德國網路服務提供者(ISP)之第三人侵權行為責任
德國聯邦法院(簡稱:BGH)民事庭於2015/11/26分別在兩件案例中(I ZR 3/14 和 I ZR 174/14)針對網路服務提供者(ISP)責任作出具重大影響力之終審決定。BGH認為即使此侵權網站之內容可在別處被找到,原則上德國ISP仍可阻斷侵權網站之連接。兩案分別由德國音樂集管團體GEMA對德國電信(I ZR 3/14),以及華納、新力、聯合音樂共同對一德國私人電信公司Telefonica O2所提起 (I ZR 174/14),聲明請求法院命令網路連接業者切斷對侵權網站之連接。兩案原告等之聲明分別在一審與上訴審皆被駁回,於是分別上告(Revision)至BGH。
BGH於判決中指出,雖不排除ISP可阻斷對侵權網站之連接可能性,然先決條件在於著作權人需先盡合理的努力(Zumutbaren Anstrenungen),去阻止被保護內容之擴散。而兩案中原告等未盡此義務,故以此為理由駁回上告。BGH課予著作權人盡合理的努力後,才能訴諸此切斷侵權網站連接之最終手段,此可為我國處理網路服務提供者(ISP)之第三人侵權行為責任之參考。
- Bitkom zur Haftung von Internetzugangsprovidern, BITCOM, Nov. 26, 2015
- BGH bestätigt: Sperrung von Piraterie-Webseiten ist grundsätzlich zulässig, GEMA. DE, Nov. 26, 2015
- 此二全文判決仍尚未付梓:Bundesgerichtshof, Dec. 24, 2015
- German court says ISPs may have to block music-sharing sites, REUTERS. COM, Nov. 26, 2015
- Joerg Heidrich, BGH:Internet-Zugangsanbieter können zur Sperrung von Websites verpflichtet warden, HEISE ONLINE, Nov. 26, 2015
- Kolja Schwartz, BGH-Urteil zur Access-Provider-Haftung: Ja zu Sperren-aber als allerletzter Schritt, TAGESSCHAU.DE, Nov. 26,2015
- Bundesgerichtshof zur Haftung von Access-Providern für Urheberrechtsverletzungen Dritter , Bundesgerichtshof , Nov. 26, 2015
吳建興
法律研究員 編譯整理
Bundesgerichtshof zur Haftung von Access-Providern für Urheberrechtsverletzungen Dritter , Bundesgerichtshof , Nov. 26, 2015, http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&Datum=Aktuell&Sort=12288&nr=72928&linked=pm&Blank=1 (last visited, Dec. 24,2015).
Kolja Schwartz, BGH-Urteil zur Access-Provider-Haftung: Ja zu Sperren-aber als allerletzter Schritt, TAGESSCHAU.DE, Nov. 26,2015, https://www.tagesschau.de/wirtschaft/bgh-haftung-provider-101.html (last visited, Dec. 24,2015)
Joerg Heidrich, BGH:Internet-Zugangsanbieter können zur Sperrung von Websites verpflichtet warden, HEISE ONLINE, Nov. 26, 2015, http://www.heise.de/newsticker/meldung/BGH-Internet-Zugangsanbieter-koennen-zur-Sperrung-von-Websites-verpflichtet-werden-3022978.html (last visited, Dec. 24, 2015).
German court says ISPs may have to block music-sharing sites, REUTERS. COM, Nov. 26, 2015, http://www.reuters.com/article/us-germany-ruling-internet-idUSKBN0TF1UJ20151126 (last visited, Dec. 24, 2015).
此二全文判決仍尚未付梓:Bundesgerichtshof, Dec. 24, 2015, http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=pm&Datum=2015&Sort=3&nr=72929&linked=urt&Blank=1&file=dokument.pdf (last visited, Dec. 24, 2015).
BGH bestätigt: Sperrung von Piraterie-Webseiten ist grundsätzlich zulässig, GEMA. DE, Nov. 26, 2015, https://www.gema.de/aktuelles/bgh_bestaetigt_sperrung_von_piraterie_webseiten_ist_grundsaetzlich_zulaessig/ (last visited, Dec. 24, 2015).
Bitkom zur Haftung von Internetzugangsprovidern, BITCOM, Nov. 26, 2015, https://www.bitkom.org/Presse/Presseinformation/Bitkom-zur-Haftung-von-Internetzugangsprovidern.html (last visited, Dec. 24, 2015).
