違反歐盟個資法　小蝦米律師再告Netflix、Apple、Spotify等媒體巨頭

**去年控告 Facebook 違反《歐盟一般資料保護規範》 GDPR 的律師，在 GDPR 上路後 8 個月發現，仍有許多媒體巨頭不符合規定。

這次他點名的公司包括 Netflix、Amazon、Apple、Spotify 等 8 間線上串流媒體／平台。

**

為了取代 1995 年制訂，早已不堪使用的《數據保護指令》，歐盟於 2016 年通過，並於 2018 年 5 月 25 日正式生效的「歐盟一般資料保護規範」（General Data Protection Regulation，縮寫為 GDPR）。GDPR 條文多達 99 條，盡量全面地考慮到網路普及後大量出現的社會問題，加入以「被遺忘權」延伸的各種人權觀念，制訂出被稱為史上最嚴格的個資法。

2018 年 GDPR 施行首日，一個名為 NOYB 的組織就對 Google、Facebook、WhatsApp 及Instagram 提出巨額訴訟。NOYB 創辦人 Max Schrems 律師主張，這些大型跨國公司多已針對 GDPR 推出新的政策與服務，不過用戶最終只能選擇接受個資被「合理」使用，或乾脆放棄使用該平台／服務，違反 GDPR 原則。

小蝦米控告 Facebook 一戰成名

NOYB 創辦人是一名來自奧地利隱私權律師 Max Schrems，他在學生時期（2014 年）便在「安全港事件」中槓上 Facebook，以集體訴訟的方式禁止 Facebook 將歐洲用戶的資料傳送到美國，並要求 Facebook 賠償 2 萬 5 千位歐盟內的共同提告人各 500 歐元。（其實共有 5 萬 5 千人響應，最後按照原訂計畫讓前 2 萬 5 千位登記人參與訴訟）

最後歐洲法院裁定《安全港協議》無法充分保護歐盟公民個人資料，美國與歐盟在 2000 年簽訂的《安全港協定》應予撤銷。Max Schrems 因勝訴而在科技界出名，不過他強調，提出訴訟並不是為了賺錢，而是希望 Facebook 能夠重視用戶隱私，調整內部業務行為。

2017 年 Max Schrems 創辦非營利組織 NOYB – European Center for Digital Rights，並經營非營利法律網站 noyb.eu，持續捍衛普羅大眾的網路隱私權。組織名稱縮寫自 None of Your Business，不關你的事，或可以解釋成「用戶的隱私權不是你的賺錢工具」。

你的權利不是你的權利？

去年對 Google 與 Facebook 等社群軟體開出第一槍後，NOYB 今年瞄準 Amazon Prime、Apple Music、Netflix、Spotify、Youtube、Soundcloud、DAZN 及 Flimmit 提出控訴。這次 NOYB 代表的只有 10 位用戶。他們向奧地利資料保護署投訴這 8 間線上串流媒體／平台違反 GDPR 第 15 條保障的「資料主體之接近使用權」。

GDPR 第 15 條近用權（Right of access）保障所有歐洲公民取用公司所擁有的個人資料的權利，包括數據處理之目的、個人資料所涉及之類型、已揭露或將予揭露個資接收者或接收者類型、個資被儲存之預期期間、及更正或刪除等權利。

NOYB 與 10 位平台使用者合作，向不同的平台提出查詢閱覽個人資料的請求，遺憾地，沒有任何平台提供 GDPR 第 15 條規定的所有資訊。NOYB 整理，除了點播平台 Flimmit，沒有任和平台提供完整的原始檔案；Netflix 和 Flimmit 雖然回覆時間最常，卻提供了易懂的數據，和部分背景資訊，是 8 家企業中回覆最詳細的；運動賽事平台 DAZN 和線上音樂分享平臺 SoundCloud 則根本沒有回覆。

科技大佬只做半套

Max Schrems 在一份聲明中表示，目前許多企業都已經設置自動化系統，回應用戶對於查詢個資的要求，但是這些系統自動回覆，或主動顯示的往往只有最原始的數據，比如 Instagram 會告訴你每天掛在 Instagram 上的時間，卻不會告訴你有多少公司知道你的貼文頻率或喜歡哪種類型的貼文。「這導致用戶的權益受到結構性的侵犯，因為這些系統的設置是為了隱瞞相關訊息。」Max Schrems 指控。

遭到天后 Taylor Swift 與許多音樂人抵制的 Spotify 喊冤，認為自己「非常重視數據隱私和我們對用戶的義務。我們致力於遵守所有相關的國家和國際法律法規，包括我們認為我們完全遵守 GDPR 義務。」然而在 NOYB 隨堂測驗中只拿到一個 Okay。

Amazon 也做出差不多的回應， 還推出新的「隱私幫助」頁面，向用戶展示該如何在平台上控制訊息隱私。

誰會坐上國會聽證會的椅子

根據 GDPR 規定，若以上控告屬實，這 8 間公司將面對 2 千萬歐元（折合台幣 7 億）或全年營收 4% 的罰款。（詳見表格）

為何總部不屬於歐盟會員國的 Apple 和 Amazon 也在指控名單內呢？那是因為 GDPR 的強制力不僅限於歐盟會員國，只要擁有歐盟公民的個資，不論是企業、非營利組織甚至是政府機構或，都成為 GDPR 規範對象。簡單說若你還想和歐盟國家做生意（或募款），恪守 GDPR 便是義務。

Facebook、Twitter和 Google 在 2018 年都因為隱私保護問題被要求出席美國聽證會，若以上被點名的公司／平台仍無法符合 GDPR 規範，除了巨額罰款，公司高層都得做好準備出席國會聽證會，Facebook 創辦人馬克‧祖克柏去年因為「劍橋分析事件」坐上美國聽證會的那張不甚舒適的椅子，他還特別加了張坐墊。或許，歐盟的椅子會比美國好坐一點？

大叔網紅再次立功　YouTube下架海量「地方媽媽」影片
終於有人超越小賈〈Baby〉！7部最不受歡迎的YouTube影片
查看原始文章