法國憲法委員會認定HADOPI法「三振條款」違憲
延續本中心前幾期對於法國國會於今年5月所通過的「支持網路創作傳佈及保護法」(loi favorisant la diffusion et la protection de la création sur Internet,簡稱loi création et internet;又因該法中特別設立所謂的「網路著作散佈及權利保護高等署」(Haute Autorité pour la Diffusion des Œuvres et la Protection des Droits sur Internet,通常簡稱HADOPI)作為執行本法相關任務之獨立行政機關(autorité administrative indépendante),故本法又被稱為HADOPI法)中相關議題的報導,本次將簡要介紹法國憲法委員會(Conseil constitutionnel)於今年6月10日所作出(Décision n° 2009-580 DC du 10 juin 2009)對於該法所制定「三振條款」認定違憲之理由。
在進入憲法委員會此一決定前,須先說明HADOPI法的性質:依據本法第1條及第2條之指示,此一法律主要係修正及增補「法國智慧財產權法典」(Code de la propriété intellectuelle)之相關規定,特別是透過電子及網路傳輸之著作物(œuvres)的保護措施,並將原法典中「技術措施管理署」(l'Autorité de régulation des mesures techniques)更改為前述之「高等署」,並透過調整權限及組織內容之方式,賦予其「獨立行政機關」之地位─而特別值得注意的,則是此一獨立行政機關的9位委員中亦包括由中央行政法院(Conseil d'État)、法國最高法院(或稱「廢棄法院」;Cour de cassation )、審計法院(Cour des comptes)等指派之成員。而所謂的「三振條款」,即是本法第5條(亦為增補後之智慧財產權法典第L. 331-25〜331-27條、)中所規定之:如網路用戶於接獲兩次由HADOPI所寄發之「違反勸阻通知」(recommandation)後依然違反智慧財產權法典第L. 336-3條所賦予之義務(禁止透過網路傳送服務對於受著作權及其他相近權利保護之著作進行非法複製、再現等;最常見之形式即為非法下載)時,HADOPI即可在進行「對辯程序」(procédure contradictoire,包括事前通知、卷宗閱覽、書面陳述意見,以致若經當事人要求須進行有律師或輔佐人陪同之正式聽證程序)後,對其進行裁罰(sanctions),最長可處使用者全面中斷(suspension)一年的網路服務。
因此,在法國憲法委員會對於此一法案的審議中,其關注重點即落在對於HADOPI是否可做出此種對於網路服務使用者進行中斷服務的裁罰之上。而主要基於2項理由,憲法委員會認為此一裁罰違反憲法:
1.此一中斷服務之裁罰雖可視為係達成此一法律任務所必要之措施,但因其涉及限制人民之自由及權利,故其實具有刑罰(punition)之性質;從而依據權力分立原則,能夠享有判斷並做出此一裁罰決定之權限者,僅為法院,而非行政機關。
2.而就算強調此一裁罰係由包含司法部門成員的獨立行政機關所做成,其依然違反了憲法前言、1789年法國人權及公民權宣言中所指涉及保護的基本權利,其中包括宣言第9條的「無罪推定」,以及在本案中具備決定性之宣言第11條「思想及意見自由傳達」的權利:因為在現代民主社會發展中,使用傳播工具及網路服務已是實現此一自由所不可或缺者;從而政府中斷網路服務之裁罰行為本身,已損及人民接近使用網路服務的基本權利。
然而,儘管法國憲法委員會在其決定中否認了HADOPI法中「三振條款」的合憲性,但因除去此一部份違憲條文外,整體HADOPI法仍通過了本次的憲法考驗,且HADOPI此一機關本身之正當性亦藉此取得確定。從而,HADOPI於後續實際案例中將會如何解釋適用此一法律,顯然是日後必須持續關心的重要議題。
2018年7月27日印度電子及資訊科技部(Ministry of Electronics and Information Technology, MeitY)公告個人資料保護法草案(Protection of Personal Data Bill),若施行將成為印度首部個人資料保護專法。 其立法背景主要可追溯2017年8月24日印度最高法院之判決,由於印度政府立法規範名為Aadhaar之全國性身分辨識系統,能夠依法強制蒐集國民之指紋及虹膜等生物辨識,國民在進行退稅、社會補助、使用福利措施等行為時都必須提供其個人生物辨識資料,因此遭到人權團體控訴侵害隱私權。最高法院最後以隱私權為印度憲法第21條「個人享有決定生活與自由權利」之保護內涵,進而認為國民有資料自主權,能決定個人資料應如何被蒐集、處理與利用而不被他人任意侵害,因此認定Aadhaar專法與相關法律違憲,政府應有義務提出個人資料專法以保護國民之個人資料。此判決結果迫使印度政府成立由前最高法院BN Srikrishna法官所領導之專家委員會,研擬個人資料保護法草案。 草案全文共112條,分為15章節。主要重點架構說明如下: 設立個資保護專責機構(Data Protection Authority of India, DPAI):規範於草案第49至68條,隸屬於中央政府並由16名委員所組成之委員會性質,具有獨立調查權以及行政檢查權力。 對於敏感個人資料(Sensitive personal data)[1]之特別保護:草案在第4章與第5章兩章節,規範個人與兒童之敏感個人資料保護。其中草案第18條規定蒐集、處理與利用敏感個人資料前,必須獲得資料主體者(Data principal)之明確同意(Explicit consent)。