歐盟法院判決在歐盟境內網路下載出售之電腦軟體適用權利耗盡原則說明

　　德國聯邦經濟事務暨能源部（Federal Ministry for Economic Affairs and Energy）於2020年1月24日提出反競爭-數位化法草案（GWB-Digitalisierungsgesetz），主要係針對競爭法相關規範進行修正、調適，意在解決數位經濟中濫用市場地位、權力不平衡之問題。因大型數位公司和營運平台往往擁有大量的用戶資料而居於市場優勢支配地位，將阻礙、影響到其他新進公司的整體競爭和創新發展。 　　從而，數位經濟時代的競爭政策需要有適當的競爭規則和監管手段，以便強化有效的市場競爭，本草案進一步擴大德國競爭監管機關（Bundeskartellamt）的職權，目的在嚴格監管濫用市場力量之大型數位公司和平台營運商（如FACEBOOK、GOOGLE等），同時增加競爭對手的市場創新和共享資料存取的機會，確保相關規定與執法達到適當平衡。 　　茲將該草案擬修正之主要內容，重點整理如下： 禁止大型數位公司刻意阻礙用戶將其個人資料移轉至其他數位服務提供者的限制競爭行為－促使用戶更易選擇轉換到其他平台，使德國競爭監管機關在判斷數位公司是否涉及限制競爭行為時，有更明確的介入依據。 提出有關濫用（abuse）的新概念，係針對「在跨市場競爭上具顯著影響」之公司（paramount significance for competition across markets），並賦予德國競爭監管機關新的干預權限－在評估時，德國競爭監管機關不僅會考慮單一市場，也會透過規定的要件檢視整體市場（例如：該公司在一個或數個市場上的主導地位、財力、對資料或其他資源的存取、垂直整合）。若競爭監管機關發現該公司雖尚未在市場上取得主導地位，但依其判斷已經對於跨市場競爭具顯著影響性，除有正當理由外，原則上可以提出命令，並禁止該公司繼續進行特定行為。 提出「中介力量（Intermediation power）」的概念—對於依賴中介者（Intermediaries）（例如多樣化數位平台）提供產品或服務的企業而言，中介者對於控制市場的進入具有一定程度之影響力。由於這種影響力可能遭濫用，因此草案中引入「中介力量」的概念，擴大數位服務提供者市場力量的評估標準，需考量中介者對於市場進入的影響性。 重新定義和擴大關鍵設施原則（Essential Facility Doctrine）之規定—關於是否應強制公司授予對資料的同意存取權及如何規範這種存取權限，存在爭議，為了強化競爭法的存取權，草案擬重新定義和擴大關鍵設施原則的規定，使其他公司可向居於市場優勢地位的企業要求開放資料、網路或其他基礎設施的存取權限以開展業務，否則將阻礙競爭。 濫用相對市場力量（relative market power）原則之擴大適用—現行法雖規範具有相對市場力量之公司不得濫用此地位，但此原則僅適用於對中小型企業的保護。因此，草案希望擴大保護大型公司，避免其受到傳統或數位平台的濫用行為所影響。因為資料的使用對於在數位經濟中提供相關服務、創新和競爭而言相當重要。 賦予競爭監管機關充份權限以避免市場獨占（monopoly）發生—現行法下若已經有一定規模但尚未具主導地位的公司試圖以反競爭行為（anti-competitive manner）引發市場傾銷（tipping of the markets）時，競爭監管機關並無權干預。草案則擬賦予競爭監管機關在公司居於主導優勢地位前介入的權利。又，為因應數位市場變化，並使競爭監管機關可即時介入，草案在程序上擬放寬競爭監管機關為暫時性措施（Interim measures）的要件。 針對企業併購之新規範—擬規範小型公司之連續併購（Successive acquisition）以及「殺手併購」（killer acquisitions）行為，係因現行法對於前者之交易情形並未規範需要通知主管機關，而有致市場壟斷之虞，因此於草案中擬為規範；後者則是考量此惡意的手段係透過阻礙新創公司對其創新產品的研發，以達到避免與收購方自身產品競爭之目的，因此草案擬增訂規範予以限制。 　　該草案目前預計將於2020年下半年通過，使德國競爭監管機關在數位經濟領域針對數位公司和平台營運商的執法上有所變化，後續值得留意。

日本東京地檢署以助長著作權侵害為由，於 7 月 3 日 向東京地方法院對日本知名檔案交換軟體（ P2P ） Winny 的開發者金子 勇提起訴訟，並具體求處有期徒刑一年。這是繼 2004 年 5 月京都地檢署起訴金子 勇後，對同一 P2P 軟體開發者另為起訴的案件。 　　2002 年，東京大學資訊理工學系研究助理金子 勇開發出可供他人使用的分散式 P2P 軟體 Winny ，旋即受到廣大網友的歡迎。使用者透過 Winny ，不僅交換著未經授權的音樂、影片檔案，甚至包括了部份的警方或自衛隊官方文件。而日本各大企業，如日本雅虎、富士通及 NEC 等，也陸續傳出因公司職員使用 Winny 而導致員工及客戶個人資料外洩的事件。 　　 針對 Winny 開發者起訴案件，目前京都地方法院尚未作出判決，而日本東京地方法院已預定於 9 月 4 日 進行公開審判。此外，因應 Winny 所肇致的資安問題，各相關企業也順勢推出可過濾 Winny 的軟硬體設備，如日本京瓷公司（ KCCS ）即於 7 月 10 推出企業網路管理軟體，除可偵測內部電腦是否安裝 Winny 外，亦可阻絕已安裝 Winny 的電腦連接至企業網路。

