VIZIO將為該公司為未獲消費者允可即蒐集收視行為等個人資料支付和解金。
美國聯邦貿易委員會(Federal Trade Commission, 以下稱FTC)在2017年2月6號於其網站中公布, VIZIO, Inc.(以下稱VIZIO),世界最大的智慧電視製造商之一,在未取得購買該公司產品之千萬餘名消費者同意下,即於所生產之智慧型電視中,安裝蒐集消費者收視行為數據之軟體,然此舉業涉及違反美國聯邦貿易委員會法第45條(15 U.S.C. § 45 (n))以及紐澤西州消費者欺詐法(New Jersey Consumer Fraud Act)。為此VIZIO將支付和解金與美國聯邦貿易委員會及紐澤西州檢察總長辦公室。
本案起訴狀內容指出,VIZIO及其相關企業於2014年2月起便開始於其製造之智慧電視中獲取消費者在收視有線電視、寬頻、機上盒、DVD播放機、無線廣播以及串流裝置等相關影像資料時之資訊。這些資訊包含了性別、年齡、收入、婚姻狀況、教育程度、住屋資訊等交付與VIZIO、第三方及其相關企業做為行銷、發送特定廣告使用。
起訴狀中並稱該公司所謂之智能互動機制,雖可做為協助節目製作和建議,卻也同時於未對消費者詳細說明之下,逕行蒐集相關收視資訊,而此類追蹤消費者資訊屬不公平且欺騙的行為,已違反了FTC與紐澤西州對於消費者保護之法律。
為達成本案之和解,該公司願支付兩百二十萬美元作為和解金,包含向FTC繳納的一百五十萬美元及一百萬美元罰款與紐澤西州消費者事務所。聯邦法院命令並要求VIZIO必須清楚揭露其蒐集資料及分享給他方單位之行為,並取得消費者明示同意;另一方面,該命令亦禁止VIZIO對他們所蒐集消費者之隱私、安全及機密性資訊做誤導性的不實陳述以及刪除於2016年3月1日前所有以不當方式取得之消費者個人資料。該公司尚須接受兩年一次的隱私權安全保障計畫(名詞),包括全面性隱私風險評估、識別消費者個資之潛在不當使用情形,並制訂相關措施來修復這些風險。另新增一項銷售管理計畫,以確保該公司產品經銷商及售後服務均能就消費者個人資料得到保障。
此次事件而言,和解金雖非屬可觀之金額,然重點在於作為世界最大的智慧電視製造商之一的VIZIO,經揭露此一訊息後對其商譽之影響,或許才是最大的打擊。為了在大數據時代中能有效的管控法律風險,任何蒐集消費者行為等個人資料時,均應符合相關法令的規範,如建立個人資料保護機制並事前告知取得消費者蒐集之同意為宜。
- 1.FTC ,VIZIO to Pay $2.2 Million to FTC, State of New Jersey to Settle Charges It Collected Viewing Histories on 11 Million Smart Televisions without Users’ Consent(2017)
- 2.FTC, VIZIO, INC. and VIZIO Inscape Services, LLC, Complaint for Permanent Injunction and Other Equitable and Monetary Relief
- 3. FTC, What Vizio was doing behind the TV screen
- Consumer Privacy, FTC
- Jon Russell , LeEco says its acquisition of Vizio remains on track despite FTC charge,TECHCHURCH, Feb. 7, 2017
蔡勁甫
法律研究員 編譯整理
1.FTC ,VIZIO to Pay $2.2 Million to FTC, State of New Jersey to Settle Charges It Collected Viewing Histories on 11 Million Smart Televisions without Users’ Consent(2017)https://www.ftc.gov/news-events/press-releases/2017/02/vizio-pay-22-million-ftc-state-new-jersey-settle-charges-it (last visited Mar. 1, 2017).
2.FTC, VIZIO, INC. and VIZIO Inscape Services, LLC, Complaint for Permanent Injunction and Other Equitable and Monetary Relief, https://www.ftc.gov/enforcement/cases-proceedings/162-3024/vizio-inc-vizio-inscape-services-llc (last visited Mar. 1, 2017).
3. FTC, What Vizio was doing behind the TV screen, https://www.ftc.gov/news-events/blogs/business-blog/2017/02/what-vizio-was-doing-behind-tv-screen (last visited Mar. 1, 2017).
Consumer Privacy, FTC, https://www.ftc.gov/tips-advice/business-center/privacy-and-security/consumer-privacy (last visited Mar. 1, 2017).
