英國通過調查權力法案(Investigatory Powers Act 2016)
英國於2016年11月底通過「調查權力法案」(Investigatory Powers Act 2016),該法案的部分內容已於同年12月30日生效,主要係將目前執法機關和情資單位之通信及相關資料蒐集的權力整併,並訂定了通信監察書(Interception Warrants)授權及監督之方式,以及要求業者保留網路連結記錄以供執法機構識別網路使用者。法案共分為九個章節,分別為:
1.一般隱私保護
2.合法監聽通信
3.取得通信資料之授權
4.通信資料之保留
5.設備干擾
6.大量授權
7.大量個人資料之授權
8.監督措施
9.其他及一般規定
調查權力法案通過後,使英國政府得以合法的監控人民許多行為,包括蒐集、查看民眾的網絡瀏覽記錄、通訊資料、通聯紀錄及相關個人資料等,而監控範圍不再限於個體,並擴大至全體民眾。此外,必要時警方及安全部門亦得破解或遠端遙控人民之電腦或手機。法案並要求通信服務提供商(Communication Service Providers, CSPs)將民眾之網路使用紀錄相關資料保存至少12個月,而近50個不同之機關都能夠查看該些資料,如警察局、國防部、司法局、金融行為監管局,甚至與國家安全較無關連的食品標準局及勞動和退休金部等部門,均有查看之權限。
法案目前生效的部分包括政府蒐集和保留民眾資料之權力,以及得強迫握有民眾資料的科技公司或相關單位,將所掌握關於民眾的資料交給情報機構。
英國政府認為,在面臨現今高度安全威脅之情況下,網路已成為恐怖份子用來犯罪的新工具,故有必要讓執法與情資單位擁有維護人民安全的權力,確保政府具備對抗該挑戰的能力,使情資單位得以阻止新型態之犯罪並追訴參與犯罪之相關人員。
然而,該法案已遭數萬人民連署反對,要求廢除該法案,因人民於網路上進行的各樣活動,均將遭受國家的監視,而負責機關也將面臨負荷龐大的資訊處理量,且一般人民之個人資訊亦將暴露在巨大的風險下。
目前法案部分內容尚未生效,如網路連線紀錄(Internet Connection Records)的蒐集,因相關安全機制尚未建立完成。但可想而知,該法案所造成的爭議,已成為英國民眾所關注之焦點,而未來全面生效後,英國政府該如何面對這些反對的衝擊,則可繼續觀察。
- Investigatory Powers Act, GOV.UK
- Andrew Griffin, Investigatory Powers Act goes into force, putting UK citizens under intense new spying regime, Dec. 31, 2016
- Rachel Gerber, Rights group launching legal challenge against UK surveillance law, Jan. 10, 2017
- Investigatory Powers Act 2016
- Ryan Daws, EU court limits UK
施弘文
專案經理 編譯整理
Investigatory Powers Act, GOV.UK, https://www.gov.uk/government/collections/investigatory-powers-bill (last visited Jan. 12, 2017)
Andrew Griffin, Investigatory Powers Act goes into force, putting UK citizens under intense new spying regime, Dec. 31, 2016, http://www.independent.co.uk/life-style/gadgets-and-tech/news/investigatory-powers-act-bill-snoopers-charter-spying-law-powers-theresa-may-a7503616.html (last visited Jan. 12, 2017).
Rachel Gerber, Rights group launching legal challenge against UK surveillance law, Jan. 10, 2017, http://www.jurist.org/paperchase/2017/01/rights-group-launching-legal-challenge-against-uk-surveillance-law.php (last visited Jan. 12, 2017)
Investigatory Powers Act 2016, http://www.legislation.gov.uk/ukpga/2016/25/contents/enacted/data.htm (last visited Jan. 12, 2017).
Ryan Daws, EU court limits UK's draconian Investigatory Powers Act, TELECOM TECH NEWS, Dec. 21, 2016, http://www.telecomstechnews.com/news/2016/dec/21/eu-court-limits-uks-draconian-investigatory-powers-act/ (last visited Jan. 12, 2017).
