在GDPR架構下,讓人最耳(ㄘㄨㄛˋ)目(ㄕㄡˇ)一(ㄅㄨˋ)新(ㄐㄧˊ)的個資大概就是Cookies & IP address了。不過,我們今天不談大家都已經很熟悉的Google & Facebook的Cookies高額裁罰案,改談附隨在這些大咖旁邊的小小案件。
今 (2022) 年1月,一個德國的小公司被慕尼黑的法院罰鍰,因為有人檢舉它使用Google Fonts API,由於該服務是雲端服務,Google將會因此而蒐集到「使用該小公司網站服務」的使用者IP address。慕尼黑法院開出了一張100歐元的罰單,並要求該公司立即改善。
‧IP Address是個資?誰說的?
自2015年電腦處理個人資料保護法轉型成個人資料保護法以來,吾人一直都被灌輸一個概念:只要這個資料不能被識別出特定的當事人(亦即去個資化,名字加個O,例如陳O扁,蔡O文,馬O九…)就可以不受個人資料保護法的限制。
然而,其實往回看歐盟在還沒有GDPR之前,法院曾做出相關判決;歐盟法院(CJEU)2016年判決(Case C-582/14)明確指出:*IP dynamic address is personal data where an online media services provider has legal means that enable them to identify natural persons.*後來GDPR更直接列示IP address為「可識別特定主體的資料」If the controller has the legal option to oblige the provider to hand over additional information which enable him to identify the user behind the IP address, this is also personal data.;,國發會馬上就在2020年用函釋補充,台灣也覺得IP address是個人資料喔!
(前略)
…又我國個資法主要係參考歐盟1995年個人資料保護指令(下稱95指令)制定,關於個人資料之定義亦與95指令相仿。參考歐盟法院(CJEU)2016年判決(Case C-582/14)亦明確指出,所稱「個人資料」,並未要求所有足使特定資料主體被識別之資料都必須由同一人掌握,例如保有動態IP位址(dynamic IP address)資料之服務提供者得以可能、合理之方式,透過其他網路服務提供者取得對照、組合之資料識別特定資料主體,即可認定動態IP位址屬於個人資料。
(下略)
‧所以我所使用的API可能會讓外部網站蒐集IP address就不行?
記得我們在Day2談到蒐集個人資料應該要做的事情嗎?有些時候,蒐集個人資料是在很自然的使用行為中發生的;無論是GDPR或者是我國個資法,都沒有強制這類資料不能蒐集,只是必須要讓資料當事人(Data Subject)知悉,並給予申訴及拒絕的權利。
你可能會說:「阿我怎麼知道我用的外部API有沒有蒐集?」
那這就是你的不對了!如果連你都不知道你所使用的服務是不是在蒐集你甚至你的網站使用者資訊,你怎麼知道它是安全的,又怎麼信任你的資料不會被外洩呢?所以,這當然是你的責任喔!比起完全禁止蒐集,了解你所使用的外部程式及協力單位,並且完整揭露在你的使用者條款/隱私權政策/Cookie Policy,是為了保護個資更應該做的事。
‧題外話:用IP address肉搜別人可不可以?
有趣的事情是,網路上會「查IP的」人大多不覺得IP address是個資,卻常常用IP來追蹤搜尋在網路上匿名發表言論的人並進一步彙整公布這些「IP或網路代號」在網路上所發表或留下的數位足跡。
我們再來複習一下GDPR或國內個資法說甚麼叫做「個人資料」?
直接或間接得識別他人的資料就是個人資料,即使這些人在公開場合(網路)上留下許多軌跡,仍然不會減損「IP是個人資料」的定義,這是必須要先說清楚的。
至於把某個「IP或網路代號」在網路上所發表或留下的數位足跡拼湊並公布(俗稱肉搜),雖然還不到侵害隱私的程度(畢竟任何一個人在網路上都能夠搜尋得知),但如果利用自己的其他權限查詢,或者公布一些比較私密不是每個人都可以查得到的資料,那就會有違反個人資料保護的風險喔!
今天就談到這裡,我們明天見!
參考資料
Leak of IP Address Via Google Fonts Prompts GDPR Fine
https://www.cpomagazine.com/data-protection/leak-of-ip-address-via-google-fonts-prompts-gdpr-fine/
German Court Fines Website Owner for Violating the GDPR by Using Google-Hosted Fonts
https://wptavern.com/german-court-fines-website-owner-for-violating-the-gdpr-by-using-google-hosted-fonts?utm_source=rss&utm_medium=rss&utm_campaign=german-court-fines-website-owner-for-violating-the-gdpr-by-using-google-hosted-fonts
歐盟法院(CJEU)2016年判決(Case C-582/14)判決摘要
https://gdprhub.eu/index.php/CJEU_-C%E2%80%91582/14-_Patrick_Breyer
GDPR: Personal Data
https://gdpr-info.eu/issues/personal-data/
國發會函釋: 發法字第1090015912號
https://theme.ndc.gov.tw/lawout/LawContent.aspx?media=print&id=GL000355