新興網路音樂流通模式之法律政策趨勢與實例研討

　　日本文部科學省於2022年3月發布「教育資訊安全政策指引」（教育情報セキュリティポリシーに関するガイドライン）修訂版本，該指引於2017年10月訂定，主要希望能作為各教育委員會或學校作成或修正資訊安全政策時的參考，本次修訂則是希望能具體、明確化之前的指引內容。本次修訂主要內容如下。 （1）增加校務用裝置安全措施的詳細說明： 充實「以風險為基礎的認證」（リスクベース認証）、「異常活動檢測」（ふるまい検知）、「惡意軟體之措施」（マルウェア対策）、「加密」（暗号化）、「單一登入的有效性」（SSOの有効性）等校務用裝置安全措施內容敘述。 （2）明確敘述如何實施網路隔離與控制存取權的相關措施： 對於校務用裝置實施網路隔離措施，並將網路分成校務系統或學習系統等不同系統，若運用精簡型電腦技術（シンクライアント技術）則可於同一裝置執行網路隔離。另外，針對校務用裝置攜入、攜出管理執行紀錄，並依實務運作調整控制存取權措施，例如安全侵害影響輕微者則可放寬限制以減輕管理者負擔。

淺談中國網絡文化內容自審制於手機遊戲管理之影響 科技法律研究所 2013年12月31日 壹、前言 　　中國大陸文化部日前依據互聯網文化管理暫行規定第19條規定，頒布施行「網絡文化經營單位內容自審管理辦法」(簡稱自審管理辦法)。要求以營利爲目的提供「網絡文化產品及服務」之單位（即所謂的「網絡文化經營單位」），應進行自我審核，以確保內容之合法性。所謂「網絡文化產品及服務」依據互聯網文化管理暫行規定，包括網絡音樂、動漫、遊戲等文化產品及以此所為之製作、複製、進口、發行、播放等活動。據中國大陸文化部表示，制定本辦法是為了落實其國務院轉變政府職能、簡政放權的政策方向，特別是網絡遊戲中的手機遊戲部分，期待能透過企業自律機制，達到市場的有效管理。 貳、自審管理辦法重點說明 　　在具體做法上，自審管理辦法規範「網絡文化經營單位」必須符合四項具體要求，包括：(1)內容管理制度與部門：企業須建立內容管理制度與審核部門，明定內容審核之工作劃分、標準、流程及責任追究辦法；(2)內容審核人員：企業內部設置之內容審核部門須配置至少3名以上領有「內容審核人員證書」之審核人員，並指定其中1名審核人員為內容管理負責人，負責簽核其餘審核人員之審查意見；(3)踐行備案程序：企業內部於建立上述之審核程序後，應向所在地省級文化行政部門申報備案；(4)持續參與審核訓練：針對內容審核人員，省級文化行政部門將負責相關培訓考核及檢查監督工作，其中對於經考核合格者發給證書者，每年至少應參加1次後續培訓，以持續掌握內容審核的政策法規和相關知識。 　　針對未依該辦法實施自審制度之「網絡文化經營單位」，依據自審管理辦法第14條規定，則得由縣級以上文化行政部門或者文化市場綜合執法機構依照「互聯網文化管理暫行規定」第29條規定責令改正，並可根據情節輕重處20000元以下罰款。此外，依據自審管理辦法第13條規定，倘若內容審核人員出現重大審核失誤時，發證部門得注銷其「內容審核人員證書」。 　　最後，依照自審管理辦法第15條規定，相關「網絡文化產品及服務」在自審管理辦法施行前，如應踐行備案或批准程序，在施行後仍須按相關規定辦理，不會因企業自審制度建立而得以免除。 參、規範簡評 　　依照自審管理辦法規定，自審制度適用範圍涵蓋了所有應依法取得「網絡文化經營許可證」的網絡文化經營單位。據中國大陸文化部新聞稿指出，此舉將有助於端正手機遊戲市場亂象。其具體理由，本文簡要歸納如下，並附帶說明此措施對於台灣手機遊戲業者進入中國大陸市場將帶來之影響。 　　過去中國大陸文化部管理「網絡遊戲」，主要是透過「網絡遊戲管理暫行辦法」(簡稱暫行辦法)。