於今年6月5日間,歐洲聯盟法院(Court of Justice of the European Union, CJEU) 對於會員國所提出,有關個人資料保護指令(Data Protection Directive,95/46/EC)的解釋上疑慮,作出初步裁決(preliminary ruling)。
裁決的法院認為,在FB經營粉絲頁的公司,同樣屬於個人資料的控管者(controller),應履行個資法規定的義務與責任,且即便粉絲頁所進行的個資蒐集、處理活動,並非發生在該公司設立的會員國境內,該國的個資主管機關仍有權採取必要的措施,停止可能的個資侵害情形。上開議題及裁決,對於我國經營FB粉絲專頁的企業而言,應是頗值關注的議題。
背景事實
於2011年11月3日,德國什勒斯維希-霍爾斯坦邦「獨立資料保護中心」(Unabhängiges Landeszentrum für Datenschuutz Schleswig-Holstein)(下稱「ULD」)主張德國「什勒斯維希-霍爾斯坦經濟研究院」 (下稱「什邦經研院」)所經營的FB粉絲頁,在未告知粉絲頁訪客的情況下,就使用Cookies技術蒐集訪客的個資。ULD以該個資活動違法為由,請什邦經研院關閉其FB粉絲頁。
什邦經研院向德國法院起訴,主張應撤銷ULD的處分,理由主要包括:1)本案中蒐集、處理粉絲頁訪客個資的是FB愛爾蘭公司(下稱「愛爾蘭FB」),什邦經研院並非個資的控管者或處理者;2)個資的處理活動發生在愛爾蘭,ULD對之無管轄權。德國高等行政法院(Oberverwaltungsgericht)雖作出對什邦經研院有利的認定,然再次上訴後,德國聯邦行政法院(Bundesverwaltungsgericht)對相關法條的解釋有疑慮,故暫時停止審理,請歐盟法院先作出裁決。
「共同個資控管者」的認定
首先,在個人資料保護指令定義下的個資控管者(controller),包含獨自或與他人共同決定個資處理目的與手段的法人。本案中沒有爭議的是,FB美國母公司是粉絲頁訪客個資的「控管者」,愛爾蘭FB則是「處理者」,二者皆有個人資料保護指令的適用,但問題在於,什邦經研院是否也是「控管者」。
歐盟法院給了肯定的答案,理由在於,雖然實際上蒐集與處理個資的人是愛爾蘭FB,但因FB不允許修改粉絲頁的使用條款(含有Cookies蒐集相關內容),故歐盟法院認為什邦經研院設立粉絲頁的行為,就等同授權FB利用Cookies蒐集其粉絲頁訪客的相關個資,無論該粉絲頁訪客是否擁有FB帳號。又,什邦經研院能透過粉絲頁功能參數的設定,分析、過濾訪客的資料(例如性別、年齡、興趣、職業、感情狀態等),以鎖定目標族群,來管理及行銷粉絲頁或企業的活動。因此,既然什邦經研院與FB是共同決定個資蒐集手段(Cookies)與目的(例如行銷)的人,也同樣是「控管者」,則其控管者的義務並不會因為他不是實際蒐集、處理個資之人而有異。
應特別提及的是,歐盟法院特別在裁決中說明,共同控管者之間所負的責任並不一定完全相同,而應依照個別控管者參與個資蒐集、處理的階段與程度等,個案認定其責任的輕重。按照這樣的解釋脈絡,ULD認為什邦經研院違反向粉絲頁訪客告知的義務,進而對其進行裁罰的處分,很有可能在上開歐盟法院裁決後,被德國法院維持。
會員國監管機關的管轄權
個人資料保護指令規定,各會員國應將內國法規適用於「控管者在會員國內組織的個資處理活動」,而當控管者在數個會員國內都設有組織時,各會員國應採取必要的措施,例如透過行使「干預權」(effective powers of intervention)等,來禁止違法的個資處理活動,確保各組織履行其法定之義務。本案的爭議在於,實際上個資處理的活動是由第三人(愛爾蘭FB)進行,此時ULD是否可以對什邦經研院發動干預權,間接地禁止德國境內的個資處理活動。若否,則ULD應請愛爾蘭的監管機關協助,直接禁止愛爾蘭FB處理個資,而非間接強制什邦經研院停止經營粉絲頁。
對此,歐盟法院的答案也是肯定的,理由在於,第一,根據調查,FB將其在歐洲的工作分工如下:愛爾蘭FB負責所有粉絲頁訪客個資的處理,德國的FB則負責對德國住民行銷、銷售廣告版面。歐盟法院認為,因FB個資處理的價值重點就是在銷售廣告版面上,兩者無法脫鉤,則既然FB在德國境內的活動與愛爾蘭FB的個資處理有不可分割的連結,二者都屬於「控管者(FB)在會員國內的組織的個資處理活動」,則ULD對於在德國境內與FB粉絲頁訪客的個資蒐集、處理相關的活動,即有監管的權力。第二,個人資料保護指令賦予各會員國監管機關監管的權力是「獨立」的,該權力之內涵應解釋為,當境外第三人的個資活動違反個資保護規定時,各會員國的監管機關得在不依賴他會員國的情況下,獨立調查該行為的合法性,並行使干預權。
在這樣的解釋下, 本案中ULD在未請愛爾蘭的監管機關協助下,對什邦經研院發動干預權請其關閉粉絲頁,應該不會被認定違反歐盟個人資料保護指令。
從個人資料保護指令到GDPR
在今年5月25日,歐盟個人資料保護指令被新的歐盟「一般資料保護規範(GDPR)」取代,實際來看,GDPR的規範密度與個人資料保護指令相較,實有過之而無不及。
以本案而言,首先,因GDPR並未修正個人資料保護指令對於控管者的定義,故對於有在經營FB粉絲頁的企業而言,在GDPR施行後,至少必須注意是否負有對於訪客的告知義務,以及是否切實履行該等義務。再來,在GDPR下,各會員國的監管機關也享有獨立的監管權力,但GDPR修正刪除原本「干預權」的用語,而是直接揭示並強調,各監管機關在行使職權確保GDPR的遵循時,不受外界直接或間接的影響,也不應尋求或依照任何人的指示行動。
小結
對於我國企業來說,即便有經營FB粉絲頁,除非依粉絲頁的內容可以預期將會蒐集到歐盟居民個資,或是確實有針對歐盟居民有蒐集其個資的意圖,否則在現行GDPR的法規下,尚無須過度擔心上開案例的類似情況。然而,由於我國現下正積極籌劃取得歐盟GDPR的適足性認定,未來國內的個資相關法規勢必將會提昇法遵的規格;另外,在歐盟會員國有分支機構的國內企業,當然有更高的必要對上開議題加以注意。正本清源之道,還是在相關蒐集、處理及利用個資的流程中,即作好每項告知及安全維護等措施,如此作法,一旦法規有更廣泛的適用,或更嚴格的修法,都不致有觸法的風險。