情境示意圖,Photo by Testalize.me on unsplash

歐洲議會一個為議員提供COVID-19篩檢的網站,被發現植入cookie且連結Google等美國公司,被控違反隱私法。

民間隱私倡議機構noyb上周代替6名歐洲議員對歐洲資料防護監理機關(European Data Protection Supervisor,EDPS)提出申訴,歐洲資料主管機關將啟動調查。

調查的對象是歐洲議會設立的COVID-19 聚合酶連鎖反應(Polymerase Chain Reaction,PCR)檢測內部網站,供歐洲議會員工及議員登記。但議員發現這個網站在未明白、清楚告知用戶情況下將cookies植入用戶電腦,且對第三方單位發送呼叫,包括美國的Google。

他們發現,這個網站對第三方單位發出150多項呼叫,呼叫對象包括Google及美國金流服務業者Strip。Noyb指出,歐盟法院曾判決,歐盟區內的個人資料必須在嚴格規定下才能傳給美國,而任何網站也禁止將歐盟公民的個人資料傳送給個資防護低落的美國。而Stripe及Google作為美國公司,顯然也都受制於美國監控法規,美國法令允許監控歐盟公民。他們認為此舉發生在歐洲議員及議會員工尤其重大,使用美國廠商的服務將使美國政府得以存取歐洲議員及議會員工資料,要求EDPS禁止違反歐盟法令的行為。

不過由於這只是登記檢測的網站,因此傳送出去的呼叫並不包含用戶個資。

此外,網站也被控暗中植入多種cookies。除了Stripe的cookie外,網站上的資料保護公告也指出,還有Google Analytics的cookies。歐洲議員指控,網站並未明白列出共有哪些cookies,而是要求用戶一次同意所有cookies,以便獲得許可蒐集並處理用戶在網站上的行為資料。他們發現網站上甚至有兩種資料保護公告,內容也不一樣,令用戶感到混淆。

EDPS證實收到申訴,表示將啟動調查。此外,被指違法的cookies也已經關閉。


熱門新聞

Advertisement