歐洲人權法院(ECtHR)在去年(2012)12月作出一項因封鎖網路而侵害言論自由的判決。該判決認為土耳其政府封鎖整個Google網站的行為,已違反歐洲人權公約第10條關於言論自由之保障。 土耳其法院在2009年審理侮辱有土耳其國父之稱的凱末爾將軍案時,判決封鎖設在Google平台的某網站,但土耳其通訊主管機關(Telecommunications Directorate)向法院建議,因技術上問題,建議封鎖整個Google網域才能達到效果,此舉連帶影響本案上訴人架設於Google平台上的網站也一併遭致封鎖,上訴人在窮盡國內訴訟程序後,進而向歐洲人權法院提告。 歐洲人權法院認為,網路目前已經成為表達言論的一個重要工具與場域,根據歐洲人權公約第10條規定,立法限制言論自由必須明確,以便當事人能夠遵循。但土耳其法令(Law no. 5651)並無可封鎖整個網域之相關規定;此外,亦有證據顯示土耳其政府並未盡告知義務,且該網路平台Google亦無拒絕遵循當地國法令之情形;至於通訊主管機關建議法院封鎖整個Google網域行為,亦違反土耳其法令(Law no. 5651)之授權範圍。因此歐洲人權法院認為土耳其政府已經違反歐洲人權公約第10條規定。 根據歐洲安全與合作組織(Organization for Security and Co-operation in Europe)的調查指出,在2012年土耳其政府至少封鎖了3700個網站,包括YouTube、DailyMotion、Google等知名網站。 而總部設在倫敦的維護言論自由知名組織Article19(取名自世界人權宣言第19條言論自由保障而來)主任Agnes Callamard博士也指出,本案是網路言論自由的重大勝利,尤其是當前各國政府積極尋求各種網路管制手段時,更應注意立法限制言論自由必須具有明確的法源基礎且應有救濟管道,以落實歐洲人權公約保障言論自由之意義。
美國奧克拉荷馬州修正《個資事故通報法》,擴充個資定義範圍並強化通報機制美國奧克拉荷馬州修正《個資事故通報法》,擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定,散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中,且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制,而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項,以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案(Senate Bill 626)[1],修正《個資事故通報法》(Security Breach Notification Act)[2],其目的係為補充現行治理規範之不足,修正重點涵蓋:擴充法定用詞之定義,針對「個人資料」(Personal Information)與「適當防護措施」(Reasonable Safeguards)等條文予以補充與增列;強化個資事故(Breach of the security of a system)之通報機制與設立豁免條款,並釐清與其他法規間之適用關係;以及修訂違法情事之民事裁罰。此外,本次修法亦明定,若機構或個人已採取適當防護措施,得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效,並適用於自該日起所發現、判定或通報之個資事故,相關單位應即早進行法遵準備,以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向,簡要說明如下: 一、擴充法定用詞之定義 (一)個人資料 於現行法規對個人資料之定義下,再增加新資料類別: 1.與驗證碼、存取碼或密碼結合使用時,可用以登入特定個人金融帳戶之專屬電子識別碼(Electronic Identifier)或路由代碼(Routing Code); 2.用以辨識特定自然人之獨特生物特徵資料,例如指紋、視網膜或虹膜影像,或其他具體實體或數位形式之生物辨識資料。 (二)適當防護措施 適當防護措施係指,為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於:進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練,及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後,應於60日內向州檢察總長(Attorney General)提交書面通報,載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民,或事故發生於徵信機構且影響人數未達1,000人,則可免除向檢察總長通報之義務。 此外,本法明確規範,若特定機構已依據其他法律,如《奧克拉荷馬州醫療資安保護法》(Oklahoma Hospital Cybersecurity Protection Act of 2023)或聯邦《健康保險可攜及責任法》(Health Insurance Portability and Accountability Act of 1996)等履行相關通報義務,則視為已符合本法之要求。 三、民事裁罰 本法明定,民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定,以確保裁量之比例原則。裁量情形說明如下: 1.若機構已採行適當防護措施且依法進行事故通報者,得免除民事責任; 2.若未採取適當防護措施,惟仍依規定完成事故通報者,則須負擔實際損害賠償責任並處以最高75,000美元罰鍰; 3.未落實適當防護措施與事故通報法定義務者,最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為,其修正重點包含:擴充個人資料之定義並明定適當防護措施之內容,俾利降低企業法遵成本及法律適用之不確定性;強化事故通報機制並設置合理豁免條款,以確保資訊透明度;於罰則規範中明定民事罰鍰之裁量,應審酌事故規模及是否履行事故通報義務等因素,以符合比例原則。 有鑑於本法修正後所課予之法定義務,建議企業應採行下列因應措施:(1)全面盤點所保有之個人資料,尤應注意新增納管之電子識別碼及生物特徵等資料;(2)檢視並強化現有防護機制,確保符合適當防護措施之要求;(3)建立標準化通報應變程序;(4)強化教育訓練。此外,企業宜定期檢視法規動態,以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).
