日本產業競爭力強化法內之灰色地帶消除制度

本週西班牙法官判決，認為行為人為私人用途而下載音樂，其行為並非藉以從中獲利，應認其為無罪。 即便，檢察官辦公室及音樂工會呼籲應對此下載音樂並且在郵件及聊天室提供音樂之被告，處以兩年有期徒刑，然而，在此案當中，卻無直接證據證明被告於銷售音樂之過程中獲利。 　　此判決震驚了音樂工會，如此一來，西班牙一千六百萬的網路使用者將可透過網路交換音樂而不會受到處罰。西班牙唱片工會聯盟 Promusicae 表示，他將對此項判決提起上訴。 　　由於歐洲不同的法律規定，關於分享檔案的訴訟也會因不同國家而有極大的差異。然而，大多數的歐洲國家傾向對此處以較高的刑罰。就同為歐盟成員的芬蘭而言，上週便有 22 人因為非法分享電影、音樂遊戲及軟體而被處以 427,000 歐元。 　　至於西班牙此項為個人用途而下載音樂之行為，據其司法院院長指出，則有待立法修正解決。

　　美國聯邦商務部（Department of Commerce, DOC）下之工業及安全局（Bureau of Industry and Security, BIS）於2021年10月20日公布一暫行最終規則（interim final rule），對出口管制規則（Export Administration Regulation, EAR）進行修訂，其於商品管制清單（Commerce Control List）中增訂「可用於監視、間諜活動或其他破壞、拒絕、降低網路及其設備性能之工具」相關之出口管制分類編碼（Export Control Classification Number, ECCN）項目及說明文字，並增訂「授權網路安全出口（Authorized Cybersecurity Exports, ACE）」的例外許可規定（15 CFR §740.22），該暫行最終規則將於2022年1月19日生效。 　　被列入商品管制清單內的項目，原則上即不允許出口（或再出口、於國內移轉，以下同），惟透過ACE之例外許可，使前述項目可出口至大多數國家，僅在下列「再例外」情況需申請出口許可： 出口地為反恐目的地：出口目的地為15 CFR §740補充文件一所列類別E:1和E:2之國家時，須申請出口許可。 出口對象為國家類別D之政府終端使用者（Government end user）：政府終端使用者係指能提供政府功能或服務之國家、區域或地方之部門、機關或實體，當政府終端使用者歸屬於國家類別D時，須申請出口許可。惟若類別D之國家同時被歸類於類別A:6（如賽普勒斯、以色列及台灣），在特定情況下，如為弱點揭露、犯罪調查等目的，出口予該國之電腦安全事件回應小組；為犯罪調查、訴訟等目的，出口可展現資訊系統上與使用者相關、對系統造成危害或其他影響活動之數位製品（digital artifacts）予警察或司法機關；或出口數位製品予前述政府，而該數位製品涉及由美國公司之子公司、金融服務者、民間健康和醫療機構等優惠待遇網路安全終端使用者（favorable treatment cybersecurity end user）擁有或操作資訊系統相關之網路安全事件時，不適用ACE之再例外規定，而不須申請出口許可。 終端使用者為國家類別D:1、D:5之非政府單位：結合上述第二點之說明，不論出口至國家類別D:1、D:5之政府或非政府單位，皆受ACE之「再例外」拘束，而須申請出口許可。僅當出口特定之ECCN網路安全項目予優惠待遇網路安全終端使用者、基於弱點揭露或網路事件回應之目的出口予非政府單位，或對非政府單位的視同出口（deemed export）行為，方不適用再例外規定，而不須申請出口許可。 終端使用者限制：已知或可得而知該物品將在未獲授權之情況下，被用於影響資訊系統或資訊之機密性、完整性或可用性時，須申請出口許可。

