美國聯邦上訴法院認定,美國政府不得強取境外伺服器資料
微軟在美國政府索要用戶郵件的一起官司中獲得勝訴。美國政府第二巡迴上訴法院裁決,如果資料是儲存在美國境外伺服器,則不為美國聯邦政府的令狀效力所及。
這件訴訟案源於2013年的一起涉外毒品案件中,紐約區法院發布了一項搜查令,要求微軟提供公司一名用戶的郵件和相關訊息。然而因為有些資料是存放在微軟公司在愛爾蘭的伺服器,因此微軟爭辯說郵件本身是儲存在愛爾蘭的,因此不應受到美國政府令狀效力所及。2014年聯邦地方法院再次要求微軟提供郵件內容——但微軟上訴到了聯邦第二巡迴法院。
美國聯邦第二巡迴法院在判決中,認定基於《儲存通訊記錄法》(Stored Communications Act:SCA/下稱SCA)規定美國政府得以令狀要求連結網路使用者資料的規定並不適用於境外。法院所持理由為:
1. SCA規定搜索票/扣押票之核發應符合美國聯邦刑事訴訟法之相關規定,而美國聯邦刑事訴訟法第41條即規定搜索票/扣押票應由搜索/扣押標的物所在地之法院核發並交由該地或國內他地執法人員執行。
2. 法院曾於2010年之MORRISON ET AL. v. NATIONAL AUSTRALIA BANK LTD. ET AL.案判決理由中指明,如國會立法時認為某法規可能或必須有域外效力,應以明文定之,而SCA條文中並無任何規定寫明該法可於境外適用之。
3. SCA在第2703條所使用之搜索票/扣押票(warrant)一字,源自美國憲法增修條文第四條,即規定美國政府對其國內人民為搜索扣押時應以搜索票/扣押票(warrant)為之,且SCA更刻意以不同條款及不同強度區分搜索票/扣押票(warrant)與傳票(Subpoena),立法者之用意顯然是希望能以前者提供使用者更高度的隱私保護。 這是美國首例企業對獲取境外資料的政府搜查令提起上訴的案件,審判結果影響著美國法律界對於執法機關是否能就存放在世界上其他國家的美國用戶資料,進行合法調查。
吳柏凭
法律研究員 編譯整理
The New York Times, Nick Wingfield and Cecilia Kang, Microsoft Wins Appeal on Overseas Data Searches(2016年7月14日), http://www.nytimes.com/2016/07/15/technology/microsoft-wins-appeal-on-overseas-data-searches.html?_r=0(最後瀏覽日:2016年10月18日)
The Wall Street Journal, Devlin Barrett and Jay Greene, Microsoft Wins Appeals Ruling on Data Searches(2016年7月14日),http://www.wsj.com/articles/microsoft-wins-appeals-ruling-on-data-searches-1468511551(最後瀏覽日:2016年10月18日)
日本內閣府在2020年7月17日發布「2020年統合創新戰略(統合イノベーション戦略2020,下稱創新戰略2020)」政策文件。創新戰略為內閣府轄下綜合科學技術與創新會議(総合科学技術・イノベーション会議)依據日本科學技術基本計畫,自2018年起固定於每年度發布。其目的係自全球性的觀點出發,提出含括科研創新之基礎研究至應用端的整體性策略。本年度創新戰略著眼於COVID-19疫情流行與世界各地大規模災害頻仍下,日本科研與創新政策所面臨的課題以及應採取的對策,並擴大科研領域,納入人文社會科學。 創新戰略2020指出,因COVID-19疫情影響,醫療體系、社經生活與研發活動皆受到程度不等的衝擊,包含零接觸經濟興起、社交方式改變與實體研究室關閉等。與此同時,美中科技對抗、GAFA數位壟斷爭議、極端氣候與天然災害等國內外情勢變遷快速。在此背景下,日本的首要課題為建構不間斷且強韌的醫療、教育、公共事業等社會服務體系,維繫國內外社會的鏈結。為此,應透過加速數位化,促成創新活動,同時強化研發能量,實現以人為本的「Society5.0」之社會。 基此,創新戰略2020提出了以下四項具體對策: (1)建立足以應對疫情困境、具韌性的社會經濟體系:在公衛醫療體系,進行疫苗與醫療儀器之研發,並運用數位科技傳遞訊息;因應科研創新與產學合作受疫情影響停擺,給予及時資助,如培育年輕創業者、提供推動引導研發補助(開発研究促進助成金,通稱Gap Fund)等;推動教育、研究、物流等各領域的數位化,同時自經濟安全保障的觀點,強化供應鏈韌性。 (2)創新創造:透過官民合作,實踐智慧城市的構想;同時持續推動「STI for SDGs路線圖(STI for SDGsロードマップ)」政策;藉由實踐研究誠信(研究インテグリティ),加強與國際網路合作;另一方面,應發展post 5G與Beyond 5G等前瞻數位基礎技術,並持續建置各領域的資料流通基礎設施。 (3)強化科研與創新之研究能量:建立能充分吸引年輕人才挑戰、進行創新研發的研究環境,同時成立基金以建構世界級的研究基礎設施;以充分活用大學研發成果為目標,檢討智財制度發展的願景;結合人文社會科學領域研究,並活用射月型研發(ムーンショット型研究開発)制度,發展社會問題解決方案。 (4)重要科技發展項目:於基礎技術層次,包含AI、生化科技、量子技術、材料等,對此應優先投入研發、培育相關人才;於應用科學層次,則包含防災、防疫、資安、能源、健康醫療、航太、糧食、農漁產業等。
