GDPR才上路臉書、Google就被告,面臨最高各罰近40億歐元風險
歐洲個資法GDPR上周五正式上路,網路巨擘臉書、Google當天就遭到控告強迫用戶同意。一旦被主管機關認定違法,Google最高可能被罰37億歐元,而臉書可能被罰39億歐元。
澳洲隱私權律師Max Schrems旗下非營利法律網站noyb.eu,在四項控訴案中代表用戶控訴Google及臉書強迫使用者同意他們蒐集及處理用戶資料的條款。他向法國隱私主管機關CNIL控告Google,而其他三項申訴案則分別向奧地利、德國漢堡及比利時主管機關針對臉書、WhatsApp及Instagram三項產品控告。
Schrems指出,GDPR(General Data Protection Regulation)要求提供使用者自由選擇,不論他是否同意廠商使用其資料。但是許多使用者卻感受相反,他們上網站及app顯示難以計數的「同意對話框」,往往威脅使用者若不同意,就無法使用其服務。因此Schrems以強迫同意(forced consent)為由控告Google (Android)及臉書、WhatsApp及Instagram。其中臉書甚至封鎖不同意的使用者,迫使用戶最後只有刪除帳號或按下「同意」鍵兩種選項,「這不是自由選擇,只讓人聯想起北韓選舉過程的強迫行為」。
根據GDPR的罰則,違反者最高可處罰全球營收的4%。因此Google最高可能被罰37億歐元(約1290億台幣),而臉書三項產品各可能被罰13億,共39億歐元(約1360億台幣)。
該控訴書也指出,如果上述企業了解使用者按下對話框並不等同有效的同意,那麼本案也能解決惱人的跳出對話框。
The Verge引述兩大網路公司對此項控訴的回應。Google表示,該公司從草創之初就已將隱私和安全內建與產品中,也致力於遵循歐盟的GDPR。臉書也強調從18個月以前就投入符合GDPR的準備,也讓公司政策更清楚、提供使用者調整隱私設定的工具,方便他們存取、下載及刪除其在臉書上的個人資訊。
本案開了第一槍後,「數位權利中心」(Center of Digital Rights)也正準備控告網路公司非法將用戶資料用於發送廣告,或是單純將用戶使用廠商網頁認定為同意他們處理用戶資料。
因應GDPR衝擊,微軟祭出多項新服務以加強Azure法遵功能
號稱世上最嚴格的資料保護令GDPR已經在上周5月25日上路,各國大型企業不無嚴陣以待,就怕觸犯該天條,吃上鉅額罰款。而使用雲端服務的跨國企業,更得要注意,自家服務是否有符合各地法遵要求。
而因應GDPR上路,微軟近日也加強了旗下公有雲服務Azure的資安防護,像前陣子Azure SQL弱點評估功能上線,企業用戶可以追蹤、分析,以及修補潛藏的資料庫漏洞,此外本地環境使用SQL Server的用戶,微軟也將該功能整合至SSMS。而近日微軟又再出招,該平臺旗下多項服務整合了新法遵功能,讓企業用戶可以因應GDPR帶來的衝擊。
微軟全球基礎架構總監Tom Keane表示,這一次釋出的正式服務,包含Azure GDPR資料主體權利要求(Data Subject Request )、Azure Policy、Azure GDPR資安及法遵藍圖等新功能。他表示,微軟目前投入超過1,600名工程師,開發GDPR相關的專案,「我們認為隱私為基本人權,每人都應有掌握個人隱私資料的權利。」Tom Keane表示。
而這次微軟的發布,首先是Azure資料主體權利要求(Data Subject Request )功能,現在企業用戶已經可透過Azure Portal或者API存取該服務。微軟表示,此功能可以讓使用者在雲端環境中,對資料進行存取、修改、刪除,或是匯出等操作。除此之外,微軟也可以讓使用者,自主存取系統產生的Log數據。
第二個功能是Azure Policy。Tom Keane表示,Azure已經內建此功能,用戶不需要為此花費額外支出,此功能可以定義或者實施管理政策,讓企業雲端環境能同時符合內部規定,以及外部法規,而Azure Policy也和Azure資源管理功能整合,確保資料已進行加密,符合該地法遵要求。同時,Azure Policy也和Azure資訊安全中心結合,微軟表示,搭配Azure Policy,資安中心可以確保各個工作負載都已經被加密、符合內部管理政策,減低企業暴露於威脅的風險。
再者是新功能Azure資安及法遵藍圖(Azure Security and Compliance GDPR Blueprint)。Tom Keane表示,該功能可以協助企業,讓雲端應用程式符合GDPR法規。這個新功能,提供了常用參考架構、部署指南。
而法遵管理(Compliance Manager)功能,除GDPR外,也整合ISO 27001、ISO 27018,以及NIST 800-53。此功能可以提供儀表板,企業可以追蹤、紀錄法遵規定,讓使用者能跨團隊合作、管理文件,以及產出稽核報告。
GDPR效應:美國部份媒體為自保,限制歐洲民眾存取
《歐盟通用資料保護規則》(EU General Data Protection Regulation,GDPR)在上周五(5/25)正式實施了,儘管各大業者皆兢兢業業地部署符合GDPR的隱私條款,但臉書(Facebook)與Google還是在該規範上路的第一天就被告了,而美國媒體洛杉磯時報(LA Times)與芝加哥論壇報(Chicago Tribune)則是在上周五開始拒絕歐洲用戶存取,目的是為了規避GDPR。
出版洛杉磯時報與芝加哥論壇報的美國媒體集團Tronc上周五貼出公告,指出目前大多數歐洲國家皆無法造訪該站,正在尋找可於歐洲市場提供服務的各種選擇。
另一家在美國握有46家每日報紙的Lee Enterprises也針對來自歐洲經濟區(European Economic Area,EEA)的訪客祭出聲明,表示它們目前無法服務位於GDPR範圍內的讀者。
與其企圖闖關,這些媒體選擇了明哲保身。GDPR闡明所有歐洲民眾都有權檢視企業所握有的個資,而且還能要求企業刪除這些個資,企業除了必須取得蒐集與使用個資的明確同意之外,也必須在發生資料外洩事件的72小時內通知使用者與主管機關。
然而,臉書與Google之所以被告卻是因為這些同意書,他們要求使用者同意新的服務條款否則便無法使用相關服務,使用者認為他們是「被迫同意」的,也讓企業陷入了兩難的局面。