生命科學領域的企業應透過營業秘密保護其部分創新近期由於營業秘密議題受到重視,引起廣泛討論,美國實務界律師於彭博社法律專欄(Bloomberg Law Practical Guidance)指出生命科學領域的企業不應僅尋求專利的保護,而應考慮透過營業秘密來保護其部分創新,比如:製造技術、分析工具及方法、配方等,並指出保護營業秘密所應採取的具體措施。 在Mayo Collaborative Servs. v. Prometheus Labs一案中,美國最高法院認為診斷方法並非真正的應用,因此不符合可取得專利的資格;在Ass'n for Molecular Pathology v. Myriad Genetics一案中,美國最高法院認為將天然基因分離的技術不符合可取得專利的資格。由上述判決可以發現,生命科學領域的公司能取得專利的範圍被限縮了,因此該領域的企業應考慮透過營業秘密來保護其創新。 營業秘密相對於專利的優勢在於,專利有保護期限,但營業秘密若未公開揭露則能持續受到保護。另外,根據美國專利法(Patent Act),專利保護之客體限於有用且新穎的發明,但營業秘密保護之客體不僅限於此。不過,以營業秘密保護創新同樣存在風險,比如可能面臨前員工、現任員工將其洩露或是由於合作案導致其被竊取的情況等。 為避免上述情況之發生,企業應採取下列措施,包括: 1. 要求員工簽署保密協議,並於協議中具體說明營業秘密之範圍、保密期限,同時確保員工離職時歸還與營業秘密有關的資訊及設備; 2. 將涉及營業秘密的文件標示為機密; 3. 將機密文件及檔案儲存於上鎖的櫃子或受密碼保護的電腦中; 4. 根據員工的職責,僅允許必要的員工存取營業秘密資訊; 5. 對員工進行教育訓練,使其了解哪些資訊被視為營業秘密而不應洩露; 6. 透過監視設備監控保存營業秘密的位置; 7. 與合作單位簽署合作協議時,確保協議中有明確規定哪些資訊被視為營業秘密、分享營業秘密的方式、保密期限、授權的範圍等。 綜上所述,由於可取得專利的範圍被限縮,生命科學領域的企業應考慮透過營業秘密來保護其部分創新。在以營業秘密保護其創新時,應確保有採取與員工簽署保密協議、識別機密、權限控管、教育訓練、與合作單位簽署合作協議等措施。關於前述營業秘密管理措施之重要內容,企業可以參考資策會科法所創意智財中心發布的「營業秘密保護管理規範」,並進一步了解該如何管理,以降低自身營業秘密外洩之風險,並提升其競爭優勢。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
美國勞工部發布「人工智慧及勞工福祉:開發人員與雇主的原則暨最佳實務」文件,要為雇主和員工創造雙贏.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 美國勞工部(Department of Labor)於2024年10月發布「人工智慧及勞工福祉:開發人員與雇主的原則暨最佳實務」(Artificial Intelligence and Worker Well-Being: Principles and Best Practices for Developers and Employers)參考文件(下稱本文件)。本文件係勞工部回應拜登總統2023年在其《AI安全行政命令》(Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence)中對勞工的承諾,作為行政命令中承諾的一部分,本文件為開發人員和雇主制定如何利用人工智慧技術開展業務的路線圖,同時確保勞工可從人工智慧創造的新機會中受益,並免受其潛在危害。 本文件以八項AI原則為基礎,提出最佳實踐作法,其重點如下。 1. 賦予勞工參與權(empowering workers):開發人員和雇主履行各項原則時,應該秉持「賦予勞工參與權」的精神,並且將勞工的經驗與意見納入AI系統整個生命週期各環節的活動中。 2. 以合乎倫理的方式開發AI系統:開發人員應為AI系統建立標準,以利進行AI系統影響評估與稽核,保護勞工安全及權益,確保AI系統性能符合預期。 3. 建立AI治理和人類監督:組織應有明確的治理計畫,包括對AI系統的人類監督機制與定期評估流程。 4. 確保AI使用透明:雇主應事先告知員工或求職者關於AI系統之使用、使用目的及可能影響。雇主及開發人員應共同確保以清晰易懂的方式公開說明AI系統將如何蒐集、儲存及使用勞工的個資。 5. 保護勞工和就業權利:雇主使用AI系統時,除應保障其健康與安全外,不得侵犯或損害勞工的組織權、法定工資和工時等權利。 6. 使用AI以提升勞工技能(Enable Workers):雇主應先了解AI系統如何協助勞工提高工作品質、所需技能、工作機會和風險,再決定採用AI系統。 7. 支援受AI影響的勞工:雇主應為受AI影響的勞工提供AI技能和其他職能培訓,必要時應提供組織內的其它工作機會。 8. 負責任使用勞工個資:開發人員和雇主應盡責保護和處理AI系統所蒐集、使用的勞工個資。