美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架，美國已有幾州開始透過立法限縮企業資安事件賠償責任，企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準，則於資安攻擊事件所致損害賠償訴訟中，將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料，企業往往投入大量資源打造資安防護架構，惟在現今網路威脅複雜多變的環境下，仍可能受到惡意資安攻擊，導致資料外洩事件發生，導致企業進一步面臨訴訟求償風險，其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任，以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令，讓已實施適當安全維護措施之企業，豁免資安攻擊所致資料外洩之損害賠償責任，佛羅里達州和西維吉尼亞州近期亦提出相似法案，以下介紹兩州法案之重點： 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 （H.B 473: Cybersecurity Incident Liability）[4]，法案納入「安全港條款」（Safe Harbor），當企業遭受資安攻擊致生個資外洩事件，如可證明已遵循產業認可的資安標準或框架，實施適當的資安措施與風險控管機制，則可免於賠償責任，以鼓勵企業採納資安標準或框架。 為適用安全港條款，企業須遵循佛羅里達州資訊保護法（The Florida Information Protection Act），針對資料外洩事件，通知個人、監管機關和消費者，並建立與法案內所列當前產業認可的資安標準、框架，或是特定法令規範之內容具一致性的資安計畫（Cybersecurity Programs）： （一）當前產業認可的資安標準、框架 1. 國家標準暨技術研究院（National Institute of Standards and Technology, NIST）改善關鍵基礎設施資安框架（Framework for Improving Critical Infrastructure Cybersecurity）。 2. NIST SP 800-171－保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A－ 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫（Federal Risk and Authorization Management Program, FedRAMP）安全評估框架。 5. 資安中心（ The Center for Internet Security, CIS）關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟（The Health Information Trust Alliance, HITRUST）通用安全框架（Common Security Framework）[6]。 8. 服務企業控制措施類型二（Service Organization Control Type 2, SOC 2）框架。 9. 安全控制措施框架（Secure Controls Framework）。 10. 其他類似的產業標準或框架。 （二）特定法令規範 企業（entity）如受以下法令規範，亦得適用安全港條款，如法令有修訂，企業應在發布修訂後的一年內更新其資安計畫： 1. 健康保險可攜與責任法（The Health Insurance Portability and Accountability Act, HIPAA）之安全要求。 2. 金融服務現代化法（The Gramm-Leach-Bliley Act）第五章。 3. 2014 年聯邦資訊安全現代化法（The Federal Information Security Modernization Act of 2014）。 4. 健康資訊科技促進經濟和臨床健康法（The Health Information Technology for Economic and Clinical Health Act, HITECH）之安全要求。 5. 刑事司法資訊服務系統 （The Criminal Justice Information Services, CJIS）安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過，但於2024年6月26日遭州長否決[7]，其表示法案對於企業的保障範圍過於廣泛，如企業採取基礎的資安措施與風險控管機制，便得主張適用安全港條款，將可能導致消費者於發生個資外洩事件時，無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會（Florida Cybersecurity Advisory Council）合作，探求法案的替代方案，以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8]，修訂西維吉尼亞法典（Code of West Virginia），增訂第8H章資安計畫安全港條款（Safe Harbor for Cybersecurity Programs），如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫，包含個人資訊和機敏資料的管理、技術和企業保障措施，將能夠於侵權訴訟中，主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素，包含： 1. 