澳洲聯邦法院判決 Kazaa軟體的業者—Sherman Networks敗訴

　　美國總統歐巴馬於2011年12月發布備忘錄（Presidential Memorandum），要求美國聯邦政府應加強「導入節能績效保證專案（Implementation of Energy Savings Projects and Performance-Based Contracting for Energy Savings）」，並宣布未來24個月內最少將投入20億（billion）美元經費，推動聯邦機構採購實施節能績效保證專案，以改善建築物能源效率。基於政策指示，美國能源部（Department of Energy）下屬聯邦能源管理推動機構（Federal Energy Management Program，以下簡稱FEMP），研議規劃配套機制，協助導入「節能績效保證專案（Energy Savings Performance Contract，以下簡稱ESPC）」，更精簡、效率、低成本之實施模式，並助益美國能源技術服務產業（Energy Service Companies，以下簡稱ESCO）發展。 　　美國FEMP於2012年2月公告ESPC採購關於「資金（Financing）」部分之「資訊徵求意見書（Request for Information，RFI）」，廣詢實務各界意見，希望能繼而落實於政府採購規範及契約範本之研議，並協助ESCO業者能更順利取得資金，並協助ESCO業者能更順利取得資金，及降低資金取得成本，如此亦可有利益於所採購導入之聯邦機構。 　　FEMP主要係規劃探討關於ESPC融資資金，最合理且有吸引力之利率，所應考慮各項要件及利率定價模式，並且規劃建立資金協助者之優先名單（Preferred Financiers），以利配套選用。再者FEMP為推動整合，特別探討ESPC跨專案（Project Aggregation (Combining)）時，可能影響資金協助者之融資與財務評估，例如數ESPC專案、數ESCO業者、由同一資金協助者承接，或是數ESPC專案、數實施地點、同一ESCO業者，同一資金協助者，亦或者數ESPC專案、數實施地點、數ESCO業者、但同一政府機構、且同一資金協助者，研析相關影響要件。 　　以及，FEMP並探討ESPC實施「量測驗證（Measurement and Verification），對於取得融資評估過程是否增加複雜影響因素，以及資金協助者對於量測驗證機制，是否認為將增加風險並致更高融資利率，均為重要探討議題。此項意見徵求書，未來將落實於聯邦機構政府採購之實務規範上，相關內容再持續觀察追蹤。

澳大利亞國庫部（Department of the Treasury）於2023年10月11日發布《支付系統管理法》（Payment Systems（Regulation）Act 1998）修正草案，擬擴張法案適用主體，將Apple Pay、Google Pay等數位支付或提供此項支付服務事業納入規範，其目的在於提升企業的開放性及責任，並關注大型科技企業在其中扮演的角色。 本次修正案中，將修改現行支付系統的定義及適用主體，擴大至提供支付服務平臺企業，將被視為金融機構受到拘束，並授權澳大利亞準備銀行（the Reserve Bank of Australia，下稱RBA）監管數位支付平臺。修正草案內容整理如下： 1.重新定義「支付系統」。現行法定義為「透過任何形式或方式促進貨幣流通的系統」，草案則納入非貨幣（non-monetary，如數位貨幣）及提供便利支付服務的支付平臺系統。 2.擴大「參與者」定義。現行法規中參與者僅包含管理、運作支付系統的企業，草案則擴張至與支付價值鏈（payments value chain）具直接或非直接相關連之所有企業。 3.現行規範中，僅RBA在可能涉及使用者財務安全及公共利益（下述）考量時，有指定支付系統的職權，並有權監管該支付系統，包含決定新參與者的加入、訂定制度內參與者應遵守的標準及指引、對相關爭議問題進行仲裁等。修法後國庫部部長（Minister）將擁有相同權力。規範所稱之「公共利益」，指有助提升財務安全、高效率並具有競爭性，且不會導致金融體系風險增加。 4.提高法案中刑事處罰的罰金金額。現行法規授權RBA訂定支付制度之相關標準及指引，若制度內參與者未依標準或指引行事，RBA會提出要求企業為特定行為或不行為之指示，仍未依循可能會科處澳幣5,500元的罰金（約臺幣11萬3千元），修法後將提高至2倍，惟罰金之處罰權最終仍須法院審判決定。 我國針對電子支付產業有電子支付機構管理條例、金融消費者保護法規範，並要求第三方支付服務業者落實洗錢防制法規定，避免淪為洗錢或地下匯兌工具，未來可持續觀察澳大利亞及其他國家對於支付平臺議題之討論及發展趨勢，作為我國評估相應治理措施及手段參考基礎。

　　英國資訊委員辦公室（Information Commissioner’s Office, ICO）於2017年7月公告Royal Free國家健康服務基金信託（Royal Free London NHS Foundation Trust）與Google人工智慧研究室DeepMind之間的資料分享協議，違反資料保護法（Data Protection Act）。 　　該協議之目的在使DeepMind利用Royal Free所提供的醫療資料，開發一款名為Streams的應用程式，透過人工智慧系統分析得知病患惡化之情況，並以手機警示方式通知臨床醫生。由於涉及病患的可識別個人資料且人數多達160萬人，協議的合法性，尤其在資料分享是否經病患同意方面，受到質疑。 　　Royal Free與DeepMind主張因應用程式是直接對病患進行醫療照護，具有病患默示同意（implied consent）之正當基礎，且資料經加密後才傳給DeepMind。惟經ICO調查結果如下： 就資料將被使用作為應用程式測試一事，病患未獲充分告知亦無合理期待； 雖執行隱私影響評估，惟僅於資料傳給DeepMind後才進行，無法發揮事前評估作用； 應用程式尚在測試階段，無法說明揭露160萬病患紀錄的必要性與手段合理性。 　　目前Royal Free已承諾改進以確保其行為合法性。ICO之認定突顯創新不應以「減損法律對基本隱私權保障」作為代價。

