歐盟針對數位革命之法制障礙展開討論

美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架，美國已有幾州開始透過立法限縮企業資安事件賠償責任，企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準，則於資安攻擊事件所致損害賠償訴訟中，將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料，企業往往投入大量資源打造資安防護架構，惟在現今網路威脅複雜多變的環境下，仍可能受到惡意資安攻擊，導致資料外洩事件發生，導致企業進一步面臨訴訟求償風險，其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任，以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令，讓已實施適當安全維護措施之企業，豁免資安攻擊所致資料外洩之損害賠償責任，佛羅里達州和西維吉尼亞州近期亦提出相似法案，以下介紹兩州法案之重點： 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 （H.B 473: Cybersecurity Incident Liability）[4]，法案納入「安全港條款」（Safe Harbor），當企業遭受資安攻擊致生個資外洩事件，如可證明已遵循產業認可的資安標準或框架，實施適當的資安措施與風險控管機制，則可免於賠償責任，以鼓勵企業採納資安標準或框架。 為適用安全港條款，企業須遵循佛羅里達州資訊保護法（The Florida Information Protection Act），針對資料外洩事件，通知個人、監管機關和消費者，並建立與法案內所列當前產業認可的資安標準、框架，或是特定法令規範之內容具一致性的資安計畫（Cybersecurity Programs）： （一）當前產業認可的資安標準、框架 1. 國家標準暨技術研究院（National Institute of Standards and Technology, NIST）改善關鍵基礎設施資安框架（Framework for Improving Critical Infrastructure Cybersecurity）。 2. NIST SP 800-171－保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A－ 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫（Federal Risk and Authorization Management Program, FedRAMP）安全評估框架。 5. 資安中心（ The Center for Internet Security, CIS）關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟（The Health Information Trust Alliance, HITRUST）通用安全框架（Common Security Framework）[6]。 8. 服務企業控制措施類型二（Service Organization Control Type 2, SOC 2）框架。 9. 安全控制措施框架（Secure Controls Framework）。 10. 其他類似的產業標準或框架。 （二）特定法令規範 企業（entity）如受以下法令規範，亦得適用安全港條款，如法令有修訂，企業應在發布修訂後的一年內更新其資安計畫： 1. 健康保險可攜與責任法（The Health Insurance Portability and Accountability Act, HIPAA）之安全要求。 2. 金融服務現代化法（The Gramm-Leach-Bliley Act）第五章。 3. 2014 年聯邦資訊安全現代化法（The Federal Information Security Modernization Act of 2014）。 4. 健康資訊科技促進經濟和臨床健康法（The Health Information Technology for Economic and Clinical Health Act, HITECH）之安全要求。 5. 刑事司法資訊服務系統 （The Criminal Justice Information Services, CJIS）安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過，但於2024年6月26日遭州長否決[7]，其表示法案對於企業的保障範圍過於廣泛，如企業採取基礎的資安措施與風險控管機制，便得主張適用安全港條款，將可能導致消費者於發生個資外洩事件時，無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會（Florida Cybersecurity Advisory Council）合作，探求法案的替代方案，以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8]，修訂西維吉尼亞法典（Code of West Virginia），增訂第8H章資安計畫安全港條款（Safe Harbor for Cybersecurity Programs），如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫，包含個人資訊和機敏資料的管理、技術和企業保障措施，將能夠於侵權訴訟中，主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素，包含： 1. 企業的規模和複雜性； 2. 企業的活動性質和範圍； 3. 受保護資訊的敏感性； 4. 使用資安防護工具之成本和可用性； 5. 企業可運用的資源。 （一）當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同，另增加： 1 NIST SP 800-76-2個人身分驗證生物辨識規範（Biometric Specifications for Personal Identity Verification）[9]。 2. 資安成熟度模型認證（The Cybersecurity Maturity Model Certification, CMMC）至少達到第2級，並經外部驗證（external certification）。 （二）特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同，另增加：由聯邦環境保護局（Environmental Protection Agency, EPA）、資安暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）或北美可靠性公司（North American Reliability Corporation）[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11]，其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好，但也可能遭濫用而帶來不當影響，例如TikTok等大型國際企業，如在違背公民意願情況下共享個人資料時，將免於訴訟，恐有損其公民權益，未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案，內容亦為相似，西維吉尼亞州之法案目前已遭否決，主要係擔心該豁免條款遭到不當濫用；佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量，而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令，有助企業明確遵循與採納，建立與實施資安計畫，惟如何舉證所建立之資安計畫或實施之資安措施，與法案所列之資安標準、框架，或是特定法令規範，具有實質上的一致性，仍不明確，將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障，仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心（ The Center for Internet Security, CIS）為美國非營利組織，負責推動CIS Controls，針對實際發生的資安攻擊行為提供防禦建議，作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源：About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司（North American Electric Reliability Corporation, NERC），為一家非營利機構，致力推動關鍵基礎設施保護相關標準，以強化北美大規模電力系統（亦即電網）的可靠性和安全性，資料來源：https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).

