優質網路社會基本法之推動芻議

美國商務部於2023年3月21日對《晶片與科學法》（CHIPS Act）獎勵計畫中的國家安全護欄條款（guardrails）提出法規草案預告（Notice of Proposed Rulemaking, NPRM），並對外徵詢公眾意見，確保美國和盟友間的技術協調合作，促進共同國家安全利益。CHIPS作為國家安全倡議，以重建和維持美國在全球半導體供應鏈中的領導地位為目標，並確保CHIPS所補助的資金及尖端技術，不會直接或間接使中華人民共和國、俄羅斯、伊朗和北韓等特定國家受益或用於惡意行為，若CHIPS受補助者參與限制交易，政府可以收回全部資金補助。護欄條款對受補助者實施限制說明如下： 1.限制在特定國家擴張先進設施：自獲得補助起10年內，禁止對特定國家或地區的尖端和先進半導體設施為重大投資、協助擴大半導體製造能力。投資金額達100,000美元定義為重大交易，將設施生產能力提高5%為擴大半導體製造能力。 2.限制在特定國家擴建傳統設施：禁止在特定國家擴充半導體新生產線或將傳統半導體設施的生產能力擴大超過10%。若半導體設施的產出「主要服務」於該國國內市場（超過85%），則允許建造新的傳統設施，但最終產品只能在該國家或地區銷售。 3.半導體屬對國家安全至關重要項目：擬將一系列晶片歸類為涉及國家安全，並與國防部和情報局協商制訂清單管制，包括用於量子運算、輻射密集環境，和其他專業軍事能力的新進和成熟製程晶片。 4.加強美國出口管制：透過出口管制和CHIPS國家安全護欄條款，調整對儲存晶片的技術門檻限制並加強控制。對邏輯晶片應用，會設定比出口管制更加嚴格的門檻。 5.限制聯合研究和技術授權：限制與特定外國實體就引起國家安全問題的技術或產品進行聯合研究和技術授權工作。聯合研究定義為由兩人或多人進行的任何研究和開發，技術授權為向另一方提供專利、營業秘密或專屬技術的協議。

　　歐盟電子通訊隱私指令（Directive 2002/58/EC on Privacy and Electronic Communications, e-Privacy Directive）第五條(3)中對於cookie（即業者為辨別使用者身份而儲存在用戶端上的資料）設置的規範，將於2011年5月全面施行。惟對於cookie之使用，部分網路業者認為如果網路使用者沒有選擇不要裝置cookie (opt-out)，那麼就等同於同意裝置，而不需另外取得使用者的同意。針對此點，歐盟第29條資料保護工作小組（Article 29 Data Protection Working Party）於2010年06月22日對於網際行為廣告作出一份意見（Opinion 2/2010 on online behavioural advertising）。 　　意見中澄清，網際行為廣告係一種透過cookie的使用，追蹤蒐集網路使用者上網行為的資料，其網路資訊將被使用於日後發放與使用者上網行為相對應的廣告之用。除非是屬於網路使用者明白要求使用cookie，或是使用網路服務所『必要』的cookie（例如，沒有cookie就無法顯示或進行至下一個頁面），則不必先行取得使用者的同意外；其他凡經由cookie所儲存的資料，均應被視為『個人資料』，使用上必需先行取得網路使用者的明示同意，以自行選擇（opt-in）的方式接受cookie的使用，後存於網路使用者的個人電腦中。業者不得以搜尋引擎的cookie設定主張視為網路使用者等同已經明示同意使用cookie進行被追蹤及蒐集資料。 　　該意見受到許多歐盟及國際之網際出版、廣告及商務業者的反彈，業者表示所蒐集的資料並非可辨認性或敏感性資料，此規範的執行將會嚴重衝擊到廣告產業的收益，建議採行自律規範或使用行為守則來取代上述規定。 　　由於這項規範尚未於歐盟中被執行，歐盟第29條資料保護工作小組對於技術上如何遵循該規範也並沒有提出具體的建議。

