何鉅華｜臉書的個人資料使用和隱私設置被德國法院裁定違法

德國柏林區域法院月前裁定臉書在收集並使用個人資料方面，並沒有向用戶提供足夠的資訊好讓用戶作出有意義的同意，而臉書的預設隱私設定和對個人資料的使用也都違反德國的消費者法律。控訴臉書一案是由「德國消費者組織聯合會」（VZBV）提出，控告臉書令用戶選取臉書不應該擁有的功能。 VZBV的訴訟政策官員Heiko Duenkel表示，臉書的預設隱私設定暗藏一些功能對用戶不利；例如，臉書的智慧手機應用程式就有一個位置功能是預先啟動的，當用戶跟別人聊天時，對方可得知用戶的位置。而在隱私設定中，有關方格都早被勾選允許搜尋引擎連結到用戶的時間表（timeline），這意味著任何人都可以快速而輕易地找到臉書上的個人簡介。柏林區域法院接納VZBV的控訴，裁定臉書有五處預設設定在作為同意聲明上屬於無效。法院的德語判詞早前經英國傳媒廣為披露。此外，德國法院還裁定臉書的服務條款中有八個條款屬於無效，其中的條款包括允許臉書可將資料傳輸到美國，並可用個人資料作商業用途。臉書的真名（authentic name）政策也被裁定違法。先前，德國臉書曾一度要求用戶在臉書平台上使用真實姓名，現已允許用戶使用任何名稱。對於德國法院月前的裁決，臉書聲言提出上訴，並補充說：「我們正在努力確保我們的指引清晰易懂，臉書所提供的服務是完全符合法律的。」臉書聲言正徹底修整其隱私設定，並稱這項工作亦是因應歐盟一整套關於管治資料使用的《通用資料保護條例》（General Data Protection Regulation，簡稱GDPR）即將推行。臉書首席運營總裁謝麗爾.桑德伯格（Sheryl Sandberg）表示，臉書的核心隱私設定將讓用戶能夠更容易地管理他們的資料。近年來，臉書已曾遭到歐盟一些監管機構多番抨擊，特別是在德國，相關問題涉及存在違反競爭的做法以至所謂誤用客戶資料等等。自2016年3月以來，臉書已被「德國聯邦反壟斷辦公室」展開調查，指控它違反資料保護法，進行了不公平的壟斷。去年12月，該反壟斷機構的一項報告表示，它反對臉書在處理用戶開戶時獲取第三方資料的方式，這包括從自己的WhatsApp和Instagram戶口中轉移資訊，而臉書跟蹤其用戶訪問網站的情況亦遭到批評。在去年10月，歐盟另一監管機構「第29條工作組」（The Article 29 Working Party，簡稱WP29）也曾對臉書和WhatsApp共享用戶資料情況進行了一項廣泛調查。「第29條工作組」指出，兩者共用用戶資料並未取得用戶的足夠同意，因而可能違反歐盟法律。該項共用功能是於2016年首次推出，臉書經警告後據報已在歐盟地區暫停此一資料轉移功能，並正研究解決方法。

GDPR簡介： 《通用資料保護條例》是歐盟新的統一的資料保護法，經過了六年的制定，將於2018年5月25日開始推行。 GDPR將取代目前各會員國的資料保護法，賦予各資料監管當局更大的處置權力，並創立一個新的泛歐盟的資料監管機構，名為「歐洲資料保護委員會」（European Data Protection Board），亦讓各公司在整個歐盟地區受到一站式的管理。新的法律將管理各公司（無論是否在歐盟有業務）所獲得或觀察到的歐盟公民資料的處理和存儲。GDPR 將訂明及完善視為「有權刪除」的「被遺忘的權利」法律，並賦予歐盟公民有「資料可攜性」（data portability）的權利，這意味著歐盟公民可以從一個組織中取出資料交給另一個機構。GDPR並規定在資料被處理之前，必須得到有關個人的明確和知情同意，而此類同意也可隨時撤回。為了確保各公司遵守新法，GDPR賦予資料監管機構更大權力，可處罰款高達2000萬歐元或年度全球營業額的4%，這比以往可能的罰款額大大高了幾級。新法並規定，任何資料違規必須在72小時內報告給資料監管機構，而受影響的個人必須得到通知，除非被盜的資料屬於不可讀性（即增強加密處理）。可參閱報導： https://www.theguardian.com/technology/2018/feb/12/facebook-personal-data-privacy-settings-ruled-illegal-german-court?utm_source=esp&utm_medium=Email&utm_campaign=Media+briefing+2016&utm_term=263828&subid=1250192&CMP=ema_546