當中針對「國產網絡遊戲」採取備案制，要求於營運日起30日內向其文化行政部門進行備案(暫行辦法第13條參照)；「進口網絡遊戲」則採審查制，須事前獲得其文化行政部門審查批准，方可上線營運(暫行辦法第11條參照)。且解釋上所謂「網絡遊戲」並未排除「手機遊戲」，故外國業者在提供手機遊戲服務予中國大陸時，皆應授權當地具備「網絡文化經營許可證」之「網絡遊戲運營企業」進口並履行相關申報作業。 　　但現實上，基於手機遊戲開發成本低、週期短之特性，手機遊戲業者存在為數不少小規模企業，所開發遊戲數量自2011年以來呈現爆炸性成長。因而暫行辦法之相關管理要求，實際執行通常難以落實，便常見有手機遊戲規避上述申報作業，使得整體手機遊戲管理呈現真空狀態。 　　但此一管理困境，在施行自審管理辦法後，預期將有所改善。根據中國大陸文化部新聞稿指出，目前中國大陸手機遊戲市場主導權，已逐漸由遊戲開發商轉移至平台商。因此透過自審管理辦法下放內容審查權於大型平台上，再強化對大型平台的監管，可集中政府資源、擺脫過去針對個別遊戲業者的查緝困難。 　　同時，由於自審管理辦法要求企業應賦予內容審核人員獨立審核職權，官方新聞稿亦進一步指出內容管理負責人層級應提升至副總經理以上。一旦內容審核人員發生重大失職時，最重得注銷其審核權限。因而運作上將可間接影響企業人事權限分配，對於企業高層業務執行帶來一定程度箝制，進而達到有效管理之目的。 　　對於台灣業者而言，由於按照暫行辦法第12條規定，申報進口網絡遊戲內容審查者，必須為取得獨占授權之「網絡遊戲運營企業」。因此，台灣遊戲業者未來在授權遊戲於大陸業者營運時，應留意其合作之大陸「網絡文化經營單位」，是否有建立上述自審制度，以避免對其產品拓展產生不利影響。同時，應留意其是否有踐行相關進口網絡遊戲內容審查申報，以避免觸法。 資料來源： 《文化部關于實施〈網絡文化經營單位內容自審管理辦法〉的通知》（文市發〔2013〕39號），http://big5.gov.cn/gate/big5/www.gov.cn/zwgk/2013-08/22/content_2471896.htm （最後瀏覽日：2013/12/25）。 新华网，〈文化部放权网络文化企业内容自审 网游网络音乐先行试点〉，2013/08/20，http://news.xinhuanet.com/politics/2013-08/20/c_117021657.htm（最後瀏覽日：2013/12/25）。 中华人民共和国文化部文化市场司，〈庹祖海同志在贯彻落实《网络文化经营单位内容自审管理办法》视频会议上的讲话〉，2013/11/29，http://www.ccnt.gov.cn/sjzz/whscs_sjzz/whscs_zhxw/201312/t20131202_424345.htm（最後瀏覽日：2013/12/25）。

　　2016年1月， 隸屬英國商業、創新和技術部 (Department for Business, Innovation and Skills，BIS)的科學辦公室(Government Office for Science)發布「分佈式分類帳技術：區塊鏈以外(Distributed Ledger Technology：beyond block chain)」研究報告。本篇報告由產官學界合作完成，主要在評估分佈式分類帳技術可以運用在哪一些公私領域，並決定政府以及私人應該採取哪些行動以促進分佈式分類帳技術可被有益運用，並避免可能帶來的傷害。 　　該份研究報告認為，分佈式分類帳技術可在多個領域協助政府機構，包含徵稅、提供福利、發行護照、土地登記、確保商品供應鏈並且確保政府記錄與服務的完整性。