　　2016年10月27日，FCC依據傳播法案(Communication Act)第222條通過《寬頻用戶隱私保護規則》(Rules to Protect Broadband Consumer Privacy, 下稱2016 Privacy Order)。2016 Privacy Order主要包含以下三點： 選擇加入（Opt-in）：當使用或分享消費者之「敏感資訊」，須事先取得消費者明確之同意。「敏感資訊」包括精確的地理定位資訊、財務資訊、健康資訊、孩童資訊、社會安全號碼(Social Security Number, SSN)、網站瀏覽與應用程式使用紀錄，以及通訊內容。 選擇退出（Opt-out）：對於符合消費者期待的「非敏感資訊」，除非客戶Opt-out，ISP業者皆能在未取得消費者事先同意之情況下自由使用與分享。例如電子郵件位址與服務介面資訊(service tier information)。 例外：推定客戶會同意之資訊，例如在客戶與ISP業者建立關係後，不須額外取得寬頻服務或計費之同意。 　　2016 Privacy Order通過後受到ISP業者大力抨擊，尤其是網站瀏覽與應用程式使用紀錄亦須取得消費者事先同意之部分，其認為如此可能扼殺電子商務發展，消費者亦可能被不必要的警示轟炸。由於2016 Privacy Order引起諸多不平，因此通過後半年，美國參議院與眾議院分別於2017年3月投票廢止，總統並於4月3日正式簽署此份國會審查法案(Congressional Review Act)。 　　廢止《寬頻用戶隱私保護規則》之原因為，消費者之個人資料雖可受到保護，但該規則僅適用於寬頻服務提供者與其他電信供應商，並不包含網站與前端服務(edge services)。是以僅ISP業者受到較嚴厲之管制，其餘網路服務則由FTC管轄，而FTC對隱私權之規範較為寬鬆，因此可能發生提供不同服務的兩家業者使用同一份客戶資料，受到的管制程度卻不同之情形。 　　贊成2016 Privacy Order之議員與消費者自助組織(consumer-advocacy groups)表示ISP業者應受到較嚴厲之規範，因消費者能輕易在網站間轉換，卻不能輕易更換ISP，且ISP得以取得消費者在所有網站上之瀏覽資料，但如Google與Facebook等大廠雖非ISP業者，卻亦能取得不限於自身網站的客戶瀏覽資料。 　　由於《寬頻用戶隱私保護規則》已正式廢止，FCC將不得再通過其他相同或實質上相同之規範，對ISP業者之管制回歸《傳播法案》第222條，亦即，對於網站瀏覽與應用程式使用紀錄之使用或分享，不須取得客戶之事先同意。

　　自西元2017年1月以來，英國稅務海關總署（Her Majesty's Revenue and Customs, HMRC）開始要求英國民眾使用線上語音方式進行身分認證，而民眾的聲音檔案亦被儲存至英國稅務海關總署的語音資料庫內。英國資訊委員辦公室（Information Commissioner's Office, ICO）深入調查後發現英國稅務海關總署的語音身分認證系統存在下列兩種違法情形： 未能向民眾充分揭露、告知民眾其語音、聲紋等生物識別資料如何被處理等資訊。 蒐集民眾的生物識別資料時，未能給予民眾自由行使同意或拒絕權利的機會。 　　英國資訊委員辦公室認為英國稅務海關總署前開情形已經違反了歐盟一般資料保護規則（General Data Protection Regulation, GDPR），根據歐盟一般資料保護規則，英國稅務海關總署在蒐集、處理或利用民眾個人資料時，必須合法、公正及透明，並應取得民眾的明確同意。英國資訊委員辦公室後續將要求英國稅務海關總署應刪除違法蒐集的生物識別資料。 　　本次英國資訊委員辦公室的執法行動是基於2018年5月25日生效的歐盟一般資料保護規則與英國2018年資料保護法（The Data Protection Act 2018），英國資訊委員辦公室強調創新的數位服務雖有助於民眾的生活更輕鬆，但絕不能以犧牲民眾的隱私為代價，同時也隱約透露著：「沒有一個組織（包含政府機關）能夠凌駕於法律之上。」。