Google新版桌面搜尋工具引發隱私權顧慮

簡介〈歐盟提供合格信任服務者依循標準建議〉 資訊工業策進會科技法律研究所 2021年6月25日 壹、事件摘要 　　歐盟於2014年通過「歐盟內部市場電子交易之電子身分認證及信賴服務規章」（簡稱eIDAS規章）[1]，並於2016年7月正式生效。eIDAS規章是在歐盟1999年電子簽章指令[2]的基礎上，進一步建構一個更安全、更具信賴、更易於使用電子簽章的法律框架，以促進整個歐盟跨境間的電子交易環境，進而達到歐盟數位單一市場的目標[3]。 　　eIDAS規章共有六章，其核心包含兩大部分[4]，在第二章中規範了電子識別機制（Electronic Identification），並於第三章中建構一系列電子交易中相關信任服務（Trust Services, TS）的法律架構，包含電子簽章（Electronic signatures）、電子封條（Electronic seals）、電子時戳（Electronic time stamps）、電子註冊傳輸服務（Electronic registered delivery services）、網站認證（Website authentication）。每種信任服務，又可以區分由一般的信任服務提供者（Trust Service Provider, TSP）或由合格信任服務提供者（Qualified Trust Service Provider, QTSP）提供，要成為QTSP必須經各成員國的監督機關授予合格地位後，才能提供該類合格信任服務（Qualified Trust Service, QTS），在eIDAS規章中合格信任服務具有更高的法律效力。譬如，根據eIDAS規章第25條第2項規定，合格電子簽章（qualified electronic signature）與手寫簽章具有同等的法律效力。 　　歐盟網路安全局（European Union Agency for Cybersecurity, ENISA[5]）於2021年3月發布一份報告，提供合格信任服務者依循標準的建議（Recommendations For QTSPs Based On Standards） [6]，給想要申請成為QTSP的業者參考。 貳、重點說明 　　承前所述，eIDAS規章的目的是要建構一個促進跨境、跨產業的電子交易的環境，為弭平各會員國對於電子識別服務的落差，報告中指出，必須透過法律框架（Legal framework）、信賴框架（Trust framework）、標準化框架（Standardisation framework）共同達成，以提升歐盟數位單一市場中企業和消費者的信任，並促進信任服務和產品的使用。 （一）法律框架 　　eIDAS規章中規定了9種QTS的安全要求及其提供者的義務，包括： 1.電子簽章的合格憑證； 2.電子封條的合格憑證； 3.網站認證的合格憑證； 4.合格電子時戳服務； 5.合格電子簽章的合格驗證服務； 6.合格電子封條的合格驗證服務； 7.合格電子簽章的合格維護服務； 8.合格電子封條的合格維護服務； 9.合格電子註冊傳輸服務。 （二）信賴框架 　　其次，eIDAS規章透過事前（ex ante）和事後（ex post）監督的方式，來確保QTSP及其提供的QTS符合eIDAS規章中的法律要求。欲申請成為QTSP須先經過符合性評估機構（Conformity Assessment Body, CAB）的評估，由其出具評估報告後，再由各成員國的監督機關決定是否授予QTSP資格；取得QTSP資格後會受到不定期稽核，且至少每24 個月須再次自費通過CAB評估審核[7]。 （三）標準化框架 　　eIDAS規章中對各項TS的安全要求是採取技術中立（technology-neutral）的態度，並未限定要採用何種特定技術。換言之，TSP可以透過不同的技術達到eIDAS規章中要求的必要安全程度。事實上，歐盟希望在eIDAS規章所建構的法律框架和信賴框架中，透過產業自律，慢慢形成相關的標準共識。 　　歐盟從2009年開始，就由歐洲標準化委員會（European Committee for Standardization, CEN）、歐洲電信標準協會（European Telecommunications Standards Institute, ETSI）等歐盟標準化組織協助擬定和更新電子簽章的相關標準，希望可以建立一個更完整的標準化框架，以解決歐盟跨境使用電子簽章遭遇的問題，至今已經建構出一系列電子簽章和相關信任服務的標準，以滿足國際及eIDAS規章的要求，ETSI/CEN與數位簽章有關的標準包含七個面向。 1.介紹性 　　此類標準主要是關於各類簽章的共通定義、研究、其他關於整體性架構的介紹。 2.簽章的建立與驗證 　　此類標準主要是關於簽章建立及驗證的政策與安全要求、所要遵循的規則和程序、格式、保護剖繪（Protection Profiles, PP）[8]。 3.簽章建立和其他相關設備 　　此類標準主要是與電子簽章產生的設備，以及其他與數位簽章相關服務的設備有關。 4.加密 　　此類標準主要是與簽章的加密有關，譬如金鑰產生演算法（key generation algorithms）和雜湊函數（hash functions）等。 5.支持數位簽章及相關服務的TSP 　　此類標準主要是關於核發合格憑證的QTSP、網站認證憑證的TSP、時戳服務的TSP、提供簽章驗證服務的TSP等。 6.信任應用服務提供者 　　此類標準主要與應用電子簽章提供加值服務的TSP有關，如電子傳輸服務、資料檔案長期保存服務等。 7.信任服務資格提供者 　　此類標準主要與eIDAS規章中信任名單（trusted lists）相關的程序和格式有關[9]。 　　