法國國家資訊自由委員會(Commission Nationale de l'Informatique et des Libertés, CNIL)於2025年9月18日作成裁罰決定,認定巴黎百貨公司SAMARITAINE SAS(La Samaritaine)(莎瑪麗丹百貨公司,下稱該公司)於職場內設置「偽裝成煙霧偵測器」的隱藏攝影機,該設備具備錄音功能且未適當評估風險與內部控制紀錄,並涉及個資事件通報義務未即時履行等多項違反《一般資料保護規則》(General Data Protection Regulation, GDPR)規定,最終遭裁處10萬歐元(約新台幣355萬元)的行政罰鍰。 本次事件係因該公司聲稱庫房商品失竊率增加,遂於2023年8月在兩處庫房安裝5台外觀形似煙霧偵測器但可錄音的攝影機,但員工並未事前知悉。然而,攝影機於裝設後數週即被員工發現,並在2023年9月被拆除而停止運作。CNIL之所以介入,係因2023年11月經媒體報導及後續申訴事件引發關注,進而啟動稽查程序。以下為CNIL認定本案的主要違規事項: 1.違反公平、透明與可歸責性(GDPR Art. 5(1)(a)、5(2)):隱藏式攝影機設計使員工難以察覺且未予以告知;該公司未完成事前分析或影響評估、未妥善文件化紀錄,因此難認有以公平且透明方式處理個資。 2.違反資料最小化(GDPR Art.5(1)(c)):攝影機具備「收音」功能,導致員工私領域對話等資料被蒐集,與所稱之防竊等特定目的未有相符,屬過度蒐集行為。 3.未建立個資侵害通報與紀錄(GDPR Art. 33(1)、33(5)):員工拆除設備時留存載有錄影錄音內容的SD卡,公司在知悉後未於法定時限內通報並建檔紀錄;CNIL指出此類「失去對載體控制」情形並無任何模糊空間,且因其中內含員工影音資料,對自由權具有風險,依法應通報。 4.個人資料保護長(Data Protection Officer, DPO)未及時參與(GDPR Art. 38(1)):DPO直至該攝影機拆除後才被告知,未能於事前提供風險控管與審酌是否符合法規範建議,而違反應「適時、適當參與」之要求。 本案可視為CNIL對職場監視劃出的紅線警告,雇主即使基於特定目的而採用不易察覺的監視措施,仍須在保護財產和人身安全的目標,與保護員工隱私間取得合理平衡,例如:蒐集期間具有「暫時性」;蒐集範圍最小化,無不必要收音等較小侵害手段;並應讓組織的DPO事前參與把關,完成比例性分析與風險評估,否則可能構成對員工基本權利與自由的重大干預。同時,內部也應建立事故應變流程,避免因誤判或延誤而使單一事件擴大成多重違規與裁罰風險。
App Store是否得申請作為商標---Apple與Microsoft開啟戰火2011年1月Microsoft針對Apple欲將App Store申請作為商標一案,向美國專利商標局(USPTO)提出即決判決(summary judgment)之申請,請求USPTO拒絕允許App Store註冊為商標。Microsoft主張「App Store」一詞係由「形容產品的普通名詞」加上「形容店面的普通名詞」而組成的詞彙,屬於普通性字眼(generic terms),如同「Computer Store」一詞之前也被認定為屬於普通性詞彙,不得註冊為商標。此外,Microsoft還主張App Store這個詞語已經被許多同業、新聞媒體、消費者甚至Apple本身,作為普通性詞彙加以廣泛使用,例如黑苺公司使用App World、三星公司使用Samsung App、惠普公司使用App Catalog來形容自家的應用程式專賣店。因此,App Store不應被註冊為商標,否則將造成他人無法正常使用此普通性詞彙。 另一方面,Apple於2011年3月向美國專利商標局提出說明,反駁Microsoft的指控,Apple並舉The Paper Store、The Container Store等商標法先例,說明這些名詞最後皆被認定為具有爭議性之「描述性詞彙(descriptive terms) 」,而得以註冊登記為商標。Apple進一步認為Microsoft聘請的專家所提出可證明「App Store」一詞為普通性詞彙的相關證據,其取樣係有問題。因其是以app store小寫字樣為關鍵字,並輸入在Westlaw資料庫中進行查詢,而這樣的採樣方式,當然會導向app store一詞的使用情境偏向於普通性詞彙使用(generic use)。