掀起網路自由與版權衝突的另一場戰爭-Megaupload事件概述
掀起網路自由與版權衝突的另一場戰爭-Megaupload事件概述
科技法律研究所
法律研究員 劉得正
101年06月25日
Megaupload 是著名的線上網路硬碟服務商,提供用戶上傳檔案、藉此分享資料予他人之網路空間。自2005年3月間上線後,迅速累積用戶至1億8千萬,並一度排名全球網站瀏覽量第11名。然而在2012年1月19日卻遭到美國政府強制關閉,相關負責人(包括創辦人KIM DOTCOM)遭到美國司法部起訴,並透過國際合作逕予逮捕。此舉為網路環境投下前所未有之震撼彈。本文以下便針對此一個案提出簡要說明,釐清美國採取行動之依據及考量。
壹、Megaupload起訴依據
根據本案起訴書[1],司法部本次起訴KIM DOTCOM等,主要是認為其觸犯以下規定:
一、「共謀實施著作權侵權」[2]、「著作權侵權刑事處罰規定」[3]-
美國司法部認為Megaupload直接藉由複製、散佈盜版物來賺取利潤,構成對著作權之侵權。因其發現,Megaupload獲利來源主要來自網站上商業廣告之瀏覽量。為了提高廣告瀏覽量,Megaupload規定用戶所上傳文件之存續時間,取決於該文件的下載次數,並鼓勵上傳可長期受到使用者青睞下載的文件。換言之,Megaupload獲利與盜版物之散佈具有直接關連。
其次,司法部發現,Megaupload網站上已使用一種「移除程序」來辨認兒童色情內容,但卻未將此技術應用在移除侵權的內容上,或以其他方式使「移除程式」無法搜尋特定盜版物,顯見Megaupload係故意以散佈盜版物來賺取商業利益,並因此無法適用數位千禧年著作權法案中,對於網路服務提供者之「安全港」條款。
二、「共謀詐欺」[4]與「網路詐欺、教唆及幫助網路詐欺」[5]-
此外,司法部認為,Megaupload網站運作方式,除了構成著作權侵權外,其以組織運作方式進行犯罪,以及透過網路進行犯罪,此等行為已符合「共謀詐欺」及「網路詐欺」 ( Fraud by Wire ) 。同時,Megaupload使用激勵程序來鼓勵用戶上傳「流行」的文件,亦構成教唆及幫助網路詐欺。
三、洗錢防制規定[6]-
最後,美國司法部認為KIM DOTCOM等Megaupload之負責人,有針對上述不法所得再進行金融交易之行為,因此亦違反洗錢防制規定。
貳、Megaupload案目前發展情況
如前所述,美國司法部係透過國際合作,逮捕相關負責人。以創辦人KIM DOTCOM而言,目前仍在紐西蘭政府監管之下,不過近期內,將依美國司法部之請求,召開引渡聽證會,討論是否引渡KIM DOTCOM至美國受審。至於在犯罪調查方面,紐西蘭法院已下令允許美國FBI可從Kim Dotcom電腦中拷貝超過150TB的資料,以作為美國司法部指控Megaupload之訴訟證據[7],相信對於是否得以引渡Kim Dotcom,將帶來一定影響。
參、代結論
Megaupload案之所以造成如此大的風波,主要可從對用戶之影響與對整體網路環境之影響看起。在用戶方面,首要原因在於Megaupload擁有廣大用戶,美國查封Megaupload之結果,造成眾多付費用戶之權益受損,此部分將如何求償,將會是相當大的難題。其次,如前所述,本次紐西蘭法院已容許美國FBI拷貝Megaupload。其中將涉及用戶資料之探知,對此是否有適當的保護措施保障用戶隱私,將是考驗美國政府之另一難題。
至於對整體網路環境面而言,此一事件是首次針對網路平台業者 ( 網路硬碟服務商 ) ,所進行之大規模跨國查緝行動。眾多網民多形容此舉象徵著作權凌駕網路言論自由的時代已經來臨,未來網路服務業者間勢必將出現所謂的寒蟬效益。然而,有待觀察的是,本次美國司法部起訴之主要依據在於,主張Megaupload係故意利用複製、散佈盜版物,以獲取商業利益,對此美國法院是否能接受此一見解,事實上仍是未定之天。因美國司法部需說服法院,Megaupload並無善盡網路服務業者保護著作權之義務。更重要的是,僅是提供平台之Megaupload,能否被解釋侵權行為人,並非毫無疑慮。
[1]USA v Kim DotCom et al, U.S. District Court, Eastern District of Virginia, no. 1:12CR3
[2]18 U.S.C. § 371 - Conspiracy to Commit Copyright Infringement.
