美國國會將跟進加州與馬里蘭州 立法禁止商家禁止或限制消費者於評價網站上散佈負面評價
看準消費者利用網路就其各別消費經驗進行評論的商機,不少業者紛紛提供專門作為消費評論的網路平台服務,例如美國最大評論網站yelp以及臺灣的「愛評網」等評論網站。然而,消費者若在網路上就其消費經驗對特定商家發表負面評論,難免對於商家的商譽或營業表現造成影響,因此部分商家試圖利用各種手段避免消費者於熱門評論網站中發表負面評論。最常見的手段為商家藉由其與消費者間的契約中加入「禁止負面評論約款」(Nondisparagement Clause),向發表負面評論的消費者或經營評價網站的業者主張其契約上的權利,但該作法也導致消費者與商家間的法律層出不窮。
較為人所知的爭議案例為,一間位於紐約市的酒店因至該酒店參加婚宴的顧客於Yelp等評論網站上留下諸多負面評價,該酒店即依據契約向使用場地舉辦婚宴的新婚夫妻, 以每一則負面評價500美元為計,收取一筆高額的賠償金。另有較特別的案例為,紐約市有一名牙醫師於其與診所病患間的契約中明訂授權約款,將任何病患可能於就診後作成的負面評價,以著作權授權的方式授予該名牙醫師,而該名牙醫師復以被授權人的身分,依據該契約向Yelp等消費評價網站主張刪除網站上針對其所營診所的相關負面評價。
因應愈來愈多的商家藉各種手段試圖限制消費者在熱門評價網站上發表負面的消費經驗或評論,加州議院於2014年9月正式表決通過並由該州州長簽署,於民法中增訂第1670.8條(California Civil Code §1670.8)之規定,使消費者發表消費評論之自由能夠受到更完整的保障。依據該法之規定,消費者有權對其所消費商品或服務的出賣人、出租人或其受僱人與代理人發表陳述(statement);若任何契約禁止或限制消費者發表與其消費經驗相關評論之權利,則該契約應屬無效。總檢察長(Attorney General)以下的檢察官或個案消費者可透過民事程序向違反該法律規定者起訴,法院最高可以將行為人處以初犯2500元美金以及累犯每次5000美元的罰款。
馬里蘭州議會亦於2016年2月表決通過於該州《商業法》(Commercial Law)中增訂14.1325條(MD. Comm. Law gcl. §14.1325),該州法規定與上述加州州法同樣保障消費者對其消費經驗加以評論之權利,且違反該法的行為人除了將負擔1000美元及累犯每次5000元美金的罰款之外,若構成輕罪(misdemeanor)則可能被處以一年以下的拘禁,且得併科1000美元罰金。
除了上述二州對保障消費者消費評論的法制加以強化之外,美國國會也正在進行相關的立法工作。聯邦參議院於2015年12月表決通過《2015年消費者評論自由法》(Consumer Review Act of 2015),該法案(H.R.2110, 114th Cong. (2015-2016))目前於聯邦眾議院的「工商業與貿易委員會」(Subcommittee on Commerce, Manufacturing, and Trade)中待審。該部聯邦法除了將使任何禁止或限制消費者以任何方法評論商品或服務的契約效力歸於無效之外,更禁止商家與消費者約定移轉任何關於消費經驗評論的智慧財產權。
黃宇良
法律研究員 編譯整理
California Civil Code ,CAL. CIV. CODE §1670.8 (2014), available at: http://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=201320140AB2365
Maryland Commercial Law, MD. COMM. LAW GCL. §14.1325, available at : http://mgaleg.maryland.gov/webmga/frmMain.aspx?pid=billpage&stab=01&id=HB0131&tab=subject3&ys=2016rs
Consumer Review Act of 2015, S. 2044, 114th Cong. (2015), available at: https://www.congress.gov/bill/114th-congress/senate-bill/2044
Consumer Review Act of 2015, H.R.2110, 114th Cong. (2015-2016), available at: https://www.congress.gov/bill/114th-congress/house-bill/2110/actions
英國資訊專員辦公室(Information Commissioner's Office, ICO)於2019年12月20日發布首宗依據歐盟一般資料保護規則(General Data Protection Regulation, GDPR)之裁罰。 本案源於英國藥物及保健產品管理局(Medicines and Healthcare products Regulatory Agency, MHRA)接獲投訴前往倫敦當地一家名為Doorstep Dispensaree Ltd之連鎖藥局進行藥品違規調查,卻意外發現其後院存放大量敏感個資文件,約五十萬個文件檔案皆未做任何資料檔案保護措施,上面更記載名字、地址、出生日期、NHS號碼、醫療資料及處方籤等患者之個人資料,旋即通報英國資訊專員辦公室展開調查。最終英國資訊專員辦公室以該藥局違反歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第5條1項第f款、第24條第1項及第32條,裁罰275,000英鎊。其裁罰理由如下: 一、隱私政策並不符合要求,如未述明蒐集個人資料之類別,未訂定個資保存期限,當事人告知聲明不完備,無當事人權利行使等。 二、無適當安全維護措施 三、涉及敏感性個資,違法情狀嚴重 四、未積極配合調查 五、影響層面甚深,導致該藥局配合之上百家療養院,近千名當事人個資受損害。 此為英國資訊專員辦公室首宗依據歐盟一般資料保護規則確定裁罰之案例且涉及敏感性個資,有其指標性。除此之外,英國航空與萬豪酒店之個資外洩案亦欲依GDPR進行裁罰,實值持續關注後續發展。
