美國聯邦交易委員會提出巨量資料報告,關注商業應用之潛在歧視性效果
美國聯邦交易委員會(Federal Trade Commission, FTC)於2016年1月6日公布「巨量資料之商業應用」報告(Big Data: A Tool for Inclusion or Exclusion? Understanding the Issues),報告中歸納提出可供企業進一步思考之數項議題,期能藉此有助於企業確保巨量資料分析應用之正當合法性,並避免產生排除性或歧視性之對待,但同時亦能透過巨量資料之分析應用為消費者帶來最大的利益。FTC主委Edith Ramirez表示,巨量資料之重要性於商業之各領域均愈發凸顯,其對於消費者之潛在利益自是不言可喻,然企業仍應確保巨量資料之利用不會產生傷害消費者之結果。
「巨量資料之商業應用」報告經徵集公共意見與彙整相關研究後,聚焦於巨量資料生命週期的後端,亦即巨量資料被蒐集與分析之後的利用。報告中強調數種能幫助弱勢群體的巨量資料創新利用方式,例如依病患之生理特性量身訂作並提供醫療照護,或是新的消費者信用評等方式。報告同時也指出可能因為偏見或資料錯誤帶來的風險,像是信用卡發卡銀行降低某人信用額度的原因並非基於該持卡人之消費與還款記錄,而是與該持卡人被歸為「同一類型」之消費者所共同擁有之記錄與特徵。其次,報告對巨量資料於商業領域之利用可能涉及之法規進行了初步盤點,包括公平信用報告法(Fair Credit Reporting Act, FCRA)、與機會平等相關之聯邦立法—像是基因資訊平等法(Genetic Information Nondiscrimination Act, GINA)、以及聯邦交易委員會法,報告也列出7項預擬提問,協助企業因應巨量資料商業利用之法令遵循問題。
本文為「經濟部產業技術司科技專案成果」
王自雄
主任 編譯整理
Federal Trade Commission, Big Data: A Tool for Inclusion or Exclusion? Understanding the Issues, available at https://www.ftc.gov/system/files/documents/reports/big-data-tool-inclusion-or-exclusion-understanding-issues/160106big-data-rpt.pdf (last visited Mar. 7, 2016).
為實現歐洲公民資料一致保護水準之期待,全面革新歐盟各會員國資料保護規範的一般資料保護規則(General Data Protection Regulation, GDPR),已於2016年4月14日由歐洲議會正式通過,且將在2018年5月25日生效,該規則異於資料保護指令(Data Protection Directive,95/46/EC)之處,在於規則無待各會員內國法化,得以直接適用,然而生效前的過渡期間,歐盟各國為因應新修正規則預作準備;近期,法國政府在「數位共和國」(République Numérique)法案中,欲修改現行關於資料保護之法律,如法國資料保護法(Loi Informatique et Libertes Act N°78-17 Of 6 January 1978),以達歐盟資料保護水準。 法國國民議會(Assemblée nationale)於2016年1月一讀通過,參議院(Sénat)隨後在5月提出修正案中第26 條之一(Article 26 bis A),要求個人資料應儲存於歐盟或法國境內的資料中心,同時為符合與歐盟的國際承諾會員國,並禁止個人資料傳輸至非歐盟的第三國,而參議院修法理由是為了確保法國規範符合歐盟資料保護水準,並依據先前歐盟法院關於安全港無效之判決的結果為修訂。 然而,資料在地化條款目前仍不明確,但此規定恐對資料傳輸設下更多限制;雖然在GDPR第23條規範關於各國決定限制權利和義務的範圍,資料傳輸至第三國並不在此列,故為加速修法程序,聯合調解委員會(Commission mixte paritaire)將於近期內審查調整,國民議會和參議院的代表仍能針對此條款提出意見以達成最終共識,後續修法值得關注。
美國參議院提出「2019年物聯網網路安全促進法」草案自2016年Mirai殭屍網路攻擊事件後,物聯網設備安全成為美國國會主要關注對象之一,參議院於2017年曾提出「2017年物聯網網路安全促進法」(Internet of Things Cybersecurity Improvement Act of 2017)草案,防止美國政府部門購買有明顯網路安全性漏洞之聯網設備,並制定具體規範以保護聯網設施之網路安全,然而該法案最終並未交付委員會審議。 2019年4月,美國參議員Mark Warner提出「2019年物聯網網路安全促進法」草案(Internet of Things Cybersecurity Improvement Act of 2019),再度嘗試建立物聯網網路安全監管框架。本法將授權主管機關建立物聯網設備所應具備之安全性條件清單,而該清單將由美國國家標準與技術研究院(National Institute of Standards and Technology)擬定,並由管理與預算局(Office of Management and Budget, OMB)負責督導後續各聯邦機關導入由美國國家標準與技術研究院所制定之網路安全指引。本法草案相較於2017年的版本而言雖較具彈性,惟網路安全專家指出,清單之擬定與執行管理分別交由不同單位主責,未來可能導致規範無法被有效執行,且聯邦各層級單位所需具備之資安防護等級不盡相同,如何制宜亦係未來焦點。
Angie's List起訴Amazon Local侵害營業秘密消費者評論服務Angie's List於本月在印第安納州提起一項聯邦訴訟,對象是Amazon Local。Angie's List作為當地交易網站,提供高達75%的本地服務,包括產品和使用經驗。但Amazon Local員工卻通過註冊成為Angie's List的會員,以獲得其他會員名單和下載網站所提供的文件,也包括其他會員的評論和相關資訊。因此20餘名Amazon Local員工被列為共同被告。 該訴訟聲明中指控相關資訊被Amazon Local所使用,用以在西雅圖建立一個競爭性的服務。Angie's List在訴訟中指稱,他在會員協議“明確禁止使用Angie's List的帳戶和資料用於商業目的”,但Amazon Local員工卻違反了契約。“Amazon Local沒有投入必要的時間,資源和合法手段發展自己的研究與Angie's List競爭,相反的,Angie's List和它的員工都選擇了秘密訪問和挪用Angie's List專有信息的快捷方式。 Angie's List指控Amazon Local違反商業機密,竊盜,侵入電腦,民事侵權,電腦欺詐與濫用盜用行為和違反契約。Angie's List請求法院判決Amazon Local賠償其損失,並禁止Amazon Local再使用Angie's List,包括已經得到的資訊。Angie's List也請求未規定的損害賠償,“不當得利”和懲罰性的和其他損害。
何謂「權利懈怠原則」?美國專利法中,權利懈怠原則係指當事人構成怠於行使權利之情形時,可作為專利侵權之防禦抗辯事由。目前美國專利法282條(b)款(1)項已將權利懈怠抗辯成文法化,聯邦最高法院相關判決之見解認為權利懈怠原則之目的為填補法律缺陷(filling the gap),主要針對法律條文並未明確規範時效時之特殊情況,考量到專利法第286條之規定以及聯邦最高法院曾於2014年Petrella v. Metro-Goldwyn-Mayer一案中判決權利懈怠不得作為美國著作權法第507條(b)款訴訟時效限制之抗辯理由。因此美國專利法上的權利懈怠原則並非訴訟時效限制(statute of limitations),而是侵權賠償時效限制(damage limitations)。此外,不會產生類似衡平禁反言之誤導當事人及造成該方後續損失之結果,基於兩者此一性質不同,也不會直接排除當事人持續權利金之權利資格。