性隱私內容外流風波－從美國立法例論我國違反本人意願散布性隱私內容之入罪化

　　德國柏林高等法院(LG Berlin)於2018年1月16日在德國聯邦消費者中心協會(Verbraucherzentrale Bundesverband)對 Facebook提起之訴訟中，判決 (Az. 16 O 341/15)Facebook網站之預設功能(Voreinstellungen)和部分使用及資料保護條款(Nutzungs- und Datenschutzbedingungen)，違反德國聯邦資料保護法(Bundesdatenschutzgesetz)之相關規定，因此，部分針對企業徵求用戶同意使用其資料之條款被判定無效。 　　Facebook在其隱私設定中心隱藏對用戶資料保護有利之默認設置，且在新用戶注冊帳戶時未充分告知，故未符合用戶同意條款之要求。依據聯邦資料保護法之規定，個人資料僅允許在相關人同意下徵集及使用。為讓用戶能在知情下自行判斷是否同意個資使用，網路供應商須清楚、詳盡告知資料使用之方式、範圍及目的。但Facebook並未遵守該項要求，Facebook在手機App上已自行啟用定位服務，一旦用戶使用聊天功能，將透露其所在位置。尤其在隱私設定中，已預設各種搜尋引擎可取得用戶個人版面之連結，任何人均可快速和簡易的透過此種方式，發現任一用戶在Facebook上的個人資訊。因用戶能否被事先告知無法確實保障，對此，法官判定5項Facebook備受聯邦消費者中心協會批評的預設功能無效。 　　此外，柏林高等法院亦宣告8項包括預擬同意之服務條款無效，依照這些條款之規定，Facebook可將用戶之姓名和個人資訊運用於商業、贊助商或相關事業之內容，且其條款並未明確說明，哪些資料會被傳送至美國，以及其後續處理過程與所採用之資料安全標準為何。法官認為，上述預擬條款之意思表示並非有效之資料使用同意授權。此外，用戶在Facebook僅可使用實名之義務亦屬違法，德國聯邦消費者中心協會對此表示，電信媒體法(Telemediengesetz; TMG)規定，網路供應商須儘可能讓網路用戶匿名或他名參與網路運作，然而柏林高等法院對此觀點仍持保留態度。 　　柏林高等法院於判決中強調，本案單就聯邦消費者中心協會對Facebook之用戶使用條款是否有效提起之訴進行判決，並非判斷支援此些條款運作的資料處理過程之合法性。儘管如此，法院之見解仍可能對資料處理過程合法性之判斷造成影響。該項判決目前仍未最終定讞，故本案兩造皆可上訴柏林最高法院(Kammergericht)，尤其聯邦消費者中心協會認為，Facebook以免費使用為廣告宣傳用語，不無誤導消費者之可能，故將對此提起上訴。至於未來本案上訴至柏林最高法院後之發展，關係個人資料保護程度之擴張及網絡供應商可用範圍之限制，故仍須持續關注。

　　近來美國運輸安全管理局（Transportation Security Administration, TSA）修訂隱私衝擊評估(Privacy Impact Assessment, PIA) 規章，規定機場安全檢查於必要時，可以針對某些特殊旅客強制進行AIT掃描。 　　美國運輸安全管理局根據航空運輸安全法(Aviation and Transportation Security Act, ATSA) 負責運輸之安全、評估威脅及強制執行安全相關的規定和要求，並且確保機場等交通設備是否有充足的安全措施。 　　由於國際恐怖攻擊行動頻傳，美國運輸安全管理局於2013年開始採行AIT掃描技術以強化旅客通關之安全檢查，並將會顯示出近乎裸照的3D透視影像全身掃描機器（body scanning machines）淘汰。 　　所謂的AIT（Advanced Imaging Technology）掃描技術，即係高階圖像技術，可偵測旅客是否有攜帶危險性、威脅性物品，它所顯示出來的影像僅係一個大致輪廓，如有違禁品則會在該部位產生色塊，警告安檢人員應採行進一步檢查措施。 　　一般而言，雖然旅客可拒絕AIT掃描，選擇讓海關人員進行身體檢查，但是為確保運輸安全，近來運輸安全管理局更新隱私衝擊評估(Privacy Impact Assessment, PIA) 規章，規定於必要時可以針對某些特殊旅客強制進行AIT掃描，旅客不再有拒絕之權利。 　　此一政策施行，勢必遭受侵害「隱私權」之質疑，運輸安全局表示，AIT掃描係採用「自動目標辨識」 (Automatic Target Recognition , ATR) 軟體，亦即非直接顯示個人影像，僅顯示特殊物體在一般影像上的所在位置，發出警訊後再由安檢人員進行詳細檢查。現今AIT掃描技術已提升，掃描出的人體圖像會被模糊處理，且掃描後機器不會儲存任何可識別個人之資訊，更加確保旅客的隱私權不受侵害。