Jon Russell , LeEco says its acquisition of Vizio remains on track despite FTC charge,TECHCHURCH, Feb. 7, 2017, http://www.telecomstechnews.com/news/2016/dec/22/canada-sets-precedent-minimum-broadband-speed/ (last visited Mar. 1, 2017).
歐洲聯盟法院(CJEU)佐審官 (Advocate General ) Paolo Mengozzi 於今年(2016) 9月8日提出一份不具拘束力之「航空乘客個人資料共享協議(草案)」( European Union on the transfer and processing of passenger name record data (“PNR Agreement”)) 法律意見,認為協議應遵守歐盟憲章有關人權之基本原則。此份法律意見為歐洲聯盟法院首次就國際協議草案,檢視與歐盟憲章有關規範之一致性。 [背景] PNR協議草案於2010年5月開始協商,2014年6月25日簽署。主要以反恐為目的讓歐盟與加拿大交換航空乘客資訊(包括旅客姓名、旅行日期、行程記錄、機票、聯繫資訊、旅行社等其他有關資訊)。除加拿大之外,歐盟亦與美國、澳洲簽有類似資料共享協議。關注到PNR協議有關隱私、人權之議題,歐盟議會將PNR協議提至歐洲聯盟法院審議。 [法律意見] 佐審官認為,協議同意在特定條件下就限定目標之乘客蒐集其敏感資訊,未違反歐盟憲章;然PNR協議草案仍有部分內容違反歐盟憲章:即草案允許歐盟、加拿大主管機關使用乘客姓名等數據,已逾越預防恐怖組織犯罪和跨國犯罪的必要範圍。 因歐洲聯盟法院去年已廢除歐盟與美國之間之安全港(Safe Harbor)法案,隨後雖起草隱私保護協議(Privacy Shield),但仍有意見質疑隱私保護之完整性。PNR協議草案法律意見之提出,可窺歐盟關於隱私保護之立場。
蘋果電腦與Proview於中國的iPad商標爭議蘋果電腦不只試圖與擁有中國iPad商標之Proview公司尋求商標侵權和解,也宣稱可能反控Proview公司商標侵權指控之誹謗。 有關蘋果電腦與Proview的台灣分公司之間之交議是否合法,已進入法律程序,原因是蘋果電腦主張台灣分公司已出售iPad商標給一家英國公司,之後於2010年該公司再次轉售給蘋果電腦。但,Proview聲稱此一交易是台灣分公司不是深圳分公司,而蘋果電腦表示台灣分公司是代表深圳分公司。 故,蘋果電腦之律師可能控告Proview誹謗,並已寄出書面信函予Proview的執行長,表示:此一控告是基於不合法的行為,意圖不正當地妨礙蘋果電腦的生意與商業關係。 Proview於今年初針對蘋果電腦商標侵權要求16億之賠償,深圳分公司並於美國加州法院對蘋果電腦提起商標侵權訴訟。兩公司之爭訟在中國頗受關注,也造成蘋果電腦一度將iPad下架。,雖然於3月份新iPad一上市後,中國即獲準其銷售許可。 此外,Proview深圳分公司之律師表示在中國廣東高等人民法院的調解下,蘋果電腦曾提出一筆金額作為調解iPad所有權爭議的和解金,但不願透露該金額僅表示雙方對此仍有很大差距。
美國公布實施零信任架構相關資安實務指引美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 美國國家標準技術研究院(National Institute of Standards and Technology, NIST)所管轄的國家網路安全卓越中心(National Cybersecurity Center of Excellence, NCCoE),於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」(NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture)系列文件初稿共四份[1] ,並公開徵求意見。 壹、發布背景 此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中,要求聯邦政府採用現代化網路安全措施(Modernizing Federal Government Cybersecurity),邁向零信任架構(advance toward Zero Trust Architecture)的安全防護機制,以強化美國網路安全。 有鑑於5G網路、雲端服務、行動設備等科技快速發展,生活型態因疫情推動遠距工作、遠距醫療等趨勢,透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業,皆使得傳統的網路安全邊界逐漸模糊,難以進行邊界防護,導致駭客可透過身分權限存取之監控缺失,對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」(Zero Trust Architecture, ZTA)標準文件[3] ,協助企業基於風險評估建立和維護近用權限,如請求者的身分和角色、請求近用資源的設備狀況和憑證,以及所近用資源之敏感性等,避免企業資源被不當近用。 