自日本產業競爭力強化法暨特區立法談監理沙盒立法之推動與課題

　　八位美國眾議員於2007年2月6日連署提出新法案，擬賦予司法部門首長更大的權限要求網路服務提供者（ISP）記錄用戶的網路活動並留存特定的用戶資訊。草案提交眾議院審議後，隱私保護機構紛紛表達反對立場。 　　此次由德州眾議員Lamar Smith主導的新法案「the Internet Stopping Adults Facilitating the Exploitation of Today's Youth Act of 2007（簡稱SAFETY Act）」中，ISP業者必須保留的用戶資料，最低限度需包括用戶姓名、地址、電話及IP位址；至於用戶資料的留存期間，則將交由美國司法部決定。以現況而言，多數ISP業者所保存的用戶資訊均在半年以下；然而美國司法部部長Alberto Gonzales曾於2006年9月公開倡議ISP業者資料留存期間，應以兩年為宜。 　　此外，草案亦要求ISP業者發現其所提供的服務存在兒童色情情事時，應主動通報主管機關，否將面臨15至30萬美元的罰金；若其有意地助長兒童色情的流傳，更可能面臨最高10年的徒刑。 　　批評者如「民主及科技中心」（Center for Democracy and Technology；CDT）表示，此法案不啻為對憲法修正條文第一條的威脅，毫無限制的授權更可能肇致用戶資料的留存期間成為司法首長個人得以專擅決策之事項。

　　歐盟法院於2008年1月29日判決（Az. C-275/06）指出，基於歐盟現行相關指令規範，並未強制或禁止電信服務提供者有提供客戶或使用者之個人資料的義務。 　　本案源起於西班牙著作權人團體Productores de Música de España對電信服務提供者Telefónica提出之著作權侵害訴訟。原告Productores de Música de España主張被告Telefónica有義務提供其網路使用者之身分，因該網路使用者乃透過被告所提供之連線服務，連線至檔案分享平台KaZaA，並提供下載違反著作權之音樂檔案。被告Telefónica 則根據西班牙現行資訊社會及網路使用之相關規範，拒絕提供該客戶之個人資料。根據西班牙法令，僅有在刑事犯罪追訴或有明顯侵害公益之情事下，始允許電信服務提供者提供客戶之個人資料。 　　西班牙法院因此向歐盟法院提出預先決定（Vorabentscheidung)*之請求，請其確認基於現行歐盟法規，各會員國是否應強制民事訴訟程序之當事人，即本案的電信服務提供者，有提供足以確認其使用者身分之資料的義務規定，以達有效遏止著作權侵害之目的。歐盟法院在分析各相關指令如電子商務、隱私權保障等相關規定後，認為歐盟現行法規並未就此議題有強制規定，各會員國應於考量隱私權以及其他權利之保障，且在不違法歐盟規範前提下，自行決定是否在國內制定類似之規定。 　　反觀德國在落實歐盟「儲存通訊資訊指令（Directive 2006/24/EC）」於國內法後，則允許在符合特定情況下，當事人於民事訴訟程序中有提供個人資料之義務。該法令因存有違反隱私權保護之爭議，通過後迄今仍有極大之反對聲浪。 *因歐盟條約規定，若會員國法院對於條約解釋、共同體組織與歐洲中央銀行行為之有效性與解釋以及執委會所設立的機構的章程之解釋有疑問，且會員國法院認為上述問題之決定於判決之作成有其必要，得申請歐洲法院裁決，此為預先決定。

　　美國聯邦商務部（Department of Commerce, DOC）下之工業及安全局（Bureau of Industry and Security, BIS）於2021年10月20日公布一暫行最終規則（interim final rule），對出口管制規則（Export Administration Regulation, EAR）進行修訂，其於商品管制清單（Commerce Control List）中增訂「可用於監視、間諜活動或其他破壞、拒絕、降低網路及其設備性能之工具」相關之出口管制分類編碼（Export Control Classification Number, ECCN）項目及說明文字，並增訂「授權網路安全出口（Authorized Cybersecurity Exports, ACE）」的例外許可規定（15 CFR §740.22），該暫行最終規則將於2022年1月19日生效。 　　被列入商品管制清單內的項目，原則上即不允許出口（或再出口、於國內移轉，以下同），惟透過ACE之例外許可，使前述項目可出口至大多數國家，僅在下列「再例外」情況需申請出口許可： 出口地為反恐目的地：出口目的地為15 CFR §740補充文件一所列類別E:1和E:2之國家時，須申請出口許可。 出口對象為國家類別D之政府終端使用者（Government end user）：政府終端使用者係指能提供政府功能或服務之國家、區域或地方之部門、機關或實體，當政府終端使用者歸屬於國家類別D時，須申請出口許可。惟若類別D之國家同時被歸類於類別A:6（如賽普勒斯、以色列及台灣），在特定情況下，如為弱點揭露、犯罪調查等目的，出口予該國之電腦安全事件回應小組；為犯罪調查、訴訟等目的，出口可展現資訊系統上與使用者相關、對系統造成危害或其他影響活動之數位製品（digital artifacts）予警察或司法機關；或出口數位製品予前述政府，而該數位製品涉及由美國公司之子公司、金融服務者、民間健康和醫療機構等優惠待遇網路安全終端使用者（favorable treatment cybersecurity end user）擁有或操作資訊系統相關之網路安全事件時，不適用ACE之再例外規定，而不須申請出口許可。 終端使用者為國家類別D:1、D:5之非政府單位：結合上述第二點之說明，不論出口至國家類別D:1、D:5之政府或非政府單位，皆受ACE之「再例外」拘束，而須申請出口許可。僅當出口特定之ECCN網路安全項目予優惠待遇網路安全終端使用者、基於弱點揭露或網路事件回應之目的出口予非政府單位，或對非政府單位的視同出口（deemed export）行為，方不適用再例外規定，而不須申請出口許可。 終端使用者限制：已知或可得而知該物品將在未獲授權之情況下，被用於影響資訊系統或資訊之機密性、完整性或可用性時，須申請出口許可。