相較於其他網路系統，分佈式分類帳技術較不易受駭客攻擊，而且由於每個参與者都有一份帳簿副本，如果有惡意竄改的狀況，也可以輕易被發現，但這不表示分佈式分類帳技術就不會被駭客攻擊。 　　數位五國(Digital 5，D5)之一的愛沙尼亞，已多年實驗運用分佈式分類帳技術於公領域服務多年。愛沙尼亞政府透過私人公司運用分佈式分類帳技術建制「免金鑰簽名設施(Keyless Signature Infrastructure，KSI)」，KSI允許愛沙尼亞公民驗證其在政府資料庫資訊的完整性，並避免內部人透過政府網路從事非法活動。KSI確保公民資訊安全以及準確，因而可協助愛沙尼亞政府提供數位化的公司登記以及稅務服務，減少政府以及社會大眾的行政作業負擔。 　　除此之外，分佈式分類帳技術也有助於確保商品以及智慧財產權的所有以及出處。例如Everledger此一系統可用於確保鑽石的身分，從礦產、切割到銷售，可減少並避免欺詐以及「血鑽石」進入市場。 　　簡而言之，分佈式分類帳技術提供政府可減少詐欺、腐敗、錯誤以及紙上作業成本的框架，並透過資訊分享、公開透明以及信任，具有可重新定義政府與公民關係的潛力。對於私領域而言也具有同樣可能性，報告特別提出可透過分佈式分類帳技術發展「智慧契約」，可增加信任度並提高效率。據此，本報告針對政府部門提出八大建議： (1) 應成立專責部門，並與產業、學界緊密合作，並應考慮成立臨時性的專家諮詢團隊。 (2) 英國的研究社群應該要投入研究確保分佈式分類帳技術具備可即性、安全性以及內容準確性。 (3) 政府應支持為地方政府成立分佈式分類帳技術實地教學者，匯聚所有測試技術以及其運用的所需元素。 (4) 政府需要思考如何為分佈式分類帳技術建立妥適的法制框架。法規需要配合新科技應用技術的發展而進步。 (5) 政府應該與產學合作確保相關標準可以符合分佈式分類帳技術及其內容完整性、安全性以及隱私的需求。 (6) 政府應與產學合作確保最有效率以及最可用的身分認證網路協議可為個人及組織所使用，這項工作應與國際標準的發展與執行緊密連結。 (7) 政府應對分佈式分類帳技術進行試驗，以評估該項技術在公領域的可行性。 (8) 建議成立跨部門的利益群體，結合分析以及政策群體，以生成並發展潛在使用案例，並且在公民服務中提供具備知識的專家人員。 　　除了八大建議，管理與法制上，本報告指出分佈式分類帳技術具有兩種管理規範：法律規範以及技術規範。法律規範是「外部」規範，法律規範可能會被違反，緊接著面臨違法處罰的問題。技術規範是「內部」規範，假如違反技術規範，「錯誤(error)」產生無法運作，因此「規範」本身就可以確保會被遵循。換句話說，技術規範可以節省法律規範的執法成本。另外一方面，分佈式分類帳技術為去中心化技術，如果要以法制管理，也只能在参與者身上施加法律義務，例如Bitcoin，只能對於提供Bitcoin交易服務的平台施加法律義務。美國紐約州金融服務部所發行的比特幣交易執照BitLicnese即為一例。因此，基於去中心化的特性，報告建議政府單位應該要儘量参與技術標準的制定，並且配合技術標準制定相關法律，法律規範與技術規範兩者應該要交互影響。

法國國家資訊與自由委員會（Commission Nationale de l’Informatique et des Libertés, CNIL）於2025年9月1日針對一起由歐洲數位權利中心（noyb - The European Center for Digital Rights）提出的申訴做成決議，指Google未經Gmail使用者同意，將廣告偽裝為電子郵件進行「偽裝廣告」（Disguised Ads）投放，以及在對Gmail使用者投放個人化廣告前，未能於Gmail帳號申請流程中提供當事人提供較少cookies、選擇非個人化之通用廣告（generic ads）的選項，違反了《電子通訊法》（code des postes et des communications électroniques）與《資訊與自由法》（loi Informatique et Libertés）中關於歐盟《電子隱私指令》（ePrivacy Directive）之施行規定，對Google裁處了3.25億歐元的罰鍰，並要求改善。