美國聯邦上訴法院認定,美國政府不得強取境外伺服器資料
微軟在美國政府索要用戶郵件的一起官司中獲得勝訴。美國政府第二巡迴上訴法院裁決,如果資料是儲存在美國境外伺服器,則不為美國聯邦政府的令狀效力所及。
這件訴訟案源於2013年的一起涉外毒品案件中,紐約區法院發布了一項搜查令,要求微軟提供公司一名用戶的郵件和相關訊息。然而因為有些資料是存放在微軟公司在愛爾蘭的伺服器,因此微軟爭辯說郵件本身是儲存在愛爾蘭的,因此不應受到美國政府令狀效力所及。2014年聯邦地方法院再次要求微軟提供郵件內容——但微軟上訴到了聯邦第二巡迴法院。
美國聯邦第二巡迴法院在判決中,認定基於《儲存通訊記錄法》(Stored Communications Act:SCA/下稱SCA)規定美國政府得以令狀要求連結網路使用者資料的規定並不適用於境外。法院所持理由為:
1. SCA規定搜索票/扣押票之核發應符合美國聯邦刑事訴訟法之相關規定,而美國聯邦刑事訴訟法第41條即規定搜索票/扣押票應由搜索/扣押標的物所在地之法院核發並交由該地或國內他地執法人員執行。
2. 法院曾於2010年之MORRISON ET AL. v. NATIONAL AUSTRALIA BANK LTD. ET AL.案判決理由中指明,如國會立法時認為某法規可能或必須有域外效力,應以明文定之,而SCA條文中並無任何規定寫明該法可於境外適用之。
3. SCA在第2703條所使用之搜索票/扣押票(warrant)一字,源自美國憲法增修條文第四條,即規定美國政府對其國內人民為搜索扣押時應以搜索票/扣押票(warrant)為之,且SCA更刻意以不同條款及不同強度區分搜索票/扣押票(warrant)與傳票(Subpoena),立法者之用意顯然是希望能以前者提供使用者更高度的隱私保護。 這是美國首例企業對獲取境外資料的政府搜查令提起上訴的案件,審判結果影響著美國法律界對於執法機關是否能就存放在世界上其他國家的美國用戶資料,進行合法調查。
吳柏凭
法律研究員 編譯整理
The New York Times, Nick Wingfield and Cecilia Kang, Microsoft Wins Appeal on Overseas Data Searches(2016年7月14日), http://www.nytimes.com/2016/07/15/technology/microsoft-wins-appeal-on-overseas-data-searches.html?_r=0(最後瀏覽日:2016年10月18日)
The Wall Street Journal, Devlin Barrett and Jay Greene, Microsoft Wins Appeals Ruling on Data Searches(2016年7月14日),http://www.wsj.com/articles/microsoft-wins-appeals-ruling-on-data-searches-1468511551(最後瀏覽日:2016年10月18日)
英國為了 減少受到恐怖威脅和犯罪攻擊,於去年底在一讀通過 英國身分證法,預計2008年實施。該法案最具爭議之處是記載資料,包含一些生物辨識 (biometrics) 資料,如指紋、容貌辨識和虹膜掃描等,這些資料將會儲存在國家身分辨識註冊資料庫中。反對身分證法案者認為,儲存這些資料已侵犯個人隱私權。保守黨議員表示,除非內閣能「確實證明」有其必要性,否則將反對身分證法案到底。 現行持有英國護照並不需要更新,但在2008年後想要申請更新或換發護照時,就必須遵守新的規定,也引發另一爭議問題~費用過高。倫敦政經學院的報告認為,每個人的新版身分證所需的技術成本,實際需要約 300英鎊;而登錄生物辨識資訊所需要的掃描器,就需要花4000英鎊;另外,所登錄的資訊判讀性會隨著時間而降低,至少得每五年重新掃描換發。
歐盟最高法院宣佈2006歐盟資料保留指令無效歐盟最高法院認為,2006歐盟資料保留指令(EU data retention directive)授權各會員國以法律要求電信業或網際網路服務供應商保留人民通信及網路活動數據資料長達兩年、並允許提供給執法或安全服務部門(police and security service)的規定,係屬重大侵害隱私生活及個人資料保護兩大基本人權,因此宣告該規定無效。該判決起因於澳洲及愛爾蘭民間團體向歐盟法院提出申訴,目前28名歐盟會員國正共同起草新的資料保護法案。 2006歐盟資料保留指令允許電信公司保留個人的ID、通信時間、通信地點及通信頻率。歐盟最高法院判決中表示,雖然肯定該規定對於偵查、追溯重大犯罪有其必要性及正當性,但對保留期間(6個月至2年)欠缺明確的保留標準,而過度侵犯個人隱私生活及未提供適當的個人資料保護措施,並不符合比例原則。 針對此一歐盟最高法院判決的宣示意涵,英國政府發言人表示通信數據的保留對執法部門偵查犯罪及確保國家安全是絕對必要的,若電信公司無法保留並提供給執法部門,很可能危及國安。 無論如何,歐盟最高法院的決定,重新宣告了人民隱私權及個人資料的保護不容國家任意侵犯,國家沒有權力任意的、不加區別的蒐集、保留一般人民的通信資料和網路行動,這是無視且扭曲基本人權的行為。該則判決為歐盟各成員國的資料保留法制開啟了新的里程碑。
