美國聯邦地方法院加州北區法院禁止REALNETWORKS公司販賣Real DVD
美國聯邦地方法院加州北區法院於2009年8月11日判決禁止REALNetworks公司致力或便利於製造、進口、供公眾使用、為販賣之要約或販賣以存取、複製及再散佈等他法規避CSS之保護或受著作權保護之DVD內容之軟體產品,這些產品如已知的RealDVD,或Vegas、Facet或其他名稱之產品,或有近似功能的軟體或其他產品、服務或裝置、設備或其零件。理由在於RealDVD軟體違反了數位千禧年著作權法案(Digital Millennium Copyright Act of 1998,DMCA)禁止規避電腦加密技術之規定。DVD若被CSS(Content Scramble System)鎖碼,則DVD播放者必須取得授權方能播放此光碟片,這些防止技術就是為了避免被複製而設計的。因為RealDVD是一種從含有著作權的DVD製造了一個永久的複製品的軟體技術,而這無法置外於數位千禧年著作權法案所賦予的義務,即使從個人合理使用的條文詮釋,亦無法認為是合法的。
這件案子是美國迪士尼、Sony、派拉蒙、二十世紀福斯、NBC、華納兄弟、哥倫比亞等好萊塢主要電影公司以及DVD複製控制協會(DVD copy control Association,DVD CCA) 於2008年對於REALNetworks公司銷售RealDVD軟體之行為提起訴訟,指控其行為違法法令。
而兩日後(2009年8月13日),於DVD複製控制協會(DVD CCA)訴KALEIDESCAPE公司上訴案中,加州聯邦上訴法院又判決KALEIDESCAPE公司販售DVD複製軟體(Kaleidescape system)違反數位千禧年著作權法案。
此兩個判決對於好萊塢電影工業無疑是一大勝利,但對於DVD複製軟體的科技發展卻是一項打擊。另外在判決中法官也強調這樣的判決決定,仍然保留了個人合理使用的合法空間。
.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 國際特赦組織(Amnesty International)與法國數位隱私權倡議團體La Quadrature du Net(LQDN)等組織於2024年10月15日向法國最高行政法院提交申訴,要求停止法國國家家庭津貼基金機構(Caisse nationale des allocations familiales,CNAF)所使用的歧視性風險評分演算法系統。 CNAF自2010年起即慣於使用此系統識別可能進行福利金詐欺的對象,該系統演算法對獲取家庭與住房補助的對象進行0至1之間的風險評分,分數越接近1即越可能被列入清單並受調查,政府當局並宣稱此系統將有助於提升辨識詐欺與錯誤的效率。 LQDN取得該系統的原始碼,並揭露其帶有歧視性質。該等組織說明,CNAF所使用的評分演算法自始即對社會邊緣群體如身心障礙者、單親家長,與低收入、失業、居住於弱勢地區等貧困者表現出懷疑態度,且可能蒐集與系統原先目的不相稱的資訊量,這樣的方向直接違背了人權標準,侵犯平等、非歧視與隱私等權利。 依據歐盟《人工智慧法》(Artificial Intelligence Act,下稱AIA),有兩部分規定: 1. 用於公機關評估自然人是否有資格獲得基本社會福利或服務,以及是否授予、減少、撤銷或收回此類服務的人工智慧系統;以及用於評估自然人信用或建立信用評分的人工智慧系統,應被視為高風險系統。 2. 由公機關或私人對自然人進行社會評分之人工智慧系統可能導致歧視性結果並排除特定群體,從此類人工智慧總結的社會分數可能導致自然人或其群體遭受不當連結或程度不相稱的不利待遇。因此應禁止涉及此類不可接受的評分方式,並可能導致不當結果的人工智慧系統。 然而,AIA並未針對「社會評分系統」明確定義其內涵、組成,因此人權組織同時呼籲,歐盟立法者應針對相關禁令提供具體解釋,惟無論CNAF所使用的系統為何種類型,因其所具有的歧視性,公機關皆應立即停止使用並審視其具有偏見的實務做法。
