荷蘭音樂檔案交換案判決ISP業者勝訴

　　歐盟十五個會員國為強化對抗恐怖攻擊、跨邊境犯罪及非法遷徙之國際合作，於2007年3月28日提出有關資料分享的立法草案，以期歐盟能夠建立一套資料分享的機制與架構。立法草案明確規範了各成員國就資料保護所應給予的等級，其必須保證個人資料保護必須達到與1980年歐洲理事會（Council of Europe）通過的「保護自動化處理個人資料公約（Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data）」及其於2001年通過的附加議定書相同等級。 　　該立法草案係根據「Prüm條約」而來，其條約簽署背景為2004年馬德里的恐怖組織炸彈攻擊事件，有鑑打擊恐怖攻擊及跨國犯罪之國際合作，歐盟七個會員國於2005年5月27日在德國、比利時及盧森堡邊境的城市Prüm，簽訂了該條約。條約中規定，簽署國之警察及刑事追訴機關執法於恐怖攻擊及跨邊境犯罪時，得向他簽署國處理相關資料之單位請求有關DNA之分析資料、指紋及相關車籍資料。 　　目前，歐盟資料保護監督機構（European Data Protection Supervisor）已背書支持建立該機制與架構，並且聲明表示，該架構之建立，仍應注意資料保護的相關事項，在追求資料分享更為便利的同時，應給予人民更為足夠的保護，再者，資料處理的權責單位對於不同的資料類型，也應以不同的方式處理之，越敏感性的資料越應限制其使用目的，並且讓越少人得以接觸。

新加坡政府於2023年9月4日發布《無形資產揭露框架》（Intangibles Disclosure Framework, IDF），鼓勵企業以系統化的方式，主動對外揭露所持有之「無形資產」（如品牌價值、專利等），使利害關係人（如投資者、合作夥伴等）能進一步瞭解其「無形資產」現況，藉此創造「無形資產」更高的價值。本框架是在「新加坡智慧財產局」（Intellectual Property Office of Singapore, IPOS）及「會計與企業管理局」（Accounting and Corporate Regulatory Authority, ACRA）主導下，由產業代表組成的工作小組歷時2年討論後制定發布。 框架中指出，過去20年間，全球「無形資產」的投資和所創造之價值逐步超過「有形資產」。然而，傳統會計準則往往無法完全真實反映企業所持有之「無形資產」價值，亦即「無形資產」價值往往被低估。因此，本框架鼓勵企業主動揭露，並建議可將「無形資產」現況納入公司年報（Annual Report）中，亦可獨立成一份報告，與公司財報（financial statements）一同發布。 此外，企業在揭露「無形資產」時可依循以下四項原則（簡稱「SIMM原則」）： 1.策略（Strategy）： 企業應揭露「無形資產」與其商業經營策略的關聯性、佈局狀況、貢獻度，使利害關係人瞭解企業是如何利用「無形資產」維持其競爭優勢及替投資者創造更多的收益。 2.識別（Identification）： 本框架指出「無形資產」不用侷限於傳統會計準則的定義，企業應揭露「無形資產」的性質和特徵（包含如何取得），並建議可將「無形資產」分類，如：（1）行銷類；（2）顧客類；（3）契約類；（4）藝術類；（5）技術類；（6）人力資源類。 3.衡量（Measurement）： 企業應揭露其評估（assess）「無形資產」價值的績效指標與驅動因子，並以量化方式呈現。如針對商標等「行銷類」之「無形資產」，企業得以顧客滿意度、國際品牌排名作為評估之績效指標。企業亦可選擇揭露「無形資產」的貨幣價值（monetary value），其評價應依照國際評價準則（International Valuation Standards , IVS）進行。 4.管理（Management）： 企業應揭露其如何識別、評估、管理與各類「無形資產」相關之風險與機會，以及如何將這些程序整合至企業整體風險管理策略中，以協助利害關係人瞭解企業「無形資產」所面臨之風險和機會。譬如企業應明確揭露監控相關風險之頻率、定期更新風險管理政策和程序等。 新加坡總理公署部長（Minister of Prime Minister's Office）Indranee Rajah表示，本框架是「新加坡智慧財產戰略」（Singapore IP Strategy 2030, SIPS 2030）的重要推動措施之一，企業若能主動揭露「無形資產」現況，將有助於將其「無形資產」商業化、吸引更多的投資、增進風險管理、提升企業競爭力，持續強化新加坡作為全球智財活動及交易樞紐的地位。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

於2023年5月22日愛爾蘭資料保護委員會（Ireland's Data Protection Commission, DPC）對於Facebook的母公司Meta將歐盟境內資料傳輸到美國的行為做出開罰12億歐元的決定，並暫停資料跨境傳輸行為，再次引起了各界對於資料跨境傳輸的關注。 針對跨國提供網路服務的企業，如何確保企業處理資料的方式可以符合多國的法規要求，向來是一困難的問題。自從2015年「安全港隱私準則」（Safe Harbour Privacy Principles）被歐盟法院宣告失效後，美國與歐盟試圖就資料跨境傳輸重新達成一個可符合雙方要求的框架，包含2020年被歐盟法院宣告無效的「隱私盾框架」（EU-US Privacy Shield Framework），而2022年3月雙方達成原則性同意的歐盟美國資料隱私框架（EU-U.S. Data Privacy Framework, DPF），惟就美國於同年10月發布用以實施之行政命令（EO 14086），亦於2023年5月被歐洲議會認為對於歐盟境內資料的保護不足。 2023年6月8日英國跟美國共同發布建立英美資料橋（UK-US data bridge）的聯合聲明，以建立起英美之間的資料流動機制，但該英美資料橋是基於歐盟美國資料隱私框架做進一步的擴展，能否符合歐盟對於資料保護的要求，目前尚無法預期。 目前的商業模式中資料跨境傳輸是難以避免的現實困境，各國亦就資料跨境傳輸建立框架，企業需持續關注自身營業所在地之法規變化，以即時因應調整自身管理機制。 本文同步刊登於TIPS網站（https://www.tips.org.tw/）

　　美國上訴法院於八月於判決中指出，電子郵件服務提供者未經使用者同意對於其傳送、接收之電子郵件加以監視，應為犯罪行為，即使服務提供者僅利用使用者經由其伺服器傳送郵件時的自動暫存過程進行監視，亦構成未經使用者同意的「攔截」 (intercept) 行為，違反監聽法 (Wiretap Act) ，而構成犯罪，推翻該國法院過去所建立「電子郵件服務提供者未經使用者同意監視使用者電子郵件通訊，不屬違反監聽法之犯罪行為」的立場。 　　被上訴人 Bradford C. Councilman 是從事珍貴與絕版書籍網路建擋列表服務之 Interloc Inc. 的副總裁，該公司給與其顧客含有 "interloc.com" 網域名稱之電子郵件地址作為服務的一部份，並且提供如同電子郵件服務提供者之服務行為，本案起因於 1998 年 Bradford 指示該公司雇員透過修改郵件接收程序之方式，攔截並拷貝所有服務使用者與其競爭對手亞馬遜網路書店 (Amazon.com) 間的電子郵件通訊，亦即，所有來自 Amazon.com 的信件到達伺服器時，由於程式的運作，該信件於寄至使用者信箱前會先行複製，由 Interloc 公司員工加以閱讀。 　　本上訴法院之判決，乃針對電子郵件的傳送是否屬於監聽法中所謂的電子通訊 (electronic communication) 以及該公司之行為是否構成「攔截」皆作成肯定之解釋，對於電子郵件使用者隱私權之保護有指標性的影響。