貳、內容摘要 考量企業於實施ZTA可能面臨相關挑戰,包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構;擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響;整個組織對ZTA 缺乏共識,無法衡量組織的ZTA成熟度,難確定哪種ZTA方法最適合業務,並制定實施計畫等,NCCoE與合作者共同提出解決方案,以「NIST SP 800-207零信任架構」中的概念與原則,於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份,包含: 一、NIST SP 1800-35A:執行摘要(初稿)(NIST SP 1800-35A: Executive Summary (Preliminary Draft)) 主要針對資安技術長(chief information security and technology officers)等業務決策者所編寫,可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案,實施ZTA所能帶來優點等。 二、NIST SP 1800-35B:方法、架構和安全特性(初稿)(NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)) 主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫,闡述風險分析、安全/隱私控制對應業務流程方法(mappings)的設計理念與評估內容。 三、NIST SP 1800-35C:如何操作指引(初稿)(NIST SP 1800-35C: How-To Guides (Preliminary Draft)) 主要針對於現場部署安全工具的IT 專業人員所編寫,指導和說明特定資安產品的安裝、配置和整合,提供具體的技術實施細節,可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D:功能演示(初稿)(NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)) 此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構,展示使用案例情境的實施結果。 參、評估分析 美國自總統發布行政命令,要求聯邦機構以導入ZTA為主要目標,並發布系列指引文件,透過常見的實施零信任架構案例說明,消除零信任設計的複雜性,協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構,未來可預見數位身分將成為安全新核心。 此外,NIST於2022年5月發布資安白皮書-規劃零信任架構:聯邦管理員指引[4] ,描繪NIST風險管理框架(Risk Management Framework, RMF)逐步融合零信任架構的過程,幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 我國企業若有與美國地區業務往來者,或欲降低遠端應用的安全風險者,宜參考以上標準文件與實務指引,以建立、推動和落實零信任架構,降低攻擊者在環境中橫向移動和提升權限的能力,與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).
日本第52次知的財產戰略本部會議決議—推動著作權資訊橫向跨域查找平台日本第52次知的財產戰略本部會議決議—推動著作權資訊橫向跨域查找平台 資訊工業策進會科技法律研究所 2023年09月01日 創作內容的流通利用是發揮文化經濟力的核心關鍵,但數位時代的來臨,造成內容流通利用面臨創作資訊分散難找、權利歸屬識別困難,以致內容無法有效利用的問題。此問題並非個別企業、機構可以解決,而需要政府出面橋接既有創作資料庫,匯集散落於各處的內容創作資料及創作人資訊。 壹、事件摘要 日本岸田首相於2023年6月9日在官邸召開第52次知的財產戰略本部會議,針對「知的財產推進計畫2023」進行討論並決定[1]。日本基於為了活化日本的創新並實現持續的經濟增長,將社會轉變為最大限度發揮知的財產價值的社會的目的,提出2023知的財產推進計畫的三大重點,包括:第一,強化新創企業和大學的知的財產生態系統,透過新創企業等管道迅速實現大學研究成果的社會應用循環;第二,促進負責任和可信賴的AI,兼顧促進AI技術應用和維持知的財產創造的激勵,同時對風險採取必要的措施;第三,發揮內容產業力量推動內容產業的強化和結構改革,進行政府和民間的合作促進內容創作;從促進內容的創作和使用循環的角度出發,建立簡單而統一的權利處理窗口機構,並推進跨領域的權利資訊搜索系統的建立。 貳、重點說明 目前網路上的業餘創作者等創作的內容越來越多,但此類內容使用的可行性因權利者資訊不明確,造成獲得許可所需的成本過高,成為便利的數位時代造成的不便利後遺症。