「劍橋分析」案個資處理失當　臉書遭英國開罰新台幣2千萬

臉書 （Facebook）爆出「劍橋分析」醜聞後不但引發個資保護的疑慮，如今更有高額罰款找上門。英國主管機關「資訊專員辦公室」（Information Commissioner's Office，ICO）10日依據英國《數據保護法》（Data Protection Act），認定臉個資把關失利，且未透明化用戶個資遭第三方利用的情形，判定兩處違規，將祭出最高上限的50萬英鎊罰款（約新台幣2030萬元）。

ICO並給予臉書回應的機會，表示會在收到回應後再「做出最後決定」。

《衛報》（The Guardian）引述ICO主任戴納姆（Elizabeth Denham）表示：「臉書未能證明該公司提供《數據保護法》所規範的保護措施。罰款和追訴能懲罰不肖業者，但我的真正目的是帶來改變，並重建大眾對於民主制度的信任。」

Findings, recommendations and actions from ICO investigation into data analytics in political campaigns
https://t.co/Xsb1wFjHAn pic.twitter.com/TZyptWr7iZ

— ICO (@ICOnews) 2018年7月10日

未能依GDPR開罰　罰款金額有限

但罰款金額對臉書可能不痛不癢。在2018年的第一季中，臉書約每5分半鐘就可以賺進罰款所要的50萬英鎊。ICO表示，受限於案發時間，ICO無法依據在5月25日上路的歐盟「通用資料保護規則」（GDPR）對臉書開罰。

GDPR將最高罰款的上限訂為公司全球營業額的4%，對臉書而言是190億美元（約新台幣5818億元），本次開罰則是依據英國1998年版的《數據保護法》。

Facebook fined for data breaches in Cambridge Analytica scandal https://t.co/cvGISxe9K4

— Guardian US (@GuardianUS) 2018年7月11日

戴納姆11日受BBC廣播第4台（BBC Radio 4）「今日秀」（Today）訪問時表示，「劍橋分析」一案是嚴重的違規，在新的體系建立後，相關罰款將更高。

被問到往後是否可能出現數百萬英鎊的罰單，戴納姆認為「可能」，但她同時強調罰款不是唯一的重點，當消費者都希望自己的資料是安全的，公司的聲譽就成了關鍵。

「在2014-15年間，臉書讓一款APP搜括8700萬用戶的個資供『劍橋分析』利用，影響大選與公投」，戴納姆受訪時說。不過，ICO其後發布聲明表示他們已知「劍橋分析」對美國大選的操作，但下一個階段將探究其是否涉及影響英國脫歐公投。

Information Commissioner Elizabeth Denham is speaking on @BBCr4today
at 7.15am following the release of the ICO’s detailed update of its investigation into the use of data analytics in political campaigns: https://t.co/Xsb1wFBirV #earlybiz pic.twitter.com/ukL8BfkUMQ

— ICO (@ICOnews) 2018年7月11日

臉書涉「劍橋分析」遭多方調查

據《衛報》，臉書隱私長伊根（Erin Egan）對ICO公告的初步評論表示：「本公司的確應在2015年間付出更多行動，並調查與『劍橋分析』有關的情事。本公司已和ICO密切合作，協助其調查『劍橋分析』，亦和美國與其他國家的主管機關保持同樣的合作。本公司將在檢閱報告後，盡快對ICO作出回應。」

戴納姆曾稱本案是「ICO有史以來從事過最重要的調查」，ICO也已對在下議院擁有議員席次（以2017年3月起算）的11個政黨寄出了警告信，敦促他們同意個資保護審查，此外更對「劍橋分析」的母公司「SCL Elections」因違反ICO的通知事項，調查刑事責任。

醜聞爆發後，「SCL Elections」已在5月宣布破產並受託管，ICO正在研商是否能繼續追訴該公司的高層。

戴納姆表示，透過用戶網上行為提供廣到的行為定向（behavioural targeting）機制已在業界行之有年，但很少消費者意識到可能被精準鎖定，以便動搖用戶在選舉或公投的立場。戴納姆說，如今是用戶挺身要求權益，以維護民主制度運作的時刻。

事實上不只英國，臉書也在美國遭多個單位調查。據《紐約時報》（The New York Times），美國法務部、聯邦調查局都分別展開針對臉書「劍橋分析」醜聞的相關調查。

此外，美國證券交易委員會（Securities and Exchange Commission）也對臉書的相關說明開始調查，同時，聯邦貿易委員會（Federal Trade Commission）正在調查臉書是否違反雙方的隱私協議

Facebook was hit with a maximum possible fine in Britain after a government agency concluded its lax policies allowed Cambridge Analytica to harvest information on millions of people without their consenthttps://t.co/YKTJ3tIQ8Q

— The New York Times (@nytimes) 2018年7月11日

賣資料給工黨未揭露　婦幼網站也遭查

除了臉書外，ICO一併發現有某些政治團體正利用軟體預測選民的種族，或從可疑的來源取得資料。在調查的過程中，ICO也對「Lifecycle Marketing (Mother & Baby) Limited」發出了通知，以採取規範性行動。

據《英國廣播公司》（BBC）報導，該公司和旗下網站「Emma’s Diary」以提供健康資訊與贈品給準媽媽與新手媽媽為業，如今則因為將資料賣給工黨的過程疑似涉及不法，面臨14萬英鎊（約新台幣567萬元）的罰款。

ICO表示，「Lifecycle Marketing」曾在未揭露的情況下，販售資料供工黨在2017年英國大選競選所用。依據法規，政黨可以向企業購買個資用於競選，但必須取得適當同意。

Emma's Diary faces fine for selling new mums' data to Labour https://t.co/QKheiVeRp8

— BBC News (UK) (@BBCNews) 2018年7月11日

該公司發言人對此喊冤，表示公司在先前並未獲得回應的機會，「因此，ICO調查中的細節，包括媒體所報導的內容，都有著重大的事實錯誤，我們相信這將得到更正。」然而，發言人婉拒說明所謂「錯誤」為何。工黨則表示，將重新檢閱「從第三方取得資料的方式」。

ICO副主任伍德（Steve Wood）表示，政黨取得個資的過程是調查的重點，「『Emma’s Diary』的案情是初步調查成果之一。

我們發現『Emma’s Diary』蒐集資料的方式，特別是牽涉提供醫院中的媽媽資訊的過程，有重大的問題。」伍德說，ICO尤其關注企業是否違反《數據保護法》中規定對透明化、用戶同意的規定。