美國擴大綠色科技與溫室氣體減量專利訴審領航方案

　　英國數位文化媒體與體育部於2018年3月8日公布「安全設計：促進IoT用戶網路安全（Secure by Design: Improving the cyber security of consumer Internet of Things）」報告，目的在於讓物聯網設備製造商於製程中即採取具有安全性之設計，以確保用戶之資訊安全。此報告經英國國家網路安全中心(National Cyber Security Centre, NCSC)、製造商及零售商共同討論，並提出了一份可供製造商遵循之行為準則（Code of Practice）草案。 　　此行為準則中指出，除設備製造商之外，其他包含IoT服務提供者、行動電話軟體開發者與零售商等也是重要的利益相關人。 　　其中提出了13項行為準則： 不應設定預設密碼（default password）； 應實施漏洞揭露政策； 應持續更新軟體； 應確保機密與具有安全敏感性的資訊受到保護； 應確保通訊之安全； 應最小化設備可能受到網路攻擊的區域； 應確保軟體的可信性； 應確保設備上之個資受到妥善保障； 應確保系統對於停電事故具有可回復性； 應監督設備自動傳輸之數據； 應使用戶可以簡易的方式刪除個人資訊； 應使設備可被容易的安裝與維護； 應驗證輸入設備之數據。 　　此草案將接受公眾意見至2018年4月25日，並規劃於2018年期間進一步檢視是否應立相關法律與規範，以促進英國成為領導國際之數位國家，並減輕消費者之負擔並保障其隱私與安全權益。

　　歐洲資料保護委員會（European Data Protection Board, EDPB）於2021年1月18日發布《個資侵害通知範例指引》（Guidelines 01/2021 on Examples regarding Data Breach Notification）草案，並進行為期六週之公眾諮詢。該指引針對2017年10月所發布之《個資侵害通知指引》（Guidelines on Personal data breach notification under Regulation 2016/679）透過案例分析進行補充說明，對於資料控制者如何識別侵害類別以及評估風險提出更詳細的實務建議，協助資料控制者處理資料外洩及風險評估考量因素之認定。 　　個資侵害係指違反安全性規定而導致傳輸、儲存或以其他方式處理之個資，遭意外或非法破壞、遺失、變更、未獲授權之揭露或近用之情形，由於個資事故將對資料主體可能造成重大不利影響，該指引首先要求資料控制者進行侵害類別之辨識，依據2017年指引將個資侵害分為機密性侵害（confidentiality breach）、完整性侵害（integrity breach）以及可用性侵害（availability breach）。而資料控制者最重要的義務在於主動識別系統漏洞，評估侵害對資料主體權利所產生之風險，制定適當計畫及程序採取適當因應措施，確定侵害事件之問題根因及安全漏洞，加強員工認知培訓及制定操作手冊，並確實記錄各項侵害行為，以提升個資事故因應效率及降低時間延誤。 　　此外，該指引彙整自GDPR實施以來個資侵害通知具體案例，分為勒索軟體攻擊、資料外洩攻擊、內部人為風險、硬體設備或紙本檔案失竊、誤發郵件以及電子郵件內容外洩，共六大主題十八件案例，針對不同程度風險提供最典型的正確及錯誤作法，並提出資料控制者有關預防潛在攻擊及減輕影響之措施建議。

　　有關在網路販售仿冒品所透過之網路交易平台業者是否應負法律責任之問題，歐盟法院（Court of Justice of the European Union）於2011年7月12日針對L’oreal v. eBay案作出判決，認為如eBay之網路交易平台業者應為平台使用者之商標侵權行為負責。 　　國際知名化妝品品牌L’oreal 於2007年對eBay提出多項商標侵權之控訴，L’oreal認為eBay沒有適當的管控阻止其交易平台使用者之商標侵權行為，其包括在交易平台上販售仿冒品及非賣品，進行平行輸入販售非給歐盟市場流通之商品給位在歐盟會員國之人，以及購買網路關鍵字廣告協助交易平台使用者找到仿冒L’oreal品牌之商品，但eBay認為其適用歐盟電子商務指令（EU E-Commerce Directive）下之有關網路服務業者之免責條款。 　　歐盟法院之判決認為，網路交易平台業者若有扮演主動的角色，對仿冒商品之販售資料有掌控或知曉，則歐盟電子商務指令之免責條款應不適用，另外，若網路平台交易業者雖然沒有扮演主動的角色，但知道在其交易平台有商標侵權之販售行為但並沒有採取任何阻止行動，則網路平台業者也無法享有上述之免責權。同時，歐盟法院也認為各國法院應可以要求網路交易平台業者採取動作停止及防止交易平台使用者之侵權行為。