而明確同意是指,取得資料主體者同意前,應具體且明確告知使用其敏感個人資料之目的、範圍、操作與處理方式,以及可能對資料主體者產生之影響。 明確資料主體者之權利:規範於草案第24至28條,原則上資料主體者擁有確認與近用權(Right to confirmation and access)、更正權(Right to correction)、資料可攜權(Right to data portability)及被遺忘權(Right to be forgotten)等權利。 導入隱私保護設計(Privacy by design)概念:規範於草案第29條,資料保有者(Data fiduciary)應採取措施,確保處理個人資料所用之技術符合商業認可或認證標準,從蒐集到刪除資料過程皆應透明並保護隱私,同時所有組織管理、業務執行與設備技術等設計皆是可預測,以避免對資料主體者造成損害等。 指派(Appoint)資料保護專員(Data protection officer):散見於草案第36條等,處理個人資料為主之機構、組織皆須指派資料保護專員,負責進行資料保護影響評估(Data Protection Impact Assessment, DPIA),洩漏通知以及監控資料處理等作業。 資料保存之限制(Data storage limitation):規範於草案第10條與第40條等,資料保有者只能在合理期間內保存個人資料,同時應確保個人資料只能保存於本國內,即資料在地化限制。 違反草案規定處高額罰金與刑罰:規範於草案第69條以下,資料保有者若違反相關規定,依情節會處以5億至15億盧比(INR)或是上一年度全球營業總額2%-4%罰金以及依據相關刑事法處罰。 [1]對於敏感個人資料之定義,草案第3-35條規定,包含財務資料、密碼、身分證號碼、性生活、性取向、生物辨識資料、遺傳資料、跨性別身分(transgender status)、雙性人身分(intersex status)、種族、宗教或政治信仰,以及與資料主體者現在、過去或未來相連結之身體或精神健康狀態的健康資料(health data)。
法國資料保護機關要求Clearview AI刪除非法蒐集的個人資料法國國家資訊自由委員會(Commission nationale de l’informatique et des libertés, CNIL)自2020年5月起陸續收到民眾對臉部辨識軟體公司Clearview AI的投訴,並展開調查。嗣後,CNIL於2021年12月16公布調查結果,認為Clearview AI公司蒐集及使用生物特徵識別資料(biometric data)的行為,違反《一般資料保護規範》(General Data Protection Regulation,GDPR)的規定,分別為: 非法處理個人資料:個人資料的處理必須符合GDPR第6條所列舉之任一法律依據,始得合法。Clearview AI公司從社群網路蒐集大量全球公民的照片與影音資料,並用於臉部辨識軟體的開發,其過程皆未取得當事人之同意,故缺乏個人資料處理的合法性依據。 欠缺保障個資主體的權利:Clearview AI公司未考慮到GDPR第12條、第15條及第17條個資主體權利之行使,特別是資料查閱權,並且忽視當事人的個資刪除請求。 因此,CNIL要求Clearview AI公司必須於兩個月內改善上述違法狀態,包括:(1)在沒有法律依據的情況下,停止蒐集及使用法國人民的個資;(2)促進個資主體行使其權利,並落實個資刪除之請求。若Clearview AI公司未能於此期限內向CNIL提交法令遵循之證明,則CNIL可依據GDPR進行裁罰,可處以最高 2000萬歐元的罰鍰,或公司全球年收入的4%。
中國大陸國務院印發關於實施《促進科技成果轉化法》之規定中國大陸於2015年8月29日修改了其《促進科技成果轉化法》,為了該法的實施,中國大陸國務院於今年2月17日的常務會議中,即發表了其對於鼓勵研究機構及大專院校之科技研發成果運用的相關措施;而針對這些措施,中國大陸國務院於同月26日制定了相關的具體規定,並在3月2日時發布,並行文於各相關機關。 該規定分作16點,主要分三個大方向,包括促進研究機構及大專院校的科技研發成果轉移於民間企業、鼓勵科技研發人員發展創新技術以及創業活動,與科技研發環境的營造等等。 具體而言,其主要措施包括允許研發機構得自主決定其科技研發成果的運用,原則上不需要向政府申請核准或報備、其運用後的收入不需繳交國庫,得全部留於研發機構內,用於對研究人員之獎勵及機構內科技研發之用、其並對該收入用於對研究人員獎勵之比例下限作出明文規定、允許國立研發機構及大專院校之研究人員在一定條件下得保留原職位在一定期間內至民間企業兼職,或進行創業活動,以從事科技研發成果的運用,以及對研發機構的考核標準應納入對機構之科技研發成果及運用的評鑑等等。
德國立法通過反駭客法德國政府為減少官方與民間的電腦受到網路駭客的攻擊,於2007年5月正式立法通過「反駭客法(Antihacker Law)」,並藉此擴大了現行德國法律中網路犯罪的懲處範圍,從僅處罰破壞或攻擊商業或政府機關之電腦系統,擴及至破壞或攻擊個人電腦或DOS系統之犯罪。 依德國「反駭客法」之規定,凡任何個人或團體意圖非法使用而故意製造、散播或購買駭客工具(hacker tools)者,將可能被處十年以上有期徒刑。而所謂的「駭客(hacking)」在新法中則被定義為,凡是侵入電腦系統並獲取資訊者,不論是否有竊取該資訊的行為,均屬之。 上述立法結果,反對人士擔心恐將適得其反,因駭客工具的存在具有一體兩面,研發並利用駭客工具來測試電腦以及網路系統的安全性,在德國已行之有年,如果一旦加以禁止,不但無法達到預期目的,也過於輕視網路駭客者的能力;又將來持有駭客工具者,未來必須在法庭上主張係出於善意持有,亦是增加了持有者的舉證責任。該法已經於2007年8月實施。