歐洲個人資料保護委員會發布數位服務法與一般資料保護規則相互影響指引「歐洲資料保護委員會」(European Data Protection Board, EDPB)於2025年9月12日發布《數位服務法》(Digital Services Act, DSA)與《一般資料保護規則》(General Data Protection Regulation, GDPR)交互影響指引(Guidelines 3/2025 on the interplay between the DSA and the GDPR)。這份指引闡明中介服務提供者(intermediary service providers)於履行DSA義務時,應如何解釋與適用GDPR。 DSA與GDPR如何交互影響? 處理個人資料的中介服務提供者,依據處理個資的目的和方式或僅代表他人處理個資,會被歸屬於GDPR框架下的控制者或處理者。此時,DSA與GDPR產生法規適用的交互重疊,服務提供者需同時符合DSA與GDPR的要求。具體而言,DSA與GDPR產生交互影響的關鍵領域為以下: 1.非法內容檢測(Illegal content detection):DSA第7條鼓勵中介服務提供者主動進行自發性調查,或採取其他旨在偵測、識別及移除非法內容或使其無法存取的措施。指引提醒,中介服務提供者為此採取的自發性行動仍須遵守GDPR要求的處理合法性,而此時最可能援引的合法性依據為GDPR第6條第1項第f款「合法利益」(legitimate interests)。 2.通知與申訴等程序:DSA所規定設通報與處置機制及內部申訴系統,於運作過程中如涉及個資之蒐集與處理,應符GDPR之規範。服務提供者僅得蒐集履行該義務所必須之個人資料,並應確保通報機制不以通報人識別為強制要件。若為確認非法內容之性質或依法須揭露通報人身分者,應事前告知通報人。同時,DSA第20條與第23條所規範之申訴及帳號停權程序,均不得損及資料主體所享有之權利與救濟可能。 3.禁止誤導性設計模式(Deceptive design patterns):DSA第25條第1項規範,線上平台服務提供者不得以欺騙或操縱其服務接收者之方式,或以其他實質扭曲或損害其服務接收者作出自由且知情決定之能力之方式,設計、組織或營運其線上介面,但DSA第25條第2項則宣示,線上平台提供者之欺瞞性設計行為若已受GDPR規範時,不在第25條第1項之禁止範圍內。指引指出,於判斷該行為是否屬 GDPR 適用範圍時,應評估其是否涉及個人資料之處理,及該設計對資料主體行為之影響是否與資料處理相關。指引並以具體案例補充,區分屬於及不屬於 GDPR 適用之欺瞞性設計模式,以利實務適用。 4.廣告透明度要求:DSA第26條為線上平台提供者制定有關廣告透明度的規範,並禁止基於GDPR第9條之特別類別資料投放廣告,導引出平台必須揭露分析之參數要求,且平台服務提供者應提供處理個資的法律依據。 5.推薦系統:線上平台提供者得於其推薦系統(recommender systems)中使用使用者之個人資料,以個人化顯示內容之順序或顯著程度。然而,推薦系統涉及對個人資料之推論及組合,其準確性與透明度均引發指引的關切,同時亦伴隨大規模及/或敏感性個人資料處理所帶來之潛在風險。指引提醒,不能排除推薦系統透過向使用者呈現特定內容之行為,構成GDPR第22條第1項的「自動化決策」(automated decision-making),提供者於提供不同推薦選項時,應平等呈現各項選擇,不得以設計或行為誘導使用者選擇基於剖析之系統。使用者選擇非剖析選項期間,提供者不得繼續蒐集或處理個人資料以進行剖析。 6.未成年人保護:指引指出,為了符合DSA第28條第1項及第2項所要求於線上平台服務中實施適當且相稱的措施,確保未成年人享有高度的隱私、安全與保障,相關的資料處理得以GDPR第6條第1項第c款「履行法定義務」作為合法依據。 7.系統性風險管理:DSA第34與35條要求超大型在線平台和在線搜索引擎的提供商管理其服務的系統性風險,包括非法內容的傳播以及隱私和個人數據保護等基本權利的風險。而指引進一步提醒,GDPR第25條所設計及預設之資料保護,可能有助於解決這些服務中發現的系統性風險,並且如果確定系統性風險,根據GDPR,應執行資料保護影響評估。 EDPB與其他監管機關的後續? EDPB的新聞稿進一步指出,EDPB正在持續與其監管關機關合作,以釐清跨法規監理體系並確保個資保護保障之一致性。後續進一步的跨法域的指引,包含《數位市場法》(Digital Markets Act, DMA)、《人工智慧法》(Artificial Intelligence Act, AIA)與GDPR的相互影響指引,正在持續制定中,值得後續持續留意。