另外,Apple也以Microsoft十多年來大眾對其WINDOWS商標屬於普通性詞彙之爭議及指控為例,認為在衡量系爭詞彙是否屬於普通性名詞而無法作為商標使用的判斷上,須就系爭詞彙整體觀之,透過蒐集大量事實以評估系爭詞彙對相關大眾(relevant public)之主要意義(primary significance)為何。例如相關大眾就app store此詞彙的主要認知是聯想到「Apple」所經營的線上應用程式專賣商店,抑或相關大眾看到app store一詞直接想到其意指一般應用程式商店。 在雙方激烈唇槍舌戰中,究竟這場App Store商標申請准駁戰,會由Apple還是Microsoft取得勝利?容我們拭目以待。
美國提出加速營業秘密盜竊調查的相關立法2021年6月,美國有多位參議員針對營業秘密保護提出立法建議,目的是要讓認為自己的智慧財產權受到竊取的企業,可阻擋盜竊其營業秘密者的相關產品進口到美國。 參議員John Cornyn和Christopher Coons提出藉由修改1930 年的關稅法(Tariff Act),在美國國際貿易委員會(International Trade Commission,簡稱ITC)中設立新的委員會,並由美國司法部長(Attorney General)領導,負責調查背後為國外政府支持之競爭對手的智慧財產權盜竊指控。智慧財產權所有者可透過提交經宣誓的聲明書提出指控,或由司法部長辦公室提出指控。此立法設定30天的調查期限讓調查人員決定是否在冗長的審查展開時停止其產品進口。該法案將適用於來自任何國家的進口產品,但據了解,目前大部分的智慧財產盜竊指控都是來自於中國大陸公司。 雖然在ITC已有類似的程序可提出救濟,但在現行制度下需要的時間過長,最近一年在ITC進行的調查平均時長為19個月。透過此法案設計的制度,將使有關當局在調查營業秘密盜竊指控時,可更容易地阻止因竊取營業秘密而製造出的產品進口到美國。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」
歐盟「人工智慧法」達成政治協議,逐步建立AI準則歐盟「人工智慧法」達成政治協議, 逐步建立AI準則 資訊工業策進會科技法律研究所 2023年12月25日 隨著AI(人工智慧)快速發展,在各領域之應用日益廣泛,已逐漸成為國際政策、規範、立法討論之重點。其中歐盟人工智慧法案(Artificial Intelligence Act, AI Act,以下簡稱AIA法案)係全球首部全面規範人工智慧之法律架構,並於2023年12月9日由歐洲議會及歐盟部長歷史會達成重要政治協議[1],尚待正式批准。 壹、發佈背景 歐洲議會及歐盟部長理事會針對AIA法案已於本年12月9日達成暫時政治協議,尚待正式批准。在法案普遍實施前之過渡期,歐盟執委會將公布人工智慧協定(AI Pact),其將號召來自歐洲及世界各地AI開發者自願承諾履行人工智慧法之關鍵義務。 歐盟人工智慧法係歐盟執委會於2021年4月提出,係全球首項關於人工智慧的全面法律架構,該項新法係歐盟打造可信賴AI之方式,將基於AI未來可證定義(future proof definition),以等同作法直接適用於所有會員國[2]。 貳、內容摘要 AIA法案旨在確保進入並於歐盟使用之AI人工智慧系統是安全及可信賴的,並尊重人類基本權利及歐盟價值觀,在創新及權利義務中取得平衡。對於人工智慧可能對社會造成之危害,遵循以風險為基礎模式(risk-based approach),即風險越高,規則越嚴格,現階段將風險分為:最小風險(Minimal risk)、高風險(High-risk)、無法接受的風險(Unacceptable risk)、特定透明度風險(Specific transparency risk)[3]。與委員會最初建議版本相比,此次臨時協定主要新增內容歸納如下: 臨時協議確立廣泛域外適用之範圍,包含但不限於在歐盟內提供或部署人工智慧系統的企業[4]。但澄清該法案不適用於專門用於軍事或國防目的之系統。同樣,該協定規定不適用於研究和創新目的之人工智慧系統,也不適用於非專業原因之個人AI使用。 臨時協議針對通用AI(General purpose AI)[5]模型,訂定相關規定以確保價值鏈之透明度;針對可能造成系統性風險之強大模型,訂定風險管理與重要事件監管、執行模型評估與對抗性測試等相關義務。這些義務將由執委會與業界、科學社群、民間及其他利害關係人共同制定行為準則(Codes of practices)。 