「歐洲資料保護委員會」（European Data Protection Board, EDPB）於2025年9月12日發布《數位服務法》（Digital Services Act, DSA）與《一般資料保護規則》（General Data Protection Regulation, GDPR）交互影響指引（Guidelines 3/2025 on the interplay between the DSA and the GDPR）。這份指引闡明中介服務提供者（intermediary service providers）於履行DSA義務時，應如何解釋與適用GDPR。 DSA與GDPR如何交互影響？ 處理個人資料的中介服務提供者，依據處理個資的目的和方式或僅代表他人處理個資，會被歸屬於GDPR框架下的控制者或處理者。此時，DSA與GDPR產生法規適用的交互重疊，服務提供者需同時符合DSA與GDPR的要求。具體而言，DSA與GDPR產生交互影響的關鍵領域為以下： 1.非法內容檢測（Illegal content detection）：DSA第7條鼓勵中介服務提供者主動進行自發性調查，或採取其他旨在偵測、識別及移除非法內容或使其無法存取的措施。指引提醒，中介服務提供者為此採取的自發性行動仍須遵守GDPR要求的處理合法性，而此時最可能援引的合法性依據為GDPR第6條第1項第f款「合法利益」（legitimate interests）。 2.通知與申訴等程序：DSA所規定設通報與處置機制及內部申訴系統，於運作過程中如涉及個資之蒐集與處理，應符GDPR之規範。服務提供者僅得蒐集履行該義務所必須之個人資料，並應確保通報機制不以通報人識別為強制要件。若為確認非法內容之性質或依法須揭露通報人身分者，應事前告知通報人。同時，DSA第20條與第23條所規範之申訴及帳號停權程序，均不得損及資料主體所享有之權利與救濟可能。 3.禁止誤導性設計模式（Deceptive design patterns）：DSA第25條第1項規範，線上平台服務提供者不得以欺騙或操縱其服務接收者之方式，或以其他實質扭曲或損害其服務接收者作出自由且知情決定之能力之方式，設計、組織或營運其線上介面，但DSA第25條第2項則宣示，線上平台提供者之欺瞞性設計行為若已受GDPR規範時，不在第25條第1項之禁止範圍內。指引指出，於判斷該行為是否屬 GDPR 適用範圍時，應評估其是否涉及個人資料之處理，及該設計對資料主體行為之影響是否與資料處理相關。指引並以具體案例補充，區分屬於及不屬於 GDPR 適用之欺瞞性設計模式，以利實務適用。 4.廣告透明度要求：DSA第26條為線上平台提供者制定有關廣告透明度的規範，並禁止基於GDPR第9條之特別類別資料投放廣告，導引出平台必須揭露分析之參數要求，且平台服務提供者應提供處理個資的法律依據。 5.推薦系統：線上平台提供者得於其推薦系統（recommender systems）中使用使用者之個人資料，以個人化顯示內容之順序或顯著程度。然而，推薦系統涉及對個人資料之推論及組合，其準確性與透明度均引發指引的關切，同時亦伴隨大規模及／或敏感性個人資料處理所帶來之潛在風險。指引提醒，不能排除推薦系統透過向使用者呈現特定內容之行為，構成GDPR第22條第1項的「自動化決策」（automated decision-making），提供者於提供不同推薦選項時，應平等呈現各項選擇，不得以設計或行為誘導使用者選擇基於剖析之系統。使用者選擇非剖析選項期間，提供者不得繼續蒐集或處理個人資料以進行剖析。 6.未成年人保護：指引指出，為了符合DSA第28條第1項及第2項所要求於線上平台服務中實施適當且相稱的措施，確保未成年人享有高度的隱私、安全與保障，相關的資料處理得以GDPR第6條第1項第c款「履行法定義務」作為合法依據。 7.系統性風險管理：DSA第34與35條要求超大型在線平台和在線搜索引擎的提供商管理其服務的系統性風險，包括非法內容的傳播以及隱私和個人數據保護等基本權利的風險。而指引進一步提醒，GDPR第25條所設計及預設之資料保護，可能有助於解決這些服務中發現的系統性風險，並且如果確定系統性風險，根據GDPR，應執行資料保護影響評估。 EDPB與其他監管機關的後續？ EDPB的新聞稿進一步指出，EDPB正在持續與其監管關機關合作，以釐清跨法規監理體系並確保個資保護保障之一致性。後續進一步的跨法域的指引，包含《數位市場法》（Digital Markets Act, DMA）、《人工智慧法》（Artificial Intelligence Act, AIA）與GDPR的相互影響指引，正在持續制定中，值得後續持續留意。