企業的規模和複雜性； 2. 企業的活動性質和範圍； 3. 受保護資訊的敏感性； 4. 使用資安防護工具之成本和可用性； 5. 企業可運用的資源。 （一）當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同，另增加： 1 NIST SP 800-76-2個人身分驗證生物辨識規範（Biometric Specifications for Personal Identity Verification）[9]。 2. 資安成熟度模型認證（The Cybersecurity Maturity Model Certification, CMMC）至少達到第2級，並經外部驗證（external certification）。 （二）特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同，另增加：由聯邦環境保護局（Environmental Protection Agency, EPA）、資安暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）或北美可靠性公司（North American Reliability Corporation）[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11]，其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好，但也可能遭濫用而帶來不當影響，例如TikTok等大型國際企業，如在違背公民意願情況下共享個人資料時，將免於訴訟，恐有損其公民權益，未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案，內容亦為相似，西維吉尼亞州之法案目前已遭否決，主要係擔心該豁免條款遭到不當濫用；佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量，而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令，有助企業明確遵循與採納，建立與實施資安計畫，惟如何舉證所建立之資安計畫或實施之資安措施，與法案所列之資安標準、框架，或是特定法令規範，具有實質上的一致性，仍不明確，將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障，仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心（ The Center for Internet Security, CIS）為美國非營利組織，負責推動CIS Controls，針對實際發生的資安攻擊行為提供防禦建議，作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源：About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司（North American Electric Reliability Corporation, NERC），為一家非營利機構，致力推動關鍵基礎設施保護相關標準，以強化北美大規模電力系統（亦即電網）的可靠性和安全性，資料來源：https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).

加拿大隱私專員辦公室（Office of the Privacy Commissioner of Canada, OPC）於2026年2月10日，更新《個人資訊保護與電子文件法》（the Personal Information Protection and Electronic Documents Act, PIPEDA）的解釋公告（Interpretation Bulletin），於該解釋公告中OPC將「神經資料」（neural data）與健康、財務、基因及生物識別資料並列，正式納入PIPEDA意義下的敏感資訊（sensitive information）清單中，賦予更高程度的保護。 其中，神經資料被列為敏感資訊的可能原因為以下： 1.深度私密性：神經資料有深度私密性，其可能揭露當事人不自知或不預期揭露的健康狀況、認知狀態或情緒反應。 2.不可變更性：不同於密碼可以重置或信用卡號可以更換，大腦的神經模式一旦外洩無法重置或輕易更換。 神經資料被列為敏感資訊後會有更高程度的保護要求包括： 1.強化同意要求：在加拿大PIPEDA的架構下，資料的敏感性直接決定了蒐集方式。對於神經資料，組織必須獲得更充分且具實質意義的明示同意，不能僅依賴默示同意，為獲得有意義的同意，組織必須嚴格定義使用目的。 2.提升安全防護的等級：法律要求安全防護措施必須與資料的敏感度成正比。由於神經資料被列為高度敏感，組織必須採取較高等級的安全保護措施。 3.風險評估標準：在發生資料外洩時，資料的「敏感性」是評估是否構成「重大損害風險」的關鍵因素。將神經資料列為敏感資訊，意味著涉及此類資料的外洩事件將面臨更嚴格的通報與法律責任。 總結而言，加拿大將神經資料列為敏感資訊，標誌著法律監管從傳統個資延伸到了人類的意識領域，要求相關科技企業在開發監測專注力、疲勞或情緒的消費性產品時，必須承擔與醫療紀錄同等的法律責任與保護義務。