[3]18 U.S.C. §§ 2,2319;17 U.S.C. § 506 - Criminal Copyright Infringement By Electronic Means & Aiding and Abetting of Criminal Copyright Infringement.
[4]18 U.S.C. § 1962(d) - Conspiracy to Commit Racketeering.
[5]18 U.S.C. §§2, 1343 - Fraud By Wire & Aiding and Abetting of Fraud by Wire.
[6]18 U.S.C. § 1956(h) - Conspiracy to Commit Money Laundering.
[7]“FBI told to copy seized Dotcom data”http://www.nzherald.co.nz/technology/news/article.cfm?c_id=5&objectid=10813260 (last visited 2012/06/25)
劉得正
組長 編譯整理
德國聯邦資料保護暨資訊自由官(Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit,BfDI)Ulrich Kelber教授於2020年8月19日指出,2020年7月3日甫由德國議會通過的病人資料保護法(Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur; Patientendaten- Schutzgesetz, PDSG),恐違反歐盟一般資料保護規則(GDPR)。 該法規定自2021年起,健康保險業者必須向被保險人(病人),提供電子病歷(ePA)。而自2022年起,病人有權要求醫生將病人相關資料記錄於電子病歷,包括健檢結果、醫學報告或X光片、預防接種卡、孕婦手冊、兒童體檢手冊、牙科保健手冊等,而被保險人更換健康保險業者時,可要求移轉其電子病歷至新的健保公司。另外,2021年起將可透過手機,下載電子處方並至藥局領取處方藥。2022年1月1日起,將全面強制使用電子處方,病人將可透過智慧手機或平板電腦,決定他人對於電子病歷之近用權限。病人若無手機,可至健保公司查看電子病歷。依照規劃,目前電子病歷的使用仍採自願性。病人可決定保存或刪除哪些資料,以及誰可以近用該文件。自2023年起,被保險人可自願提供電子病歷資料作為研究用途,而因上述研究可處理病人資料之醫師、診所和藥劑師等,有義務確保其資料安全。 BfDI於立法過程中多次強調,在導入電子病歷使用時,病人必須可完全控制自己的資料。而該法規範僅提供病人使用部分設備,例如智慧手機或平板電腦,設定其電子病歷之存取權限,此意謂著將有一段空窗期,病人無法決定其電子病歷中各文件之存取權限。而對於電子病歷中,可否僅開放部分資料供瀏覽或存取,亦受到聯邦資料保護暨資訊自由官質疑。另外,對於無法或不想在手機或平板電腦上使用上述功能的人,本法並未進一步規定,亦即2022年起,上述病人為了能夠檢查或接受醫療,必須強迫病人控制其相關資料,但目前顯然尚缺乏相關配套。此外,以資料保護角度而言,目前電子病歷之認證程序有安全疑慮,尤其是未使用電子健康卡的替代驗證程序尚不夠嚴謹,因此命令相關單位應於2021年5月前完成改善。 電子病歷是對醫療保健改善的重要一步,因此相關健康資料保護需要符合GDPR規範水平。電子病歷雖已逐漸受到認可與重視,惟當前病人資料保護法恐無法完全保護病人資料安全。因此,BfDI將透過監管手段,確保健康保險公司不會因提供電子病歷而違反GDPR。
德國卡爾斯魯爾行政法院(VG Karlsruhe)公布第一個有關DSGVO的判決卡爾斯魯爾行政法院在今年6月7日公布第一個關於歐盟個人資料保護規則(Datenschutzgrundverordnung,DSGVO)的判決。在本案中,原告是一間負責處個人信用資料的民間公司,其依據現行BDSG(Bundesdatenschutzgesetz,聯邦個人資料保護法)的規定來蒐集、保存與傳輸個人資料給第三人。巴登符騰堡邦的主管機關在預見原告將來會違反DSGVO規定的情況下,向原告發出一份行政處分(Verfügung),要求原告必須依照DSGVO的相關規定調整作業流程以符合DSGVO的規範。但原告認為,其只需要在2018年5月24號之後,就相關作業流程符合DSGVO的規範即可。 本案的關鍵在於,主管機關是否已經可以用DSGVO的規定來規範民間企業?因為依據DSGVO第99條的規定,DSGVO現雖已生效,但必須到2018年5月25日才開始適用。 