日本「知的財産推進計畫」於2022即已針對著作權制度進行改革方向,開始推動實現簡單且一體化的權利處理,加速內容的流通和創作者的報酬回饋,力圖實現簡潔統一的權利處理制度,以促進內容的「創作」和「利用」循環[2]。 日本注意到隨著內容的主要流通轉向網絡播送,對於業者而言,實現內容差異化,包括對留在手上的播送內容檔案再利用,對強化競爭至關重要。但涉及多個權利持有人的內容,其權利處理成為取得授權的瓶頸,導致內容的利用無法推進。基於簡便化權利處理和報酬支付的政策想法,日本於今(2023)年提出修改著作權法,創建新的作品使用法定授權申請制度,並在同年5月修改法案獲得通過[3]。依據此新通過的授權申請制度,日本文化廳可以針對未授權集體管理或權利人提供利用意願不明的著作,裁定可由利用人支付補償金以順利實現對這些作品於特定時間內的利用。 除建立授權意願不明的利用授權法令依據外,日本亦擬在實務上建立配套機制,即透過數位化、一體化的流程設計,規劃建立能夠跨領域尋找著作權資料的資料庫,以利確認權利資訊和使用許可的意願表示。而針對橫向跨域的權利資訊資料庫的構建,日本特別成立研究小組,於2022年12月「跨域權利資訊資料庫研究報告」。該報告提出連接各領域資料庫來檢索資訊的「領域橫向權利資訊檢索系統」的規劃。依該規劃,日本文化廳將與保有各領域資料庫的相關利害關係人合作,推進系統的設計和開發在新著作權法的實施期間,建立並運營「領域橫向權利資訊檢索系統」,以連接各領域資料庫[4]。 該系統將力求實現數位化程度最高的設計,除了與各領域資料庫連接外,還將包括設置統一的窗口組織來執行新的授權利機制,設法使未在現有資料庫中收錄的內容(如僅在網絡上創作的內容、未集中管理的著作等)能夠順利登錄,並提供確認權利資訊和使用許可意願表示的功能。為了簡化流程和加快速度,這些窗口組織(機構)將由經文化廳長官認可的單位擔任,負責申請受理、審議確認和(應支付的使用)報酬審定等程序。另外,對於擬取得無期限的授權使用的利用人,可以利用不明著作授權制度,並可透過這些窗口組織簡化相關授權程序[5]。 參、事件評析 日本已考慮到數位時代的資訊變化速度,認為應該在著作權制度和相關政策改革方面,推動公私協力尋找權利者、確認使用可行性的合作,規劃建立跨領域權利資訊檢索系統,以利最大限度地實現新裁定授權制度的簡化和迅速處理,以實現其戰略綱領持續著力的內容「創作」和「利用」循環的加速。 而促進內容「創作」和「利用」循環加速的做法,日本不只是建立法令依據,是透過資訊科技與認證適格單位,用完整而全面性的配套措施進行推動。顯見日本已注意到資訊科技可以降低、便利權利資訊的登錄,讓權利人不會因為登錄作業麻煩而意願欠缺;而與既有資料的串接,則可在不會喪失保有各自資料庫的保障下,快速建立資料完整的檢索查詢平台。因此日本預計2023年將首先確定要優先合作的資料庫、研究合作方式、建立檢索介面的概念;同時對未集中管理的著作等內容的權利資訊登記方法進行需求調查和探討,預計於2024年度將研析該系統應具備的細部功能規格[6]。 而既有除了系統工具外,為促進新的權利處理制度的實現,由於資料分散在不同地方,相較於單一的官方登錄或受理平台,多元的受理窗口更能便利的登錄、受理做法,日本考慮與數位/網路出版等網上內容流通的中介者共同協作,更能以適應數位時代的速度為基礎與先進技術的應用,順利實現新制度的準備和持續營運。 我國原創文化內容的流通利用面臨與日本智財戰略綱領相同的議題,也已經在文化部的計畫支持下建置「文化內容流通利用服務網(Copyright Hub)」受理著作的自主登錄與權利資訊查詢,同時規劃透過認證、指定的方式,建立類似日本智財戰略綱領規劃的多元登錄受理代理窗口,與既有內容平台或特定文創領域專業法人合作,以利串接大量既有資訊;並預計逐步於文創獎補助中納入登錄著作權利資訊的要求,以促進資訊的完整。 然本次文創法送立法院修法的草案,並未納入原已新增的流通利用草案條文,不僅欠缺日本賦予的授權機制,以及資料庫、認證適格窗口的推動法令依據,也無法立即促成獎補助中納入登錄著作權利資訊的要求。我國「文化內容流通利用服務網(Copyright Hub)」早於日本起步,期待即便無法如同日本建立法令依據,亦可在文創獎補助連結的加持下快速推展,讓我國文化內容的流通利用推動持續領先,成為其他國家之參考標竿。 本文同步刊登於TIPS網站(https://www.tips.org.tw) [1]〈知的財産戦略本部総理の一日〉,首相官邸ホームページ,令和5年6月9日,https://www.kantei.go.jp/jp/101_kishida/actions/202306/09chizai.html。 [2]〈知的財産推進計畫2023〉,頁77,https://www.kantei.go.jp/jp/singi/titeki2/230609/siryou2.pdf (最後瀏覽日:2023/08/22)。 [3]〈令和5年通常国会 著作権法改正について〉,文化庁,https://www.bunka.go.jp/seisaku/chosakuken/hokaisei/r05_hokaisei/ (最後瀏覽日:2023/08/22)。 [4]同前註2。 [5]同前註2,頁78。 [6]同前註2,頁78。