GDPR才上路Facebook臉書、Google就被告,面臨最高各罰近40億歐元風險、微軟祭出多項新服務以加強Azure法遵功能

GDPR才上路臉書、Google就被告,面臨最高各罰近40億歐元風險

歐洲個資法GDPR上周五正式上路,網路巨擘臉書、Google當天就遭到控告強迫用戶同意。一旦被主管機關認定違法,Google最高可能被罰37億歐元,而臉書可能被罰39億歐元。

澳洲隱私權律師Max Schrems旗下非營利法律網站noyb.eu,在四項控訴案中代表用戶控訴Google及臉書強迫使用者同意他們蒐集及處理用戶資料的條款。他向法國隱私主管機關CNIL控告Google,而其他三項申訴案則分別向奧地利、德國漢堡及比利時主管機關針對臉書、WhatsApp及Instagram三項產品控告。

Schrems指出,GDPR(General Data Protection Regulation)要求提供使用者自由選擇,不論他是否同意廠商使用其資料。但是許多使用者卻感受相反,他們上網站及app顯示難以計數的「同意對話框」,往往威脅使用者若不同意,就無法使用其服務。因此Schrems以強迫同意(forced consent)為由控告Google (Android)及臉書、WhatsApp及Instagram。其中臉書甚至封鎖不同意的使用者,迫使用戶最後只有刪除帳號或按下「同意」鍵兩種選項,「這不是自由選擇,只讓人聯想起北韓選舉過程的強迫行為」。

根據GDPR的罰則,違反者最高可處罰全球營收的4%。因此Google最高可能被罰37億歐元(約1290億台幣),而臉書三項產品各可能被罰13億,共39億歐元(約1360億台幣)。

該控訴書也指出,如果上述企業了解使用者按下對話框並不等同有效的同意,那麼本案也能解決惱人的跳出對話框。

The Verge引述兩大網路公司對此項控訴的回應。Google表示,該公司從草創之初就已將隱私和安全內建與產品中,也致力於遵循歐盟的GDPR。臉書也強調從18個月以前就投入符合GDPR的準備,也讓公司政策更清楚、提供使用者調整隱私設定的工具,方便他們存取、下載及刪除其在臉書上的個人資訊。

本案開了第一槍後,「數位權利中心」(Center of Digital Rights)也正準備控告網路公司非法將用戶資料用於發送廣告,或是單純將用戶使用廠商網頁認定為同意他們處理用戶資料。

因應GDPR衝擊,微軟祭出多項新服務以加強Azure法遵功能

號稱世上最嚴格的資料保護令GDPR已經在上周5月25日上路,各國大型企業不無嚴陣以待,就怕觸犯該天條,吃上鉅額罰款。而使用雲端服務的跨國企業,更得要注意,自家服務是否有符合各地法遵要求。

而因應GDPR上路,微軟近日也加強了旗下公有雲服務Azure的資安防護,像前陣子Azure SQL弱點評估功能上線,企業用戶可以追蹤、分析,以及修補潛藏的資料庫漏洞,此外本地環境使用SQL Server的用戶,微軟也將該功能整合至SSMS。而近日微軟又再出招,該平臺旗下多項服務整合了新法遵功能,讓企業用戶可以因應GDPR帶來的衝擊。

微軟全球基礎架構總監Tom Keane表示,這一次釋出的正式服務,包含Azure GDPR資料主體權利要求(Data Subject Request )、Azure Policy、Azure GDPR資安及法遵藍圖等新功能。他表示,微軟目前投入超過1,600名工程師,開發GDPR相關的專案,「我們認為隱私為基本人權,每人都應有掌握個人隱私資料的權利。」Tom Keane表示。

而這次微軟的發布,首先是Azure資料主體權利要求(Data Subject Request )功能,現在企業用戶已經可透過Azure Portal或者API存取該服務。微軟表示,此功能可以讓使用者在雲端環境中,對資料進行存取、修改、刪除,或是匯出等操作。除此之外,微軟也可以讓使用者,自主存取系統產生的Log數據。

第二個功能是Azure Policy。Tom Keane表示,Azure已經內建此功能,用戶不需要為此花費額外支出,此功能可以定義或者實施管理政策,讓企業雲端環境能同時符合內部規定,以及外部法規,而Azure Policy也和Azure資源管理功能整合,確保資料已進行加密,符合該地法遵要求。同時,Azure Policy也和Azure資訊安全中心結合,微軟表示,搭配Azure Policy,資安中心可以確保各個工作負載都已經被加密、符合內部管理政策,減低企業暴露於威脅的風險。

再者是新功能Azure資安及法遵藍圖(Azure Security and Compliance GDPR Blueprint)。Tom Keane表示,該功能可以協助企業,讓雲端應用程式符合GDPR法規。這個新功能,提供了常用參考架構、部署指南。

而法遵管理(Compliance Manager)功能,除GDPR外,也整合ISO 27001、ISO 27018,以及NIST 800-53。此功能可以提供儀表板,企業可以追蹤、紀錄法遵規定,讓使用者能跨團隊合作、管理文件,以及產出稽核報告。

