Microsoft 365教育版遭奧國資保機關認定違反GDPR 不法放置Cookies追蹤學生
(中央社訊息服務20260226 16:17:53)奧地利資料保護主管機關(Datenschutzbehörde, DSB)於今(2026)年1月21日作成裁定,認定Microsoft提供之Microsoft 365教育版服務未經同意在學生裝置上非法安裝追蹤Cookies,違反GDPR,並命其停止在未經有效同意的情況下繼續使用技術上不必要的Cookies。
奧地利聯邦教育部(Bundesministerium für Bildung)為該學校提供Microsoft 365教育版,用於支援教學。本案當事人為就讀奧地利學校之學生,在登入其獲配之帳號,並使用瀏覽器版Microsoft Word建立文件時,其電腦被置入了多個Cookies。這些Cookies的設定未經她本人同意。學校無法調整這些Cookies設定。
該學生之法定代理人,在歐洲數位權利中心(noyb - European Center for Digital Rights)的協助下,向DSB提出申訴,控Microsoft欠缺合法依據放置Cookies進行追蹤學生,違反了GDPR。而DSB在審理後認定,Microsoft 365教育版未經同意即放置的Cookies中,除為網路傳輸及提供服務所在技術上必要的Cookies,還有記錄並收集使用者行為、瀏覽器及裝置資料,用於分析及投放廣告的MC1、FPC、MSFPC、MicrosoftApplicationsTelemetryDeviceId等。後者未事前取得同意,構成不法蒐集。
財團法人資訊工業策進會科技法律研究所說明,臺灣教育現場亦廣泛導入Microsoft 365教育版及其他雲端教學工具。如何在教育的數位轉型過程中衡平隱私保護與教學效益,臺灣主管機關宜與服務業者、各教育機構、家長及學權團體充分溝通協調。
更多國內外隱私法制發展消息,歡迎訂閱《隱料》電子報:https://www.notion.so/privattea/MS-365-DPA-No-23-2f4e3bd71e32809b87add7d26298e837。