　　網路和數位科技正急速翻轉我們的世界，建立「歐盟單一數位市場」(EU Digital Single Market)為歐盟執委會的首要優先政策項目之一，發展健全的單一數位市場可為歐盟增加4,150億之經濟成長，創造數以萬計的新工作機會，實現一個充滿活力的知識型社會。然服務的「上網」仍存在一定程度尚未跨越之障礙；根據調查，超過90%的歐洲人擔憂他們所使用的行動應用程式(apps)沒有經過他們的同意即蒐集其個人資料。使用者對網路服務欠缺信任，產業以及政府亦無法充分透過數位科技工具獲益，因此如何提升人民對於網路服務的信任成為歐盟官方當前重要議題。 　　為解決此問題，歐盟執委會已著手進行個人資料保護法規的改革，針對現行的資料保護法規提出新修法案，主要目標在加強人民於個人資料保護之相關權益，以降低使用者個人隱私遭洩漏的疑慮，此外也將對企業帶來諸多利多。新修法案針對人民權益保障的加強，包括： 1.被遺忘權(A right to be forgotten)：已明文規定於現行歐盟資料保護法規，新修法案將更進一步強化個人被遺忘權的行使－尤其是青少年。對此歐盟理事會表示贊同，但亦強調被遺忘權並非絕對之權利，不應凌駕於言論自由以及新聞自由之上。 2.資料可攜帶權(A right to data portability)：使用者可更輕易的移轉其個人資料於不同的網路服務提供者之間。 3.個資被駭之被告知權：若網路服務提供者發生嚴重個資洩漏事件必須盡快告知主管機關，讓使用者得採取適當措施。 4.個資保護措施優先：強調在服務或產品早期開發階段就應該優先考量個人資料保護措施的設計，取代事後補救的觀念；尤其社交網路服務或行動apps相關服務的開發，隱私默認的設定應為預設之常態。 　　新修法案也包含多項對相關企業有利之措施，例如： 1.一歐陸一法律：企業在歐盟經濟區域遵行單一之歐盟資料保護法規，而非28國不同法規，預估每年可節省23億歐元之遵法成本。 2.單一監管窗口：整合28國主管機關以建立單一對外監管窗口，讓欲經營歐盟市場的企業與主管機關的交涉能更簡單、有效率。 3.參與歐盟市場之企業皆遵守相同標準法規(European rules on European soil)：依現行歐盟法規，設籍於歐盟境內之企業必須遵守比境外企業更嚴格的法規標準，故新修法案極力建立公平競爭環境，經營歐盟市場之企業不論是否設籍於歐盟皆等同對待。 4.簡化繁文縟節之行政規定：新修法案刪除了企業通知主管機關等不必要之繁文縟節要求，此尤其利於中小企業節省行政成本。 5.免除中小企業進行個資影響評估之責任：除非有明確顯見之風險，始課予中小企業個資影響評估之責任。 　　歐盟執委會、理事會與議會於2015年6月開始針對資料保護法規新修法案進行三邊協商，預計於2015年底完成最終之協議。

　　德國與愛爾蘭資料保護局對於資料保護指令所規定個人資料（以下簡稱個資）的處理（process），是否須取得資料當事人明示同意，表示不同的見解。德國資料保護局認為臉書網站所提供之人臉辨識（預設加入）選擇退出（opt out consent）的設定，並不符合資料保護指令（Data Protection Directive）對於同意（consent）的規範，且有違資訊自主權（self-determination）；然而，愛爾蘭資料保護局則認為選擇退出的機制並未牴觸資料保護指令。 　　德國資料保護局委員Johannes Caspar教授表示，預設同意蒐集、使用與揭露，再讓資料當事人可選擇取消預設的作法，其實已經違反資訊自主權（self-determination）。並主張當以當事人同意作為個人資料處理之法律依據時，必須取得資料當事人對其個資處理（processing）之明示同意（explicit consent）。對於部長理事會（Council of Ministers）認同倘資料當事人未表達歧見（unambiguous），則企業或組織即可處理其個人資料的見解，Caspar教授亦無法予以苟同。他認為部長理事會的建議，不但與目前正在修訂的歐盟資料保護規則草案不符，更是有違現行個資保護指令的規定。 　　有學者認為「同意」一詞雖然不是非常抽象的法律概念，但也不是絕對客觀的概念，尤其是將「同意」單獨分開來看的時候，結果可能不太一樣；對於「同意」的理解，可能受到其他因素，特別文化和社會整體，的影響，上述德國和愛爾蘭資料保護局之意見分歧即為最好案例。 　　對於同意（consent）的落實是否總是須由資料當事人之明示同意，為近來資料保護規則草案（The Proposed EU General Data Protection Regulation）增修時受熱烈討論的核心議題。資料保護規則草案即將成為歐盟會員國一致適用的規則，應減少分歧，然而對於企業來說，仍需要正視即將實施的規則有解釋不一致的情況，這也是目前討論資料保護規則草案時所面臨的難題之一。