德國總理梅克爾敦促歐盟立法允許「資訊追蹤(data tracking)」,以有效打擊恐怖主義2014年7月歐盟法院宣告2006年起施行的「資料保留指令」無效,該指令允許警察機關使用私人通聯記錄,但不允許揭示通訊內容。資料保留指令之所以被歐盟法院廢止,起因於不合乎比例原則及沒有充分的保護措施,該指令規定歐盟成員國必須強制規定電信公司必須保留客戶最近六個月到十二個月的通聯紀錄,不過在歐盟法院廢止指令之前,德國憲法法院在2010年時就已經以違反憲法為由停止執行指令。 惟在2015年1月,伊斯蘭激進主義份子的恐怖攻擊事件,共12人被射殺。因此德國總理梅克爾2015年1月在下議院針對該恐怖事件發表演說,雖因美國的史諾登事件,揭露美國政府大量監聽私人通訊和監視網路流量的行動,而引起了德國人對隱私權保護的關注,但梅克爾表示德國各層級的部會首長都同意有使用私人通聯記錄的需要、使嫌疑犯的通聯記錄能夠被警方用來偵查犯罪,但應該由法律規範資料保留的期間限制,她敦促各界向歐盟委員會施加壓力,重新訂定資料保留指令,使各歐盟成員國能修正國內法律。 歐盟委員會正在評估此法制議題,並考慮向歐盟議會、各成員國、民間團體、執法部門和個資保護組織間建立開放式對話,決定是否有需要訂定新指令;但德國司法部長並不贊成梅克爾擴大監督人民通訊的想法,認為這是過於倉促的行動,而且除了資訊記錄留存外,德國政府也儲存所有媒體資料並限制媒體自由,他認為這並不合適。 目前英國國內保守黨和自由黨現正為新修訂的通訊資料法,為人民隱私權的保護範圍爭論不休,而美國由於近年受到不少駭客攻擊,故美國總統歐巴馬採取與梅克爾相似的立場,希望能擴張執法機關的權力,公開提倡強化美國網路安全相關法規。
英國因應自動駕駛車輛上路,提出新保險責任制度英國政府為達成於2021年使完全無須人為操控的自動駕駛車輛可在英國公路上行駛之目標,提出新保險責任制度。透過自動駕駛和電動車輛法案的提出,將為自動駕駛車輛可合法上路行駛鋪路,從而帶動自動駕駛車輛產業發展。整體而言,一旦此立法正式通過,除了代表英國政府正式樹立自動駕駛車輛的保險框架里程碑外,也象徵英國朝向2021年的目標又更邁進一步。
澳洲數位轉型局12月發布《政府負責任使用人工智慧政策2.0》,以強化公部門之AI風險管理2025年12月初,澳洲數位轉型局(Digital Transformation Agency,下稱DTA)發布《政府負責任使用AI政策2.0》(Policy for the responsible use of AI in Government 2.0),旨在進一步強化公部門在AI的透明度、問責性與風險管理能力,於2025年12月15日生效,取代 2024年9月實施的過渡版本。 一、適用範圍 政策適用於所有非企業型聯邦實體(Non-corporate Commonwealth entities),即不具獨立法人地位、直接隸屬於政府的機關或單位。企業型聯邦實體則被鼓勵自願遵循。政策定位為「補充與強化既有法制」,非另訂獨立規範,因此在實務中須與公務員行為準則、資安規範及資料治理制度併行適用。 二、政策重點 在政策施行的12個月內,適用機關須完成以下要求,以確保落實AI治理架構: (一)制度建置 1. AI 透明度聲明:機關須在政策生效後 6 個月內發布「AI 透明度聲明」,公開 AI 使用方法與現況。聲明中須說明機關風險管理流程、AI 事件通報機制及內外部申訴管道,確保使用過程透明、可追蹤。 2. 人員指定與培訓: 機關須指定制度問責人員(Accountable officials)以及AI使用案例承辦人(Accountable use case owners)。 所有員工皆須進行關於負責任使用AI的培訓,機關並依員工職務權責提供個別員工進階訓練。 3. 建立內部AI使用案例註冊清單(Internal AI use case register),以供後續追蹤 該清單至少包含: (1)使用案例負責人(Accountable use case owners):記錄並持續更新範疇內 AI 使用案例的指定負責人。 (2)風險等級(Risk rating):AI使用案例的風險等級資訊。 (3)異動紀錄:當使用案例的風險評級或負責人變更時,須即時更新清單。 (4)自定義欄位:各機關可根據其需求,自行增加欄位。 (二)AI 使用案例範疇判斷 機關須在評估所有新案例,依以下特徵判斷AI應用是否屬於「範疇內(In-scope)」的應用: 1.對個人、社群、組織或環境造成重大損害。 2.實質影響行政處分或行政決策。 3.在無人工審查的情況下,大眾將直接與AI互動或受其影響。 4.涉及個人、敏感資料等資訊。 (三)進階風險評估 依AI影響評估工具(Impact Assessment Tool)針對公眾近用權;不公平歧視;加重刻板印象;損害人、組織或環境;隱私顧慮;資料敏感之安全顧慮;系統建置之安全顧慮;公眾信任等8類別,加以判斷範疇內AI應用,若有任一類別被評為「高風險」,即判定為「高風險」;若所有類別中最高的分數為「中風險」,則整體判定為中風險。 判定為中、高風險之AI應用,均需進行全面審核。中風險須列出所有中風險項目及其控管措施,主要為內部控管;而高風險則要求向DTA報告,且每年至少進行一次全面審核與風險再評估。 澳洲欲透過發布AI透明度聲明、更新AI使用案例註冊清單、強制執行AI應用之風險評估及人員培訓,確保公部門對AI的負責任使用與問責。而我國企業可參考資策會科法所創意智財中心發布之《重要數位資料治理暨管理制度規範(EDGS)》,落實AI資料管理與追蹤。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)