高通案發展趨勢－美國聯邦地院判決與我國公平會和解決定 財團法人資訊工業策進會科技法律研究所 許祐寧 法律研究員 2019年09月10日 壹、前情提要 　　美國高通公司擁有大量標準必要專利（Standard Essential Patent, SEP），並運用三大商業模式（拒絕授權競爭對手、沒授權沒晶片、排他性獨家交易），對於行動通訊市場產生強大影響力，進而引發獨占甚至壟斷市場之疑慮，包括中國大陸、韓國、美國、歐盟等國際競爭主管機關，相繼對高通商業模式展開調查，近期多數國家已做出初步決定。 　　我國部分，2017年10月11日，公平交易委員會（簡稱公平會）以高通濫用市場支配地位，裁罰234億台幣；2018年8月10日，公平會旋即以產業經濟發展為由，與高通達成和解。而近期美國聯邦地方法院，針對美國聯邦貿易委員會（Federal Trade Commission, FTC）控訴高通違反反托拉斯規則作出第一審判決，認定高通商業模式違法並要求改正。本文以下針對我國及美國高通案近來判決走向為分析，提供SEP與反托拉斯法制及產業經濟發展政策面向的相關思考。 貳、我國高通案近來走向 　　2018年8月10日，我國公平會與高通達成訴訟上和解，高通並承諾在臺進行5年產業投資方案。和解內容中，針對手持設備廠，高通應本於善意重新協商授權條款、遵守行動通訊SEP授權之無歧視性待遇，降低整隻授權計價，以維持我國產品的國際競爭力；然而晶片廠部分，高通雖承諾不再簽署獨家交易之折讓約定，但實際上，我國和解案並未改變高通授權模式，高通仍無須授權晶片予競爭對手，商業模式未被打破。[1] 　　對於我國公平會的和解決定，各界有不同意見。立法院於2018年9月的立法院報告指出：「公平會職司管制及維護市場競爭秩序，主要權限在公平法案件之調查、審議及處分等；如確要促進投資、提升產業及技術發展，似應由各該主管機關另循其他途徑」[2]。監察院更於2019年5月21日，對公平會提起糾正，理由為公平會於高通案「過度介入市場機制，且以投資換罰鍰違反不當聯結禁止原則，和解磋商僅4個月完成，歷程倉促，未公開透明」[3]。 　　針對各界意見公平會發表聲明，強調以訴訟和解方式解決爭議，兼顧競爭機制的正常運作及促進產業經濟利益，並提出四項說明：（1）公平會與高通和解，是依法行使行政訴訟法所賦予的權利。（2）公平會為合議制獨立機關，監察院應尊重公平會和解專業判斷。（3）本案和解決定兼顧競爭機制與產業經濟利益。（4）政府將持續監督高通對產業投資方案的執行情況，5年執行期間內持續進行追蹤管考，維護市場競爭機制及廠商權益。[4] 參、美國聯邦地方法院高通案見解 　　2019年5月21日美國加州北區聯邦地方法院對高通案做出判決，認定高通商業模式侵害晶片競爭對手、手持設備廠及終端消費者權益，違反反托拉斯規則，要求七年內完成改正措施：（1）高通必須與客戶重談授權協議，不得以威脅切斷供貨等手段從事不公平競爭。（2）應以公平合理價格向其他競爭晶片廠商授權專利。（3）禁止和蘋果等智慧手機廠商簽訂排他性獨家供貨協議。[5]對此，高通表示不服，認為法院判決將引發「嚴重法律問題」，且法院排除2018年3月截止後的證據（例如蘋果改用英特爾，顯示高通並未箝制市場等），該判決已嚴重影響高通業務之執行，必將積極上訴救濟。[6] 　　針對美國聯邦地方法院判決，亦有不同看法。2019年7月16日美國司法部反托拉斯署對聯邦地院高通案判決發表聲明，以高通仍有勝訴可能為由，請求高通案暫緩執行。首先，聯邦地院判決高通濫用市場地位一案實不利競爭、創新與國家安全，判決容有質疑空間：包括授權金過高與反托拉斯違反間無直接關聯性、FRAND並非強制授權義務、高通並無惡意破壞競爭之行為等。再者，聯邦地院未舉行聽證會，卻要求高通支付鉅額損害賠償金，程序上未有保障。最後，是公共利益考量，美國國防部與能源部亦對此擬具建議文件，共同強調高通在美國5G供應鏈與國家資通訊安全發展的重要性。