根據BDSG第38條第5項規定,監督機構可以採取必要措施,確保民間企業在收集、傳播和使用個人資料時遵守相關保護規定;且本案中,原告在2018年5月24號後可能會出現的違法情形也已顯而易見,但法院並不同意行政機關可以預先發布行政處分的看法。因為DSGVO雖已生效,但民間企業必須適用的期限仍未屆至。行政機關不得在未有法律授權的情況下,預先規範限制未來的可能違法行為。現行法律對於行政機關的授權範圍必須被嚴格遵守,在DSGVO未開始適用的情況下,目前行政機關仍只能依據BDSG及DSAnpUG(Datenschutzanpassungs- und Umsetzungsgesetz,個人資料保護調整和施行法)的規定,來處理相關的行政措施。
歐洲發展智慧電網對資訊安全與隱私保護之現況歐盟執委會於2011年4月發布的「智慧電網創新發展」(Smart Grids: from innovation to deployment, COM(2011) 202 final),在有關資訊安全與隱私的部分指出,應建立消費者(consumer)隱私的保護規範,促進消費者的使用意願並瞭解其能源的使用狀況;在資訊交換的過程中,亦須保護敏感的商業資訊,使企業(companies)願意以安全的方式提供其能源使用訊息。 歐盟保護個人資料指令(Directive 95/46/EC)是保護個人資料的主要規範,同時也適用在智慧電網個人資料的保護上,但此時則需要去定義何謂個人資料,因為在智慧電網的發展中,有些屬於非個人資料。若為技術上的資訊而不屬於個人資料的範圍,能源技術服務業者(energy service companies)則不須經同意即可讀取該些資訊以作為分析使用。考慮將來廣泛建置智慧電網後,各會員國可能遭遇如何認定是否為個人資料及其保護的問題,因此目前傾向採取「privacy by design」的方式,亦即在系統設計之初,即納入資訊的分類,而不做事後的判斷。 對於此,歐盟執委會於2012年3月發布「智慧電表系統發展準備建議」(COMMISSION RECOMMENDATION of 9.3.2012 on preparation for the roll-out of smart metering systems),對於相關定義、資料保護影響的評估(例如各會員國必須填寫並提交執委會提供的評估表格,且提交後則必須遵循相關規範)、設計時的資料保護及預設(例如在系統設計時一併納入對資料的保護,使之符合資料保護的相關法規)、資料保護的方式(例如會員國必須確保個人資料的蒐集、處理及儲存是適當的並且具有關連性)、資料安全(例如對於資料偶然的或非法的破壞、或偶然的喪失等情形,亦應予以規範)、智慧電表的資訊與透明化(例如在蒐集相關個人資料後,仍應依規範提供資料主體相關的訊息)等方面提出建議,供各會員國於制訂相關規範時的依據。
美國商務部調整《出口管制規則》允許美國企業與華為合作制定5G標準美國商務部工業安全局(Department of Commerce, Bureau of Industry and Security, BIS)於2020年6月15日宣布修改《出口管制規則》(Export Administration Regulations, EAR),調整美國企業和中國大陸華為公司商業往來的相關禁令,允許美國企業和華為合作制定5G標準。國際標準為技術開發的重要基礎,企業在標準制定的參與和領導力,將同步影響5G、自動駕駛、AI及其他尖端技術的未來發展;美國為鞏固全球創新領導地位,積極倡導國內產業參與標準制定成為國際標準,保護國家安全與外交政策利益。雖然華為及其關係企業在2019年5月,因存在重大國家安全風險,被美國商務部列入實體管制清單,禁止美國企業在未獲商務部許可的情況下與華為進行任何業務往來,但此項政策不應妨礙美國企業參與重要的國際標準制定活動。 本次《出口管制規則》補充「一般性暫行核准(Temporary General License)」附錄,允許華為及其68家關係企業在參與國際標準化組織與5G標準制定等特殊情形下,得依據美國行政管理和預算局(Office of Management and Budget, OMB)A-119號通知所制定之標準,取得《出口管制規則》中涉及EAR99或出於反恐原因被列入美國商業管制清單之貨品與技術。代表美國企業毋需取得商務部的暫行核准,也可以在國際標準制定組織中與中國大陸華為等公司分享用於制定5G標準的相關資訊,甚至合作制定5G標準。另外,《出口管制規則》僅在非出於商業目的之合法標準制定情況下,允許美國企業向華為及其關係企業揭露此類技術;若是出於商業目的揭露,仍然須受《出口管制規則》拘束並應保存記錄。