美國情報體系發布「情報體系運用人工智慧倫理架構」美國國家情報體系(United States Intelligence Community)係於1981年依據行政命令第12333號(Executive Order 12333)所建立,其任務為蒐集、分析與提供外國情報與反情報資訊美國國家領導人,服務對象包含美國總統、執法單位以及軍事單位。其於2020年6月提出「情報體系人工智慧倫理架構」(Artificial Intelligence Ethics Framework for the Intelligence Community),為人工智慧系統與訓練資料、測試資料之採購、設計、研發、使用、保護、消費與管理提出指引,並指出人工智慧之利用須遵從以下事項: 一、於經過潛在風險評估後,以適當且符合目的之方法利用; 二、人工智慧之使用應尊重個人權利與自由,且資料取得應合法且符合相關政策與法規之要求; 三、應於利用程序內結合人類判斷與建立問責機制,以因應AI產品之風險並確保其決策之適當性。 四、於不破壞其功能與實用性之前提下,盡可能確認、統計以及降低潛在之歧視問題。 五、AI進行測試時應同時考量其未來利用上可預見之風險。 六、持續維持AI模型之迭代(Iteration)、版本與改動之審查。 七、AI之建立目的、限制與設計之輸出項目,應文件化。 八、盡可能使用可解釋與可理解之方式,讓使用者、審查者與公眾理解為何AI會產出相關決策。 九、持續不定期檢測AI,以確保其符合當初建置之目的。 十、確認AI於產品循環中各階段之負責人,包含其維護相關紀錄之責任。
馬來西亞通過修正《個人資料保護法》馬來西亞個人資料保護委員會(Personal Data Protection commissioner,下稱個資保護委員會)於2023年度收受與個人資料(下稱個資)濫用、外洩相關申訴案件數量達779件,成長數量令人憂心。為確保對於個資保護規範能與國際標準發展同步,並加強個資遭洩漏時即時採取應變措施等相關政策,以解決前述憂心狀況,數位部(Ministry of Digital)於2024年7月10日提出《個人資料保護法》(Personal Data Protection Act 2010, PDPA)修正案,並於同年7月16日經下議院(Dewan Rakyat,馬來語直譯)表決通過。 本次PDPA修正重點包含: 1.設立個資保護官(data protection officer, DPO)制度:強制要求蒐集、處理、利用個資之資料控管者(data controller),及受資料控管者委託而實質處理個資之資料處理者(data processor),均需指派個資保護官。 2.擴張對於敏感性個資(sensitive personal data)定義:與個人身體、生理或行為特徵相關之技術處理所生個資(即生物辨識資料),皆屬之。 3.制訂個資外洩通報制度:強制要求發生個資外洩時須通報個資保護委員會,以及可能受到任何重大損害之個資當事人,惟對於「重大損害」尚未有明確定義。 4.導入資料可攜性:在遵守技術可行性(technical feasibility)與資料格式相容性(data format compatibility)之情境下,允許資料控管者之間在當事人要求下進行資料傳輸。 5.資料處理者的合規遵循義務:舊法僅要求資料控管者須遵守PDPA所規定的安全原則(security principle);新法則擴及要求資料處理者亦有安全原則之合規遵循義務。 6.提高罰則:舊法對於違反個資保護原則者,最高僅得處300,000馬幣和/或2年監禁;新法提高罰則最高得處1,000,000馬幣和/或最高3年監禁。 7.跨境傳輸規範修正:原則允許資料控管者將個資傳輸至馬來西亞以外,惟應採取適當措施確認及確保資料接收方保護個資之水準與馬來西亞個資法程度相當;並將跨境白名單制度調整為黑名單制度,不得傳輸至政府公布黑名單所列地區。 馬來西亞數位部本次修正PDPA,彰顯該國政府對個資保護之重視,惟關於任命個資保護官資格要求、個資外洩通報重大程度標準等細部規範,則仍須待修正案通過後,經個資保護委員會發布相關指引再行釐清。