其中，在ETSI/CEN關於數位簽章的標準中，主要與QTSP有關的標準如下： 1.電子簽章的合格憑證（eIDAS規章第28條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-2、EN 319 412-5）。 2.電子封條的合格憑證（eIDAS規章第38條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-3、EN 319 412-5）。 3.網站認證的合格憑證（eIDAS規章第45條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-4、EN 319 412-5）。 4.合格電子時戳（eIDAS規章第42條） 　　ETSI EN 319 421（且要符合EN 319 401）、EN 319 422。 5.合格電子簽章的合格驗證服務（eIDAS規章第33條） 　　ETSI TS 119 441（且要符合EN 319 401）、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 6.合格電子封條的合格驗證服務（eIDAS規章第40條） 　　ETSI TS 119 441（且要符合EN 319 401)、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 7.合格電子簽章的合格維護服務（eIDAS規章第34條） 　　ETSI EN 319 401、TS 119 511、TS 119 512。 8.合格電子封條的合格維護服務（eIDAS規章第40條） 　　ETSI EN 319 401、TS 119 511、TS 119 512。 9.合格電子註冊傳輸服務（eIDAS規章第44條） 　　ETSI EN 319 401、EN 319 521、EN 319 522、EN 319 531、EN 319 532。 參、事件評析 　　從歐盟ENISA的建議可以瞭解，歐盟希望透過介紹歐盟標準化組織所制定的相關電子簽章標準，來引導資通訊廠商申請成為QTSP，提供歐盟企業和使用者更安全、更值得信賴的電子簽章相關服務，以強化使用者的信心，進而促進整個歐盟電子交易的蓬勃發展。 　　近年來，我國企業也積極投入數位轉型，在邁向數位化的過程通常需要由外部的資通訊廠商協助。然而，由於企業對於資通訊技術不熟悉，因此在選擇資通訊廠商時，往往不知道如何判斷其專業能力，或許企業可以參考上述的介紹，以該廠商是否符合歐盟相關標準的要求，作為選擇資通訊廠商的參考依據，以確保資通訊廠商的能力具有一定水準，這樣對於企業數位轉型及進軍歐盟市場會相當有助益。 　　 [1]Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG (last visited Jun. 24, 2021). [2]Directive 1999/93/EC of the European Parliament and of the Council of 13 Dec. 1999 on the a Community Framework for Electronic Signatures, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A31999L0093 (last visited Jun. 24, 2021). [3]參前註1，eIDAS前言(3). [4]中文介紹可參考李姿瑩，〈歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡〉，《科技法律透析》，第31卷第11期，25-32頁，（2019年11月）。 [5]「歐盟網路安全局」原名為「歐盟網路及資訊安全局」(European Union Agency for Network and Information Security)，2019年更改為現名，但該局的英文縮寫仍維持舊稱ENISA。The European Union Agency for Cybersecurity - A new chapter for ENISA, ENISA, https://www.enisa.europa.eu/news/enisa-news/the-european-union-agency-for-cybersecurity-a-new-chapter-for-enisa (last visited Jun. 24, 2021). [6]European Union Agency for Cybersecurity [ENISA], Recommendations for Qualified Trust Service Providers based on Standards (2021), https://www.enisa.europa.eu/publications/reccomendations-for-qtsps-based-on-standards (last visited Jun. 24, 2021). [7]參前註1，eIDAS規章第20條。 [8]保護剖繪是指申請者依共同準則規章（common criteria, CC）製作之資通安全產品安全基本需求文件，可提供資通安全產品開發者開發產品之依據。〈常見問題/Q02.何謂保護剖繪?〉，國家通訊傳播委員會，https://ise.ncc.gov.tw/faq（最後瀏覽日：2021/06/24）。 [9]參前註1，eIDAS規章第22條第2項、第4項。