GDPR效應:美國部份媒體為自保,限制歐洲民眾存取

《歐盟通用資料保護規則》(EU General Data Protection Regulation,GDPR)在上周五(5/25)正式實施了,儘管各大業者皆兢兢業業地部署符合GDPR的隱私條款,但臉書(Facebook)與Google還是在該規範上路的第一天就被告了,而美國媒體洛杉磯時報(LA Times)與芝加哥論壇報(Chicago Tribune)則是在上周五開始拒絕歐洲用戶存取,目的是為了規避GDPR。

出版洛杉磯時報與芝加哥論壇報的美國媒體集團Tronc上周五貼出公告,指出目前大多數歐洲國家皆無法造訪該站,正在尋找可於歐洲市場提供服務的各種選擇。

另一家在美國握有46家每日報紙的Lee Enterprises也針對來自歐洲經濟區(European Economic Area,EEA)的訪客祭出聲明,表示它們目前無法服務位於GDPR範圍內的讀者。

與其企圖闖關,這些媒體選擇了明哲保身。GDPR闡明所有歐洲民眾都有權檢視企業所握有的個資,而且還能要求企業刪除這些個資,企業除了必須取得蒐集與使用個資的明確同意之外,也必須在發生資料外洩事件的72小時內通知使用者與主管機關。

然而,臉書與Google之所以被告卻是因為這些同意書,他們要求使用者同意新的服務條款否則便無法使用相關服務,使用者認為他們是「被迫同意」的,也讓企業陷入了兩難的局面。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

臉書和谷歌操縱用戶分享個資 規避歐盟新法

儘管歐盟新的資料保護法希望給予用戶較多掌控和選擇權,但挪威政府研究顯示,臉書(Facebook)和谷歌(Google)提供「侵入式」和有限的預設選項,迫使用戶分享個資。

挪威消費者委員會發現,這兩家美國科技巨擘的隱私權更新政策與新的歐盟通用資料保護規則(GDPR)有所衝突。歐盟通用資料保護規則強迫企業向民眾釐清,他們分享個資時有哪些選擇。

消委會數位服務負責人米爾斯泰特(Finn Myrstad)發表聲明說:「這些企業操縱我們以分享個資。」

標題為「被設計欺騙」(Deceived By Design)的這項2018年研究報告論定:「這與消費者的期望以及新法規的用意不符。」

米爾斯泰特表示,這些作法顯示「對用戶缺乏尊重,而且規避讓消費者掌控自己個資的概念」。

這份報告是在4月中到6月初之間蒐集資料撰寫而成,就在歐盟法規生效後幾週。

報告揭露,臉書和谷歌經常將最不利於保護隱私的選項設為預設值,用戶也很少去調整預設設定。

報告顯示,有利隱私的選項「需要較多點擊,而且通常設為隱藏」。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

GDPR上路後隱私受到更多保障!? 研究揭發業者更新隱私政策的背後,以黑暗手法誘導用戶分享個資

由挪威政府資助的挪威消費者委員會(The Norwegian Consumer Council)就GDPR,對臉書、Google和Windows 10的隱私政策進行研究,在長達44頁的報告中指出,臉書和Google都透過設定或是話術,試圖向用戶隱藏隱私保護選項,而臉書、Google和Windows 10的彈出窗口設計,都共同試圖讓用戶遠離隱私友善的選項。

歐盟最嚴格個資法GDPR在5月25日已經上路,企業在之前無不嚴陣以待準備,並在GDPR上路前,發送電子郵件告知用戶的權益,而這些看似隱私友善的動作,其實暗藏玄機完全不是表面上表現的樣子。挪威消費者委員會針對臉書、Google和Windows 10,研究與GDPR相關的消費者隱私以及權益更新,發現其中不少手法屬於黑暗模式(Dark patterns),透過包裝誘騙使用者選擇對企業較有利的選項,乍看之下為消費者著想實則包藏禍心。

挪威消費者委員會直指,臉書以及Google都有侵犯隱私的預設設定,使用者想要更改成隱私友善的設定,需要歷經更多的點選,因為這些選項通常位在連結深處。而且他們也掩蓋了一些設定,讓使用者不知道服務已經預設了部分侵犯隱私的選項。

另外,臉書、Google以及Windows 10的彈出視窗設計,包括符號以及措辭,都試圖誘導使用者遠離隱私友善的選項。選擇的用詞上,這3種服務都迫使用戶立即作出選擇,並且淡化或是省略關鍵訊息,也沒有給予用戶自由延遲選擇的選項。此外,臉書、Google還透過威脅用戶,當不選擇這些侵犯隱私的選項,將可能面臨喪失部分功能或是帳號遭到刪除的後果。

整體來說,臉書、Google以及Windows 10雖然都為用戶提供了收集與使用個人資料詳細的選擇,但同時也用多種策略誘導使用者盡可能的分享資料。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