促進頻譜使用效率--美國啟動獎勵拍賣機制

　　美國「音樂現代化法案」(Music Modernization Act，簡稱 MMA) 於2018年10月由總統川普簽署成為有效法律之後，於今年(2019)9月17日正式對外發布消息，其依照MMA之規定，美國著作權局已於今年7月8日指定由「美國音樂發行協會」(National Music Publishers Association，簡稱NMPA)成立「機械式集體授權組織」(The Mechanical Licensing Collective，簡稱MLC)。NMPA係全美音樂發行商之貿易協會，早於1917年運行至今，現被指定成立MLC，擬於2021年1月正式開始進行全美音樂之「概括授權」(blanket license)，並維運前所未有的「透明化資料庫」，期能對接音樂串流平台，促使音樂作品比對相關著作權之權利人，藉以有效率且準確地支付相關授權金給詞曲創作人和發行人，且串流平台業者只要確實遵守MMA之概括授權與MLC之運作方式，即免於侵權責任MLC之組織體編制與人員名單資訊，亦透明地揭示於官網，其設有MLC董事會(由BMG、SONY、華納音樂等背景之人員擔任)，以及「無人認領授權金監督委員會」、「爭端解決委員會」、「營運顧問委員會」等三個委員會，各委員均由音樂著作權人或詞曲創作等人擔任。 　　MMA立法之初，試圖創設一全新、單一窗口非營利組織，並建置符合現代科技的數位資料庫，來解決音樂授權的痛點。而今MLC即將於後年1月正式運行，在數位時代借力科技，帶領音樂授權邁向新里程碑！

　　開放原始碼協會（Open Source Initiative，簡稱OSI）的新任總裁Russ Nelson在3月2日提出了一項新的提案，希望解決一項重大的問題：開放原始碼授權的擴增問題。亦即，只要符合該組織的10點開放原始碼定義，OSI可提供正式開放原始碼授權（licenses，或稱「許可」）身份。 　　在寄給開放原始碼社群的一份聲明裡，Nelson表示，新的條款規定：授權不可與既有的授權重覆；必需以清楚、簡單，而容易了解的方式撰寫；以及把個人、專案或組織的名稱通通移至隨附的附件中，以便讓授權書可重複使用。 　　 Nelson在接受專訪時表示，新條款要由OSI董事會通過才可生效。董事會成員已經過過該提案，但還未安排好投票的議程。OSI並不打算取消已經通過的授權認證，Nelson表示。他認為，推出「OSI Gold」升級認證應該可達到同樣的效果。他進一步表示，新的條款是否能夠有效減少授權數量，還要看執行是否有力。

　　人工智慧（Artificial Intelligence, AI）的應用，已逐漸滲透到日常生活各領域中。為提升AI運用之效益，減少AI對個人與社會帶來之負面衝擊，英國資訊委員辦公室（Information Commissioner’s Office, ICO）於2019年3月提出「AI稽核框架」（Auditing Framework for Artificial Intelligence），作為確保AI應用合乎規範要求的方法論，並藉機引導公務機關和企業組織，評估與管理AI應用對資料保護之風險，進而建構一個可信賴的AI應用環境。 　　AI稽核框架主要由二大面向所構成—「治理與可歸責性」（governance and accountability）以及「AI特定風險領域」（AI-specific risk areas）。「治理與可歸責性」面向，係就公務機關和企業組織，應採取措施以遵循資料保護規範要求的角度切入，提出八項稽核重點，包括：風險偏好（risk appetite）、設計階段納入資料保護及透過預設保護資料（data protection by design and by default）、領導管理與監督（leadership management and oversight）、政策與程序（policies and procedures）、管理與通報架構（management and reporting structures）、文書作業與稽核紀錄（documentation and audit trails）、遵循與確保能力（compliance and assurance capabilities）、教育訓練與意識（training and awareness）。 　　「AI特定風險領域」面向，則是ICO特別針對AI，盤點下列八項潛在的資料保護風險，作為風險管理之關注重點： 一、 資料側寫之公平性與透明性（fairness and transparency in profiling）； 二、 準確性（accuracy）：包含AI開發過程中資料使用之準確性，以及應用AI所衍生資料之準確性； 三、 完全自動化決策模型（fully automated decision making models）：涉及人類介入AI決策之程度，歐盟一般資料保護規則（General Data Protection Regulation, GDPR）原則上禁止無人為介入的單純自動化決策； 四、 安全性與網路（security and cyber）：包括AI測試、委外處理資料、資料重新識別等風險； 五、 權衡（trade-offs）：不同規範原則之間的取捨，如隱私保護與資料準確性； 六、 資料最少化與目的限制（data minimization and purpose limitation）； 七、 資料當事人之權利行使（exercise of rights）； 八、 對廣泛公共利益和權利之衝擊（impact on broader public interests and rights）。 　　ICO將持續就前述AI特定風險領域，進行更深入的分析，並開放公眾討論，未來亦將提供相關技術和組織上之控制措施，供公務機關及企業組織進行稽核實務時之參考。

　　歐洲數位權利中心（The European Center for Digital Rights，下稱noyb）為提倡網路隱私權、消費者隱私的非營利組織，其於2021年11月12日向奧地利資料保護局（Austrian Data Protection Authority, DSB）投訴Grindr公司，抗議該公司的Grindr應用程式違反歐盟的一般資料保護規範（即General Data Protection Regulation，下稱GDPR）。 　　Grindr是款交友約會軟體，主要的使用者為男同性戀、雙性戀以及跨性別者。使用者註冊帳號時，僅需提供電子郵件信箱帳號及密碼和一些個人基本資料即可。然而，若使用者想了解Grindr公司如何使用其個人資訊時，Grindr公司要求使用者需手持記載其電子郵件的字條，或拿著護照自拍，經該公司確認使用者身分後，才會配合使用者的請求。noyb直言，Grindr公司的認證政策不僅荒謬，更違反了GDPR。 　　 noyb代表一個名為「Hunk_69」的帳號使用者提出投訴，這個帳號因為身分認證失敗而遭到Grindr公司拒絕透露該公司如何使用其個人資料。noyb指出Grindr公司對於使用者提供個人資料的政策前後不一，儘管使用者在使用Grindr交友時可以保持匿名狀態，但在向Grindr公司請求提供個人資料用途時，卻需要提供真實身分。noyb主張Grindr公司已經違反歐盟GDPR第5條（1）©「資料最少化原則」。多數公司多半以「安全理由」要求客戶提供個人資料供其認證，但這樣的要求是不當的，根據奧地利聯邦行政法院、愛爾蘭資料保護委員會（the Irish Data Protection Commissioner, DPC），以及丹麥資料保護局（Danish Data Protection Agency, Datatilsynet）近期裁決見解，認證客戶身分必須個案評估使用者的身分是否有疑慮，而非一概的要求使用者進一步提出個人資料以供公司認證。因此，使用者在Grindr註冊帳號時，既然毋庸提供真實姓名，則Grindr公司於認證使用者身分要求提出真實姓名，實際上是無任何幫助，反而違反了GDPR第5條「資料最少化原則」及第12條（6）規定。 　　noyb創辦人Max Schrems表示，Grindr的設計就是讓使用者保持匿名狀態，因此使用者僅須使用電子郵件信箱和密碼，就可以在Grindr上與人互動，甚至分享最私密的照片，但想要實行GDPR相關權利時，卻須自行揭露身分並提供身分證明。 　　Grindr公司則認為，如果使用者想要實踐GDPR賦予使用者的權利，不願與Grindr分享任何個人資訊，可以刪除Grindr帳號。