[7] 肆、評析 　　美國聯邦地院對高通案判決，支持先前美國FTC對高通指控，認定高通商業模式違反反托拉斯法；但美國司法部及相關部會因5G產業發展、中美貿易戰及國家資通訊安全等理由主張應維護高通，高通是否會在美國敗訴進而改變商業模式，重塑全球資通訊產業市場布局，未來仍應被持續關注。 　　至於我國公平會與高通和解部分，最大爭議在於，公平會作為維護市場競爭的獨立機關，何以產業經濟發展為由，逕行與高通達成和解？對此，依據公平交易法第1條，公平交易相關法制的訂定，包含維護交易秩序與消費者利益、確保自由與公平競爭，促進經濟之安定與繁榮等面向；產業經濟發展未嘗不是公平競爭秩序的考量要素之一。 　　另有論者質疑，美國聯邦地院判決，會不會使我國公平會的訴訟和解結果顯得不合理？且各國高通訴訟案部份尚在進行，公平會是否有必要迅速與高通達成和解？反托拉斯案講求市場特性與個案判斷，必須依照各別市場產業模式判斷高通的商業模式是否會侵害市場競爭秩序、剝奪消費者選擇機會。故各國競爭主管機關應依據案件事實與市場競爭進行判斷，結果自有不同不可一概而論。公平會與高通既已達成訴訟上和解，僅代表我國競爭主管機關認定，高通商業模式依照和解條件改正後不致侵害市場公平競爭與消費者權益，並期待以投資產業換取5G研發布局合作機會。未來，依據我國公平會與高通的和解條件，應持續追蹤並督促高通確實履行對臺產業投資方案等相關計畫。[8] [1]〈本會與Qualcomm Incorporated於智慧財產法院合議庭試行和解下，達成訴訟上和解〉，公平交易委員會新聞資料，2018年8月10日，https://www.ftc.gov.tw/internet/main/doc/docDetail.aspx?uid=126&docid=15551（最後瀏覽日：2019/09/23）。 [2]〈公平會處分高通案成立訴訟和解內容所涉權限之研析〉，立法院議題研析，2018年9月4日，https://www.ly.gov.tw/Pages/Detail.aspx?nodeid=6590&pid=173380（最後瀏覽日: 2019/09/23）。 [3]〈監察委員新聞稿〉，監察院，108年5月21日，https://www.cy.gov.tw/sp.asp?xdURL=./di/Message/message_1t2.asp&ctNode=2394&mp=1&msg_id=7111（最後瀏覽日: 2019/09/23）。 [4] 〈高通案和解遭糾正，公平會：兼顧競爭與產業利益〉，中央社，2019年05月30 日，https://money.udn.com/money/story/5612/3842772（最後瀏覽日: 2019/09/23）。 [5] FEDERAL TRADE COMMISSION v. QUALCOMM INCORPORATED, Case No. 17-CV-00220-LHK(2019). [6] Qualcomm Strongly Disagrees with Ruling in FTC Case and Will Seek Immediate Stay and Appeal of Ruling, Qualcomm, May 22, 2019, https://www.qualcomm.com/news/releases/2019/05/22/qualcomm-strongly-disagrees-ruling-ftc-case-and-will-seek-immediate-stay (last visited Sep. 23, 2019). [7] UNITED STATES' STATEMENT OF INTEREST CONCERNING QUALCOMM'S MOTION FOR PARTIAL STAY