　　歐洲專利局（European Patent Office，下簡稱EPO）於2020年11月發布了裁定撤銷歐洲專利EP2771468的書面理由。EP2771468是the Broad Institute of Massachusetts Institute of Technology（以下簡稱Broad Institute）持有的一項關於CRISPR（clustered, regularly interspaced, short palindromic repeats）技術的專利。2020年1月，EPO的上訴委員會（Board of Appeal，下簡稱BoA）裁定在該專利的優先權要求被駁回後，專利應予以撤銷。 　　CRISPR是相對簡單但功能強大的基因編輯工具，使科學家能夠更改DNA序列並修飾基因功能。它具有改變醫學、診斷、治療和預防多種疾病的潛力，已被用於開發診斷試劑盒，可用於檢測傳染病，例如Covid-19。該技術預估在未來五年的價值將超過50億美元。 　　一般而言，專利申請日是評估專利有效性的日期，但有的專利可能會要求已揭露該發明之較早專利申請的申請日作為優先權日。在本案裡，專利的優先權日期尤為重要，因為還有許多其他機構和研究人員聲稱在Broad Institute之前就已經發現CRISPR技術。 　　在2018年，EPO的異議庭（Opposition Division）認為EP2771468專利無權享有部分專利的優先權。因為其主張優先權的美國專利臨時案共有四名申請人，但在EPO提交專利時，有一位申請人未包含其中。因此，異議庭認為，該專利不能主張美國專利的優先權，導致EP2771468因為在申請日前有其他公開文獻而喪失新穎性。 　　Broad Institute提出上訴，但BoA駁回了上訴，並指出需要所有申請人在初始申請和後續申請中都列出才能享有優先權。 　　由於優先權制度是在申請專利保護時常會運用的布局手段，後續在運用優先權時，應特別注意申請人的一致性，避免因優先權無法主張而影響專利的有效性。 「本文同步刊登於TIPS網站（https://www.tips.org.tw）」

印度電子資訊產業技術部（MeitY）2022年11月在網站上公布了個人資料資訊保護法草案（Digital Personal Data Protection Bill,以下簡稱該法案），並於2023年7月提交議會審查。目前印度民法不承認未成年人(未滿18歲者)具有自主簽訂契約的能力。因此，取得的兒童同意不具有法律效力，必須徵得父母或是監護人的同意才能合法蒐集兒童個人資料。 根據印度2022年個人資料資訊保護法案草案，任何未滿18歲的人都被歸類為「兒童」。該法案中同時限制專門向兒童發送的廣告，並且監管任何追蹤兒童行為的情況。目前國際隱私法(例如：歐盟通用資料保護條例 (GDPR)、加州消費者隱私法(CCPA)等)的兒童定義多在13至17歲之間。但考慮到兒童個人資訊的敏感性和潛在危害，印度政府採取了較保守嚴謹的路線。政府也已被授權制定有關處理兒童個人資訊的細則，特别是確保資料使用人不可使用可能對兒童造成傷害的個人資料。 根據社會發展狀況，兒童若每次在網路平台上進行活動時都需經過父母或是監護人同意不甚妥適，且根據前述說明，兒童界定年齡為18歲以下，若依照統一年齡範圍進行控管，實際執行上面臨窒礙難行之處。故修法者在對於該法案修改意見中，引用了其他國家隱私法中的不同年齡分類限制，以求降低年齡門檻限制，或是根據用戶的年齡制定差異化的授權要求。 另一個產生的爭議為，該如何驗證父母或是監護人的同意表示。法條中目前無明確規範何為「有效之同意表示」，現行各平台使用不同的方法獲得父母或是監護人的同意，目前有兩種方式，包括點選「同意」按鈕，或是在用戶條款中表示若使用服務等同於監護人同意。 關於兒童年齡之界定，是否將參考其他國家規範進行差異化設定，目前暫無明確定論(包括如何調整、年齡級距設定)，根據資訊使用的普及，兒童年齡的界定可以預期的將會進行調整；關於如何有效驗證父母或是監護人的同意表示，目前在技術上大多服務商都偏好透過會員註冊時的同意按鈕或是用戶條款中列明若使用服務即代表同意這兩種方式認定，在這兩種方式之後，系統是否有設定驗證機制，以及需要何種驗證方式才可以認定父母或是監護人的同意表示是符合法律效力的，都需後續再進行研擬。