美國網路安全暨基礎設施安全局(CISA)發布《工控資安基礎:適用於擁有者與營運者的資產清冊指引》美國網路安全暨基礎設施安全局(CISA)於2025年8月13日發布該機關與美國、澳洲、加拿大、德國、荷蘭、紐西蘭等國共計八個國安資安相關機構,合作訂定之《工控資安基礎:適用於擁有者與營運者的資產清冊指引》文件,旨在針對易受惡意網路行為攻擊且提供重要服務的能源、水務、製造業及其他領域關鍵基礎設施營運技術(Operational Technology,OT)系統,協助其資產擁有者與營運者建置與維護完整的OT資產清冊,並輔以OT分類體系(Taxonomy)。 OT資產清冊範圍涵蓋組織OT系統與相關軟、硬體,該指引主要說明OT資產擁有者與營運者建置與維護OT資產清冊的流程,包含: 1. 定義清冊範疇與目標(Define Scope and Objectives) 2. 辨識資產及蒐集屬性資料(Identify Assets and Collect Attributes) 3. 建立分類體系(Create a Taxonomy to Categorize Assets) 4. 管理與蒐集資料(Manage and Collect Data) 5. 實現資產全生命週期管理(Implement Life Cycle Management); 此外透過OT分類體系可幫助區分優先序、管理所有OT資產,有助於風險識別、漏洞管理,以及資安事件應變;有關如何建立OT分類體系,該指引亦提供流程建議如: 1. 根據功能及關鍵性執行資產分類(Classify Assets) 2. 對資產功能類型與其通訊路徑進行分類(Categorize (Organize) Assets and their Communications Pathways) 3. 建構體系架構與互動關係(Organize Structure and Relationships) 4. 驗證資產清冊資料準確度與圖像化(Validate and Visualize) 5. 定期檢查並更新(Periodically Review and Update) 該指引認為,建置OT資產清冊並輔以OT分類體系對期望建立現代化防禦架構的擁有者與營運者而言至關重要。透過上述作為,資產擁有者與營運者得以識別其環境中應加以防護及管控的關鍵資產,並據以調整防禦架構,建構相應的資安防禦措施,以降低資安事件對組織任務(Mission)與服務持續性(Service Continuity)的風險與影響。該指引亦強調關鍵基礎設施之OT與IT(資訊技術)部門間之跨部門協作,並鼓勵各產業組織參考指引步驟落實OT資產盤點與分類,以提升整體關鍵基礎設施資安韌性。
西班牙隱私保護專責機構對Google發動刑事制裁程序西班牙隱私保護專責機構「資料保護專員」(Data Protection Commissioner;一般多以其西班牙文縮寫AEPD簡稱之 ),針對Google街景服務(Street View)攝影過程中不當蒐集網路用戶資訊一事,於2010年10月18日對Google發動刑事制裁程序(criminal sanction procedure)。AEPD於其網站上發表聲明,其已經掌握Google涉及五項犯罪活動的證據,其中包括蒐集Wi-Fi用戶資訊並將相關資料傳送回美國等,AEPD已將相關證據資料提交馬德里法院。 Google街景服務提供全球諸多地區的地理圖片,但此一服務也引發人們對於侵犯個人隱私之擔憂。儘管Google先前已多次針對街景攝影車攫取Wi-Fi用戶未經加密訊息之行為進行道歉,但仍有諸多國家對於Google是否違反內國隱私保護法規展開調查。 此次AEPD採取法律行動前,事實上西班牙網路用戶權利協會已就相同問題Google提起訴訟,而西班牙法院亦於今年8月展開調查。AEPD對外表示,一旦法院認定Google犯罪情事屬實,各個犯罪行為將可處以6萬至60萬歐元之罰金。無獨有偶,加拿大政府亦於10月19日認定Google收集Wi-Fi用戶資料之舉動,屬於違法行為。