考量到人工智慧系統可用於不同目的之情況,臨時協議針對通用AI系統整合至高風險系統,並就基礎模型部分商定具體規則,其於投放市場之前須遵守特定之透明度義務,另強調對於情緒識別系統有義務在自然人接觸到使用這種系統時通知他們。 臨時協議針對違反禁止之AI應用,罰款金額自3,500萬歐元 或全球年營業額7%(以較高者為準)。針對違反其他義務罰款1,500萬歐元或全球年營業額3%,提供不正確資訊罰 款750萬歐元或全球年營業額1.5%。針對中小及新創企業違反人工智慧法之行政罰款將設定適當之上限。 參、評估分析 在人工智慧系統之快速發展衝擊各國社會、經濟、國力等關鍵因素,如何平衡技術創新帶來之便利及保護人類基本權利係各國立法重點。此次歐盟委員會、理事會和議會共同對其2021年4月提出之AIA法案進行審議並通過臨時協議,係歐洲各國對於現下人工智慧運作之監管進行全面的討論及認可結果,對其他國家未來立法及規範有一定之指引效果。 此次臨時協議主要針對人工智慧定義及適用範圍進行確定定義,確認人工智慧系統產業鏈之提供者及部署者有其相應之權利義務,間接擴大歐盟在人工智慧領域之管轄範圍,並對於人工智慧系統的定義縮小,確保傳統計算過程及單純軟體使用不會被無意中禁止。對於通用人工智慧基礎模型之部分僅初步達成應訂定相關監管,並對基礎模型之提供者應施加更重之執行義務。然由於涉及層面過廣,仍需業界、科學社群、民間及其他利害關係人討論準則之制定。 面對AI人工智慧之快速發展,各國在人工智慧之風險分級、資安監管、法律規範、資訊安全等議題持續被廣泛討論,財團法人資訊工業策進會科技法律研究所長期致力於促進國家科技法制環境,將持續觀測各國法令動態,提出我國人工智慧規範之訂定方向及建議。 本文同步刊登於TIPS網站(https://www.tips.org.tw) [1]Artificial Intelligence Act: deal on comprehensive rules for trustworthy AI,https://www.europarl.europa.eu/news/en/press-room/20231206IPR15699/artificial-intelligence-act-deal-on-comprehensive-rules-for-trustworthy-ai (last visited December 25, 2023). [2]European Commission, Commission welcomes political agreement on Artificial Intelligence Act,https://ec.europa.eu/commission/presscorner/detail/en/ip_23_6473 (last visited December 25, 2023). [3]Artificial intelligence act,P5-7,https://superintelligenz.eu/wp-content/uploads/2023/07/EPRS_BRI2021698792_EN.pdf(last visited December 25, 2023). [4]GIBSON DUNN, The EU Agrees on a Path Forward for the AI Act,https://www.gibsondunn.com/eu-agrees-on-a-path-forward-for-the-ai-act/#_ftn2 (last visited December 25, 2023). [5]General purpose AI-consisting of models that “are trained on broad data at scale, are designed for generality of output, and can be adapted to a wide range of distinctive tasks”, GIBSON DUNN, The EU Agrees on a Path Forward for the AI Act,https://www.gibsondunn.com/eu-agrees-on-a-path-forward-for-the-ai-act/#_ftn2(last visited December 25, 2023).