OF INJUNCTION PENDING APPEAL, U.S. Department of Justice, July 16, 2019, https://www.justice.gov/atr/case-document/369345 (last visited Sep.23, 2019). [8]〈回應有關立法院國民黨團召開「公平會遭監察院糾正」記者會一事公平會說明〉，公平交易委員會新聞資料，108年5月23日，https://www.ftc.gov.tw/internet/main/doc/docDetail.aspx?uid=126&docid=15886（最後瀏覽日: 2019/09/23）。

　　英國於2016年11月底通過「調查權力法案」（Investigatory Powers Act 2016），該法案的部分內容已於同年12月30日生效，主要係將目前執法機關和情資單位之通信及相關資料蒐集的權力整併，並訂定了通信監察書（Interception Warrants）授權及監督之方式，以及要求業者保留網路連結記錄以供執法機構識別網路使用者。法案共分為九個章節，分別為： 1.一般隱私保護 2.合法監聽通信 3.取得通信資料之授權 4.通信資料之保留 5.設備干擾 6.大量授權 7.大量個人資料之授權 8.監督措施 9.其他及一般規定 　　調查權力法案通過後，使英國政府得以合法的監控人民許多行為，包括蒐集、查看民眾的網絡瀏覽記錄、通訊資料、通聯紀錄及相關個人資料等，而監控範圍不再限於個體，並擴大至全體民眾。此外，必要時警方及安全部門亦得破解或遠端遙控人民之電腦或手機。法案並要求通信服務提供商（Communication Service Providers, CSPs）將民眾之網路使用紀錄相關資料保存至少12個月，而近50個不同之機關都能夠查看該些資料，如警察局、國防部、司法局、金融行為監管局，甚至與國家安全較無關連的食品標準局及勞動和退休金部等部門，均有查看之權限。 　　法案目前生效的部分包括政府蒐集和保留民眾資料之權力，以及得強迫握有民眾資料的科技公司或相關單位，將所掌握關於民眾的資料交給情報機構。 　　英國政府認為，在面臨現今高度安全威脅之情況下，網路已成為恐怖份子用來犯罪的新工具，故有必要讓執法與情資單位擁有維護人民安全的權力，確保政府具備對抗該挑戰的能力，使情資單位得以阻止新型態之犯罪並追訴參與犯罪之相關人員。 　　然而，該法案已遭數萬人民連署反對，要求廢除該法案，因人民於網路上進行的各樣活動，均將遭受國家的監視，而負責機關也將面臨負荷龐大的資訊處理量，且一般人民之個人資訊亦將暴露在巨大的風險下。 　　目前法案部分內容尚未生效，如網路連線紀錄（Internet Connection Records）的蒐集，因相關安全機制尚未建立完成。但可想而知，該法案所造成的爭議，已成為英國民眾所關注之焦點，而未來全面生效後，英國政府該如何面對這些反對的衝擊，則可繼續觀察。

　　日本著作權法第2條第1項第1款規定對著作物定義中，創作性之表現必須為具有個人個性之表現，日本對於無人類行為參與之人工智慧創作物，多數意見認定此種產品無個性之表現，非現行著作權法所保護之產物。人工智慧之侵權行為在現行法的解釋上，難以將人工智慧解釋其本身具有「法人格」，有關人工智慧「締結契約」之效力為「人工智慧利用人」與「契約相對人」間發生契約之法律效果。日本政府及學者對人工智慧之探討，一般會以人工智慧學習用資料、建立資料庫人工智慧程式、人工智慧訓練/學習完成模型、人工智慧產品四個區塊加以探討。日本政策上放寬著作權之限制，使得著作物利用者可以更加靈活運用。為促進著作之流通，在未知著作權人之情況下，可利用仲裁系統。在現今資訊技術快速成長的時代，面對人工智慧的浪潮，日本亦陸續推出相關人工智慧研發等方針及規範，對於爾後之發展值得參酌借鏡。