荷蘭音樂檔案交換案判決ISP業者勝訴

全球最大搜索引擎 Google公司於去年12月中宣布，已與美國紐約公共圖書館以及哈佛大學、史丹福大學、密西根大學、牛津大學合作，將數百萬冊藏書數位化讓網友免費瀏覽。此一計畫預計花十年時間建構，在2015年啟動，經費約估1億5000萬到2億美元之間 (The Google Print Program)。雖然此一構想極具創意，但是由於將館藏圖書數位化牽涉著作權爭議，因此由125家非營利學術出版機構組成的美國大學出版協會(AAUP)已針對若干疑點去函，希望Google能釐清著作權法上之疑慮，以利整體計劃之推動。 　　AAUP所持最重要依據係美國著作權法第107條有關合理使用之規定。AAUP質疑，以Google如此大規模，就圖書內容性質不加以區分，全面性的圖書數位化工程，恐怕無法符合著作權法所訂出的合理使用標準。蓋著作權法有關是否符合合理使用之界定標準，是以事實情況及個案之判別方式為主，故無法想像Google如何在未進行個別之判斷前，便能夠概括性的依此而主張其享有合法權利。事實上，Google之主張與法院實務界之認知存在極大落差。 　　此外， Google的數位圖書館計畫在許多細部執行事項上，仍存有許多疑點，導致原先欲加入的AAUP會員，無法確保圖書內容完成數位化後，對於以銷售書籍及授權為主要營收來源之出版社，恐會產生造成市場排擠效果之憂慮。 　　藉由數位技術雖然可以挑戰人類夢想的極限，但過程中涉及的法律層面問題，卻相當程度羈絆了夢想前進的速度。 Google的數位圖書館計劃再次印證了新興技術與現行法規不協調的窘況。就現有事實資料以觀，Google若未能與學術出版商妥善安排著作權引發之爭議，此一計畫未來是否能順利執行，恐怕存有極大疑問。

　　澳洲「競爭和消費者委員會」（Australian Competition and Consumer Commission；以下簡稱ACCC）在今年7月對Google及其廣告主Trading Post Australia提起訴訟，指控Google及Trading Post使所用的關鍵字廣告系統不實誤導網路使用者，構成了欺詐性的商業行為。 　　Trading Post為澳洲當地知名的汽車經銷商，在2005年時，Trading Post向Google購買了名為Kloster Ford和Charlestown Toyota的關鍵字廣告；然而，Kloster Ford和Charlestown Toyota正是Trading Post的競爭對手，當網路使用者在Google的搜尋引擎中鍵入Kloster Ford或Charlestown Toyota文字時，搜尋結果頁面即自動導向Trading Post的網站。 　　ACCC認定Trading Post此種利用競爭對手名稱設定為自身廣告關鍵字之行為，已違反澳洲在1974年頒布的「商業行為法」（Trade Practices Act 1974）第52條及第53條d款規定；ACCC同時認為，Google並未善盡努力在消費者鍵入關鍵字進行搜尋時，將付費廣告鏈結（sponsored links）從基本的搜尋結果頁面中將加區隔，亦有違該法第52條之規定。 　　在ACCC對Google提出控訴之前，Google事實上在各國早已面臨多起類似的訴訟；其中，去年由法國知名品牌Louis Vuitton提起的訴訟中，Google即遭到敗訴。

2025年1月9日美國紐澤西州檢查總長與民權部（Division of Civil Rights, DCR）聯合發布「演算法歧視指引」（Guidance on Algorithmic Discrimination and the New Jersey Law Against Discrimination），指出《紐澤西州反歧視法》（the New Jersey Law Against Discrimination, LAD）亦適用於基於演算法所衍生的歧視。 隨著AI技術日趨成熟，社會各領域已大量導入自動化決策工具，雖然它們能提高決策效率但也增加了歧視發生之風險。指引的目的在於闡述自動化決策工具在AI設計、訓練或部署階段可能潛藏的歧視風險，亦列舉出在各類商業實務情境中常見的自動化決策工具，並說明它們可能會如何產生演算法歧視。以下分別說明《紐澤西州反歧視法》適用範圍，以及與演算法歧視有關的行為樣態。 一、《紐澤西州反歧視法》之適用主體及適用客體 《紐澤西州反歧視法》禁止在就業、住房及公共場所等領域所發生的一切歧視行為，其適用主體相當廣泛，包含但不限於下列對象：雇主、勞工組織、就業仲介機構、房東、房地產經紀人、公共場所之經營或管理者、以及任何教唆或協助歧視行為之個人；而該法之適用客體亦有明確定義，為具有受保護特徵（如性別、族裔、身心障礙等）之自然人或法人。 此外指引特別說明，即便適用主體無意歧視、或其所使用之自動化決策工具係由第三方所開發，只要發生歧視行為依然違反《紐澤西州反歧視法》。這是因為《紐澤西州反歧視法》係針對歧視所帶來的影響進行規範，儘管無意歧視，其所帶來的影響並不一定比故意歧視還要輕微。 二、 歧視行為的三種樣態 1.差別待遇歧視 差別待遇歧視係指適用主體基於受保護特徵而對適用客體施予不同對待。舉例而言，若房東使用自動化決策工具來評估黑人潛在租戶，但不評估其他族裔的潛在租戶，則會因為其選擇性使用自動化決策工具而構成歧視。 2.差別影響歧視 差別影響歧視係指適用主體的政策或行為對適用客體造成不成比例的負面影響，且該政策或行為未能證明具有正當性、非歧視性、或不存在較少歧視性的替代方案，則該政策或行為構成歧視。例如，某商店利用臉部辨識技術來偵測過去曾有偷竊紀錄的顧客，但該系統對配戴宗教頭巾的顧客較容易產生誤判，此亦可能構成歧視。 3.未提供合理調整 合理調整係指身心障礙者、宗教信仰者、懷孕者以及哺乳者，在不會對適用主體造成過度負擔的前提下，得向其提出合理請求，以符合自身的特殊需求。以身心障礙員工為例，若雇主使用了自動化決策工具來評估員工的工作表現（例如監測員工的休息時間是否過長），在未考量合理調整的情況下，該工具可能會過度針對身心障礙員工進而構成歧視。 為減少演算法歧視發生頻率，「演算法歧視指引」特別闡述自動化決策工具可能會出現的歧視行為及歧視樣態。此份指引的另一個意義在於，縱使目前紐澤西州並沒有一部監管AI的專法，但仍可以利用現行的法律去處理AI帶來的種種問題，以利在既有的法律架構內擴充法律的解釋來回應新科技的挑戰，並達到實質管制AI的效果。

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).