐盟境內,且內容提
供者的⾔論受到新聞⾃由⾼度保護之前提下,資訊主體尚可透過請求移除搜尋結
果的⽅式有效實現其隱私權之保護296。
法院認為資料保護指令第 12 條第 b 款之適⽤不限於資訊不完整、不精確或
不合法之情形,「不具⾝分識別必要性」之個⼈資料也構成個資的違反。因此,
資訊控制者對於真實準確資訊之處理在⼀開始雖屬合法,但隨著時間經過該資訊
可能失去其辨別必要性,從⽽資訊主體得請求更正、移除或屏蔽297。⾄於此項移
除請求權是否正當,法院認為須斟酌資訊敏感性及資訊主體的公共性格個案判斷
295 See Google Spain Inc., § 37.
296 See Google Spain Inc., §§ 84-88.
297 See Google Spain Inc., §§ 92-96.
‧
國立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
298。本案該新聞發表於 16 年前,且此時無重⼤公益存在,故法院判定資訊主體
有請求移除該報導搜尋連結的權利299。
在此個案中,法院從資料保護指令中的刪除請求權、屏蔽權和異議權導出被
遺忘權。但是,由於當時的時空背景並無被遺忘權的法源依據,僅有⼀概括刪除
權規定,因此歐盟 W29 Working Party 公布⾧達 20 ⾴之準則,強調概括刪除權的
有無應個案認定300。⽽在 GDPR ⽣效後,資料主體雖然在特定情形下得請求資
料控制者刪除其個⼈資料301,惟資料控制者具有下列情形之⼀者得拒絕資料主體
的請求302:
1. 為保障⾔論與資訊⾃由權(freedom of expression and information)。
2. 為履⾏歐盟法或成員國法所規定之義務,或是為維護公益或⾏使公權⼒。
3. 為維護公共健康之利益(public health)。
4. 為公共利益所建⽴之檔案、科學、歷史研究、統計之⽬的。
5. 建⽴、⾏使或辯護法律請求。
從 2014 年 Google Spain v. AEPD 判決之後,Google 收到了約 240 萬筆請求
298 See Google Spain Inc., § 97.
299 See Google Spain Inc., §§ 98-99
300 曾更瑩,歐盟 GDPR 被遺忘權 不堪的過往能從搜尋引擎移除嗎,ETtoday 新聞雲,2018 年6 月 27 日,https://www.ettoday.net/news/20180627/1199729.htm#ixzz5totpz4DT
301 See GDPR, Art. 17(1). 中文細節部分請參考第三章/三、資料主體權利/(五)被遺忘權。
302 See GDPR, Art. 17(3).
‧
2019年 1 ⽉ 29 ⽇,法國個⼈資料監管機關 CNIL(Commission Nationale de
l'Informatique et des Libertés)依據歐盟⼀般資料保護規則(General Data Protection
Regulation)裁罰 Google ⾼達 5,000 萬歐元的罰鍰。依 GDPR Article 7 的規定,
資料主體的同意必須要獨⽴於其他事項,並以容易理解、簡⽩易懂的⽂字說明;
Article 12⾄ 14 則規定資料主體必須清楚說明資料處理的細節,若事先擬定同意
書,則必須以清楚、明確、易懂的表達⽅式,提供資料主體關於資料蒐集、處理
303 Aaron Mamiit, Google Deleted Only 43 Percent Of 2.4 Million 'Right To Be Forgotten' Requests, Tech Times (Feb. 28, 2018), https://www.techtimes.com/articles/222046/20180228/google-deleted-only-43-percent-of-2-4-million-right-to-be-forgotten-requests.htm.
304 例如:NT1 & NT2 v Google LLC [2018] EWHC 799 (QB); 英國男用「被遺忘權」告贏 Google! 要求刪除犯罪前科,ETtoday 新聞雲,2018 年 4 月 15 日,
https://www.ettoday.net/news/20180415/1150569.htm#ixzz5tp09w0Pm; 兒童買春犯要求「網路被遺 忘權」日本最高院駁回,ETtoday 新聞雲,2017 年 2 月 2 日,
https://www.ettoday.net/news/20170202/859458.htm; 「被遺忘權」一週年 法國要求 Google 刪文 應擴及全球,ETtoday 新聞雲,2015 年 6 月 16 日,
https://www.ettoday.net/news/20150616/521479.htm。
305 相關討論可參考 Harvard Law Review Cyberlaw/Internet, Google Spain SL v. Agencia Española de Protección de Datos (December 10, 2014), 128 HARV. L. ReV. 735, 739-740,
https://harvardlawreview.org/2014/12/google-spain-sl-v-agencia-espanola-de-proteccion-de-datos/ (last visited July 15, 2019).; Steve Peers, The CJEU’s Google Spain Judgement: Failing to Balance Privacy and Freedom of Expression, EU LAW ANALYS (May 13, 2014),
http://eulawanalysis.blogspot.com/2014/05/the-cjeus-google-spain-judgment-failing.html (last visited July 15, 2019).
‧
國立 政 治 大
立 政 治 大