　　看準消費者利用網路就其各別消費經驗進行評論的商機，不少業者紛紛提供專門作為消費評論的網路平台服務，例如美國最大評論網站yelp以及臺灣的「愛評網」等評論網站。然而，消費者若在網路上就其消費經驗對特定商家發表負面評論，難免對於商家的商譽或營業表現造成影響，因此部分商家試圖利用各種手段避免消費者於熱門評論網站中發表負面評論。最常見的手段為商家藉由其與消費者間的契約中加入「禁止負面評論約款」（Nondisparagement Clause），向發表負面評論的消費者或經營評價網站的業者主張其契約上的權利，但該作法也導致消費者與商家間的法律層出不窮。 　　較為人所知的爭議案例為，一間位於紐約市的酒店因至該酒店參加婚宴的顧客於Yelp等評論網站上留下諸多負面評價，該酒店即依據契約向使用場地舉辦婚宴的新婚夫妻， 以每一則負面評價500美元為計，收取一筆高額的賠償金。另有較特別的案例為，紐約市有一名牙醫師於其與診所病患間的契約中明訂授權約款，將任何病患可能於就診後作成的負面評價，以著作權授權的方式授予該名牙醫師，而該名牙醫師復以被授權人的身分，依據該契約向Yelp等消費評價網站主張刪除網站上針對其所營診所的相關負面評價。 　　因應愈來愈多的商家藉各種手段試圖限制消費者在熱門評價網站上發表負面的消費經驗或評論，加州議院於2014年9月正式表決通過並由該州州長簽署，於民法中增訂第1670.8條（California Civil Code §1670.8）之規定，使消費者發表消費評論之自由能夠受到更完整的保障。依據該法之規定，消費者有權對其所消費商品或服務的出賣人、出租人或其受僱人與代理人發表陳述（statement）；若任何契約禁止或限制消費者發表與其消費經驗相關評論之權利，則該契約應屬無效。總檢察長(Attorney General)以下的檢察官或個案消費者可透過民事程序向違反該法律規定者起訴，法院最高可以將行為人處以初犯2500元美金以及累犯每次5000美元的罰款。 　　馬里蘭州議會亦於2016年2月表決通過於該州《商業法》（Commercial Law）中增訂14.1325條（MD. Comm. Law gcl. §14.1325），該州法規定與上述加州州法同樣保障消費者對其消費經驗加以評論之權利，且違反該法的行為人除了將負擔1000美元及累犯每次5000元美金的罰款之外，若構成輕罪(misdemeanor)則可能被處以一年以下的拘禁，且得併科1000美元罰金。 　　除了上述二州對保障消費者消費評論的法制加以強化之外，美國國會也正在進行相關的立法工作。聯邦參議院於2015年12月表決通過《2015年消費者評論自由法》（Consumer Review Act of 2015），該法案（H.R.2110, 114th Cong. (2015-2016)）目前於聯邦眾議院的「工商業與貿易委員會」（Subcommittee on Commerce, Manufacturing, and Trade）中待審。該部聯邦法除了將使任何禁止或限制消費者以任何方法評論商品或服務的契約效力歸於無效之外，更禁止商家與消費者約定移轉任何關於消費經驗評論的智慧財產權。

　　國際智慧財產權的檢索、查詢，幫助技術、競爭的情報蒐集，是企業能夠規劃出智財布局的優先前提。日本特許廳為提升「專利商標查詢平台」（J-PlatPat）之功能及查詢便利性，規劃就現有平台機能進行擴充，預計在2019年5月時，全面改版完成。特許廳本次J-PlatPat的改版，主要更新或擴充項目包括：將設計專利及商標於審查、審判階段之文件納入可查詢之範圍，並縮短資料上傳時間，使相關文件於上傳隔日即可查詢；增加商標存續狀態之呈現，並增加已廢止商標之檢索；採用人工智慧進行翻譯，提升翻譯品質等；亦針對關鍵字、搜尋結果排序、圖面之運用、設計專利之圖面呈現方式進行優化。 　　改版後之專利、商標檢索系統便利性，大幅提升，使用上亦毋需支付任何費用。日本特許廳J-PlatPat（https://www.j-platpat.inpit.go.jp/）是個免費的資源，我國企業、學界的智財實務工作者可善加運用此平台，更有效率地達成技術和競爭情報檢索，在專利、商標的國際性競爭中勝出。

　　連結稅（link tax）並非政府稅捐，而是網路業者以連結方式擷取新聞內容提供予他人，應向新聞業者協議取得授權，並支付適當費用的俗稱。針對網路業者擷取使用或彙整他人的新聞（例如Google News），導致發布該新聞之新聞業者實際獲得的點擊率與網路流量減少的情形，為了平衡新聞業者與網路業者間的利益，歐盟於2019年通過施行的歐盟數位單一市場著作權指令（The Directive on Copyright in the Digital Single Market）中，訂定網路業者應向新聞業者取得著作使用之授權協議，包含網路業者應與新聞業者分享一定比例之收益。 　　本條文於草案階段即備受爭議，草案條文（第11條）甚至包含使用超連結（hyperlink）的行為在內，而引發網路業者與使用者的反彈，並戲稱支付使用超連結的費用為繳交超連結稅。而最後通過的條文（第15條），則排除了非商業使用的個人、使用超連結或是僅單詞或簡短摘錄的情形，並將新聞業者的權利限於發表後的兩年以內，且不溯及適用指令施行前發表的新聞。 　　德國跟西班牙分別於2013年及2014年立法賦予新聞業者類似的權利，但結果顯示新聞業者對於網路業者的依賴，可能還遠大於網路業者擷取新聞業者內容所獲得的利益。法國於2019年7月完成將歐盟著作權指令內國法化，Google也因此調整其擷取政策，除非新聞業者主動完成對擷取內容範圍限制與授權的設定，Google將刪除全部擷取內容；連結稅能否保障新聞業者對其所發布新聞的相關權利，並平衡新聞業者與網路業者間的利益，仍有待觀察。