美國商務部產業安全局公布「確保聯網車輛資通訊技術及服務供應鏈安全」法規預告美國商務部產業安全局(Bureau of Industry and Security, BIS)於2024年9月23日公布「確保聯網車輛資通訊技術及服務供應鏈安全」(Securing the Information and Communications Technology and Services Supply Chain: Connected Vehicles)法規預告(Notice of Proposed Rulemaking, NPRM),旨在透過進口管制措施,保護美國聯網車供應鏈及使用安全,避免國家受到境外敵對勢力的威脅。 相較於BIS於2024年3月1日公告之法規制定預告(Advanced Notice of Proposed Rulemaking, ANPRM)意見徵詢中的討論,本次法規預告明確指出受進口管制的國家為中國及俄國,並將聯網車輛資通訊技術及服務之定義,限縮於車載資通訊系統、自動駕駛系統及衛星或蜂巢式通訊系統,排除資訊洩漏風險較小的車載操作系統、駕駛輔助系統及電池管理系統。法規預告中定義三種禁止交易型態:(1)禁止進口商將任何由中國或俄國擁有、控制或指揮的組織(下稱「中俄組織」)設計、開發、生產或供應(下稱「提供」)的車輛互聯系統(vehicle connectivity system, VCS)硬體進口至美國;(2)禁止聯網車製造商於美國進口或銷售含有中俄組織所提供的軟體之聯網整車;(3)禁止受中俄擁有、控制或指揮的製造商於美國銷售此類整車。 本次法規預告中亦提出兩種例外授權的制度:在特定條件下,例如年產量少於1000輛車、每年行駛公共道路少於30天等,廠商無須事前通知BIS,即可進行交易,然而須保存相關合規證明文件;不符前述一般授權資格者,可申請特殊授權,根據國安風險進行個案審查。其審查重點包含外國干預、資料洩漏、遠端控制潛力等風險。此外,為提升供應鏈透明度並檢查合規性,BIS預計要求VCS硬體進口商及聯網車製造商,每年針對涉及外國利益的交易,提交符合性聲明,並附軟硬體物料清單(Bill of Materials, BOM)證明。BIS針對此規範是否有效且必要進行意見徵詢,值得我國持續關注。
莫德納提告輝瑞COVID-19疫苗侵害其專利,判決結果或可能影響專利承諾發展莫德納公司(Moderna)於2022年8月26日對輝瑞(Pfizer)/BNT公司提出專利侵權訴訟,主張輝瑞之Comirnaty疫苗侵害其RNA平台技術,引發各界關注,因此舉不僅為兩大COVID-19疫苗藥廠之間之專利戰爭,同時可能引發莫德納違反其專利承諾(Patent Pledge)之疑慮,從而衍生專利承諾效力問題之爭議。 莫德納曾於2020年10月8日於該公司官網上自願承諾:「於大流行繼續的同時,莫德納不會針對那些旨在製造對抗大流行疫苗的公司,主張我們與COVID-19相關之專利」(第一次專利承諾),而後於2022年3月7日,莫德納更改其承諾(第二次專利承諾),永遠不會針對在Gavi COVAX預先市場承諾(Advance Market Commitment, AMC)中之92個中低收入國家、或為這些國家生產疫苗之公司主張莫德納之COVID-19疫苗專利,且前提是生產之疫苗僅用於AMC之92個國家。莫德納對於輝瑞侵權訴訟之聲明亦與更新後之承諾一致,其僅請求2022年3月8日後輝瑞COVID-19疫苗侵害莫德納專利之損害賠償,而未請求2022年3月7日前之損害賠償責任。 惟莫德納單方面更改其專利承諾並提起訴訟之行為仍引發眾多爭議,主要包括莫德納第一次專利承諾是否有法律上之拘束力、後續更改其專利承諾之行為是否有效、這些行為之影響為何等問題。就第一次專利承諾而言,目前有認為其具有法律上之拘束力,其可能可被視為一種「公共授權」(public license)行為,為專利權之書面授權且適用於任何希望接受授權者;退步言之,即使該授權未成立,莫德納基於「承諾禁反言」(promissory estoppel)之法理,亦不能隨意撤回該承諾或追溯撤銷其已授予之權利;且由於第一次承諾中所述之「大流行繼續(while the pandemic continues)」之條件在世界衛生組織未宣告疫情結束之前仍然存續,該承諾應仍繼續有效。惟亦有認為莫德納應得以第二次專利承諾可取代第一次專利承諾,而自2022年3月起主張其專利權者。 本案針對專利承諾之效力引發許多討論,未來於此訴訟案件中法院如何評價莫德納之專利承諾以及對於其效力之認定,亦可能影響現有之專利承諾生態:若企業可任意收回、更改其承諾,並於後續得以訴訟手段提告運用其專利之第三人,或有可能影響公眾對於專利承諾信任或利用意願;而若專利承諾不能任意修改,企業須受自身之承諾嚴格拘束,則未來或許即使社會遭遇危機,企業亦不敢貿然發布專利承諾應對危難。因此,此案後續發展將對整體專利承諾與授權影響重大,值得持續進行關注及了解。