以下節錄摘要該裁決之重點： 一、 偽裝成電子郵件的偽裝廣告與電子郵件廣告均須獲當事人同意始得投放 歐盟《電子隱私指令》第13條1項及法國《電子通訊法》規定，電子郵件直接推銷（direct marketing）僅在其目標是已事先給予同意的使用者時被允許。CNIL，依循歐盟法院（CJEU）判例法（C-102/20）見解，認為若廣告訊息被展示在收件匣中，且形式類似真實電子郵件，與真實電子郵件相同位置，則應被認為是電子郵件直接推銷，須得到當事人之事前同意。因此，CNIL認定偽裝廣告即便技術上不是狹義的電子郵件，僅僅因其在通常專門用於私人電子郵件的空間中展示，就足以認為這些廣告是透過使用者電子郵件收件匣傳遞的廣告，屬於電子郵件廣告，而與出現在郵件列表旁邊且獨立分開的廣告横幅不同，後者非屬電子郵件廣告。 二、 Cookie Wall下當事人的有效同意：「廣告類型」的選擇、服務申請流程的隱私設計與資訊透明 CNIL參酌歐盟個人資料保護委員會（European Data Protection Board, EDPB）第2024/08號關於「同意與付費模式」意見，認為同意接受廣告在特定條件下得作為使用Gmail服務的條件。換言之，以「cookie wall」（註：拒絕cookie的蒐集即無法獲得服務之網站設計）取得之當事人「同意」，非當然不自由或無效。CNIL認為，在免費服務的框架下，cookie wall在維持提供服務與服務成本之間的經濟平衡上，要求服務申請者須接受投放廣告的cookie是合法的。惟CNIL認為，這不代表Google可以任意決定所蒐集的cookies和相應廣告模式的類型。 CNIL要求，當事人在cookie wall的框架內仍應享有選擇自由，才能取得蒐集為投放個人化廣告之cookies的當事人有效同意，亦即：在個人化廣告處理更多個資和對當事人造成更多風險的情況下，當事人應被給予機會選擇「等值的替代選項」，亦即通用廣告，並完全且清晰地了解其選擇的價值、範圍及後果。 然而，CNIL發現，Google將與廣告個性化相關的cookies拒絕機制設計得比接受機制更複雜，實際上阻礙了使用者拒絕隱私干預程度更高的cookies。這種拒絕途徑偏袒了允許個人化廣告的cookies的同意，從而影響了當事人的選擇自由。CNIL也發現，Google從未以明確方式告知使用者建立Gmail帳戶時面臨cookie wall，以及對此使用者享有甚麼選擇，而其提供的資訊更引導使用者選擇個人化廣告，導致選擇一般廣告的機會遭到犧牲。 三、 為何不是愛爾蘭資料保護委員會（Data Protection Commission, DPC）管轄？ GDPR設有「單一窗口機制」，依據該合作機制，對Google進行的GDPR調查，應由作為主任監管機關（Lead Supervisory Authority）的愛爾蘭DPC管轄。惟在本案，CNIL認為並不適用於單一窗口機制。因為與cookies使用及電子推銷相關的處理並非屬於GDPR範疇，而是適用電子隱私指令，CNIL對法國境內的cookies使用及電子推銷處理享有管轄權。此爭議反映出即便GDPR旨在確保標準化單一市場內的數位管制，但尚不足以弭平成員國間監管強度之差異。