德國公司因使用Google字體服務違反GDPR而被罰款

為「使用免費網頁工具的人」提供警告 

一般資料保護規範(General Data Protection Regulation,GDPR)要求,蒐集任何敏感的個人資訊都必須在網站使用者知情和同意的情況下進行。如果網站會蒐集個人資訊,通常會設置一個橫幅(Banner)說明,告知使用者網站正在蒐集內容,並徵求他們的同意。即使網站資料為動態生成,個人使用者仍有機會因為IP位址的資訊而被追蹤。

德國某家公司被德國政府勒令支付GDPR罰款,因為它使用了由Google 字體(Fonts)服務託管的字體,在載入該字體時會將其網站使用者的IP地址傳送給Google,網站說明卻沒有向客戶揭露任何相關資訊。

該公司僅被慕尼黑的民事法庭罰款100歐元,因為此事件僅是資料保護機構收到的唯一一件資料洩露投訴,洩露的資料也僅有IP位址。但是IP位址可用來做為識別使用者來源的方式,視為是個人資料的一部分,因此如果該網站不改善違規行為,GDPR罰款可能會更加嚴厲。法院還裁定,未來每次涉及Google字體服務相關的違規可能會被罰款高達25萬歐元,以及六個月的監禁。 

此裁決還確定,鑒於Google字體提供網站自行存放字體的功能,網站營運上對免費字體的需求不能援引為對GDPR罰款辯護的理由。

如果Google字體是唯一的案例,那麼有一個簡單的解決方法:Google允許網站自行管理字體庫,消除與遠端伺服器通訊的需要,同時排除可能受到GDPR罰款的個人資訊。

此案件加強了「IP位址是個人資訊」的說法

涉及GDPR罰款的「嵌入免費服務」相似案例,大都是由擁有大量廣告業務的科技巨頭所運營,因此「IP位址的問題」也可能是大型社群媒體公司和網路廣告接下來會面臨的困境,IP位址可用來識別使用者,對於可從大量來源收集的社群媒體公司來說可以與其他來源的個資整合。此外,Schrems II的裁決中對「跨境個人資料傳輸」提出了特殊的新要求,主要位於美國,並在美國處理資料的科技巨頭面臨了另一個難題,一旦資料離開歐盟,因違反GDPR而受到罰款的可能就比現在容易得多。 

不僅如此,網站還必須對其服務進行詳細地調查。例如,網站中使用詞彙「開源」(open source),可能會誤導使用者,以為這些資訊能提供給任何想要使用的人,而沒有附加條件,因此需做更詳細地描述或是替換成更合適的詞彙。

相關連結:

SCOTT IKEDA(2022). Leak of IP Address Via Google Fonts Prompts GDPR Fine. CPO Magazine.

檢自:

https://www.cpomagazine.com/data-protection/leak-of-ip-address-via-google-fonts-prompts-gdpr-fine/ (Feb. 28, 2022)

回到頂端