淺談創新應用服務（OTT）之創新與規範課題 科技法律研究所 法律研究員　蔡博坤 2015年05月26日 　　隨著資通訊科技快速的發展，例如網際網路、雲端運算、智慧聯網、巨量資料、4G/5G等等，創新應用服務（Over-the-top, OTT）已逐漸包含各種基於網際網路之服務與內容。此科技應用的服務應如何在現行法律規範體系下被論及，其本身以及衍生的議題復為何，均為所欲介紹的核心，本文係以美國作為觀察之對象，希冀對於我國未來在OTT領域之法制有所助益。 壹、美國FCC對於創新應用服務（OTT）的態度觀察 　　在美國，聯邦通訊委員會（Federal Communication Commission, FCC）係美國境內主管電信與通訊領域聯邦層級的主管機關，對於網際網路上之新興應用服務，為鼓勵新興技術的發展，一向以避免管制為原則，也因此一些OTT TV或VoIP之商業模式，近年來無論係在美國境內抑或境外，皆有著長足的發展。另一方面，隨著科技快速變遷，FCC亦與時俱進持續透過公眾諮詢，尋求是否有調整相關定義，抑或擴張規範管制之必要。例如，2014年12月，FCC發布一個法規修訂公開意見徵集的通知（Notice of Proposed Rulemaking, NPRM），希冀更新目前於1934年通訊法（Communications Act of 1934）下之相關規範，以反映目前透過網際網路所提供的影音服務，特別將更新對於Multichannel Video Programming Distributor（MVPD）一詞定義。 貳、關鍵之法制課題 　　由於FCC在創新應用服務（OTT）領域市場管制者（market regulator）的角色乃至關重要，同時，提供此應用服務的業者，無論係電信業者還是新興科技業者，其彼此間相互且複雜之法律關係，所衍生之法制議題，實有必要探討以及釐清，謹就兩個層面的問題概述如下： 　　關於第一個層次網路中立（Net Neutrality）的議題，從相關案例實務判決觀察，2014年2月，美國有線寬頻業者Comcast即以頻寬有限資源，以及確保網路流量充足的理由，說服Netflix服務營運商，同意因此付費給Comcast，而雙方所進行之合作，也引起所謂網路中立性的爭議課題。今（2015）年2月，FCC於最新通過的Open Internet Order，有別於過往命令僅能有限度地適用於行動網路服務業者（mobile broadband），新的命令將能全面性地適用於固網以及行動網路業者，反應近年來在無線寬頻網路科技之快速進展，將擴張保護消費者近取網際網路的方式。 　　其次，觀察目前美國境內OTT的業者，包括Now TV、Netflix、Ditto TV、Whereever TV、Hulu、Emagine、myTV等，均有建置整合平台，俾利提供消費者新型態的商業服務，從知名Netflix公司所建構的平台政策，相關重要的規範課題包含資料的蒐集、處理與利用，也提到對於安全性的重視與兒少保護等。在相關隱私權議題面向，其指出，由於使用者得通過不同的媒介透過網際網路近取相關服務，誠是些來源皆有各自獨立之隱私權聲明、注意事項與使用規約，除了提醒用戶應盡相關的注意義務外，相關衍生的責任亦會予以劃清。 參、簡評 　　從上述可得知，創新應用服務（OTT）整體之發展，係與網際網路（Internet）相關推動工作係一體的，因此，我國未來如欲推動OTT相關創新服務，相關網際網路所衍生的議題，例如網路中立等，勢必將成為重要的法制層面所亟需探究之課題。 　　在我國，如同美國聯邦通訊委員會（FCC）角色之行政主管機關係國家通訊傳播委員會（NCC），在主管的法令中，目前依據電信法相關規範，電信事業應公平提供服務，除另有規定外，不得為差別處理（第21條）;無正當理由，第一類電信事業市場主導者不得對其他電信事業或用戶給予差別待遇，抑或不得為其他濫用市場地位或經主管機關認定之不公平競爭行為（第26-1條）。 　　相關法律條文規範是否可因此援引作為討論創新應用服務（OTT）之法源基礎，復如何調和第一類電信事業市場主導者與新興應用服務科技業者之關係，仍存在著灰色地帶。從鼓勵產業創新之觀點出發，謹初步建議從正面的立場，鼓勵相關創新應用發展，宜避免逕就OTT服務過度管制。