德國聯邦資訊技術，電信和新媒體協會針對AI及自動決策技術利用提出建議指南

手機軟體（APP）辨識來電號碼之法律問題 科技法律研究所 102年03月25日 壹、事件摘要 　　我國自2005年開始推展行動電話「號碼可攜」服務，允許使用者將行動電話號碼申請移轉至另一業者。當號碼進行移轉時，為降低通話路由資訊傳遞之延遲、避免業者間轉換作業之延宕，通傳會指導各業者共同建立集中式資料庫，整合業者號碼管理資源，增進號碼可攜服務之效率。 　　日前有某非屬電信事業之業者，設計一款應用軟體，提供智慧型手機使用者下載、安裝後，可自行上傳通訊錄內之電話號碼，並透過電信事業之「號碼可攜集中式資料庫」，確認並辨識通訊錄內電話號碼所屬電信業者，將資訊回傳於使用者之智慧型手機。由於電話號碼屬於使用者個人資料之一環，本文以下分析「非電信事業與電信事業合作，於號碼可攜目的外，對資料庫內之資料進行蒐集、處理與利用是否違反個資法」之疑義。 貳、重點說明 　　「號碼可攜集中式資料庫」之設立主要目的在使不同業者間能準確的完成通訊的連接。然而，通傳會於96年10月亦有要求各電信業者設置查詢系統，提供用戶查詢欲致電之受話方是否係屬同家業者，進而協助用戶瞭解可能之通訊資費計算。換言之，通傳會認為辨識電信號碼屬於網內/外，屬於消費者規劃、理解其電信資費之權益。而目前亦有手機軟體可輔助消費者查詢相關資訊。 　　那麼，可否允許消費者進一步查詢致電對象所屬的業者呢？是否違反個人資料保護法的規定呢？ 　　如前所述，通傳會認為使消費者瞭解電信號碼屬於網內/外，有助於資費理解之權益。我們更進一步說，允許查詢號碼所屬門號，不僅消費者可知悉資費之數額計算以決定是否致電，尚可決定是否使用相同電信業者之服務來打電話。我國行動電話普及率早已超過120%，有相當比例之消費者擁有二個以上之門號，若可揭露致電號碼所屬電信業者，使消費者可刻意選擇以網內門號致電，無疑具有相當實益。因此我們認為電信業者提供消費者以手機軟體查詢門號所屬業者，並不違反個資法上針對電信服務規範之「特定目的」（第133項：經營電信業務與電信加值網路業務）。一般的行動電話用戶，可透過電信業者查詢其所致電對象之門號所屬業者，則居於輔助地位的APP軟體，與用戶直接向業者查詢相比，實則無任何不同，應視為用戶之合理行為。 參、事件評析 　　個資法修正後，對於個人資料之保護更加的完善，但科技之發展使得個人資料之利用呈現多樣性，難以釐清某些利用行為是好是壞，然而本文基於鼓勵科技發展以及創新研發的立場，當面對某些個資利用情狀產生疑義時，應加以釐清其運用之情狀，避免在情境不明時，過度的擴張個資保護的界線，對市場發展以及消費者權益而言，並非好事。 　　當然另一方面而言，濫用科技便利的情形是存在的，如同2012年12月甫結束之ITU國際電信大會（WCIT2012），多國所簽署之修正電信管制規則第5B條所示，要求各國應努力採取必要措施，防止未經許可之濫發電子訊息，以減少對國際電信業務之影響。由於網路無遠弗屆，具騷擾性、浮濫發送之訊息，已從早期之垃圾電子郵件，擴及網路即時通訊軟體，不但時常造成使用者之困擾，甚至造成詐騙橫行。而這些狀況，光依靠個資法也是不足的，尚須主管機關對於濫用電信資源加以管制，從個人資料與電信資源等層面多管其下，方能維護良好之產業環境。

　　為了減少美國專利訴訟泛濫，及防止專利蟑螂輕易向他人提起專利訴訟，美國最高法院在2014年6月 對兩件專利訴訴訟案進行判決，此決定也對專利權人及專利蟑螂不利。 　　首先，最高法院針對Limelight Networks v. Akamai Technologies否決聯邦上訴法院的判決。聯邦法院認為Limelight雖然沒有使用Akamai商業方法中每一個過程步驟之專利，但其使用其方法專利之其中方法就算造成間接侵權（induced infringement）。然最高法院認為，聯邦法院的判決對於間接構成侵權有誤解，Limelight所使用的商業方法並沒有引導間接構成侵權。此決定對於現今網路科技盛行之時代有很重要的影響，更防止不實施專利體及專利蟑螂隨意對潛在對象提起專利訴訟。 　　另一個案件為Nautilus, Inc. v. Biosig Instruments, Inc，最高法院亦駁回聯邦上訴法院之判決，對於專利說明（patent claim）的內容清楚性作出新的說明。聯邦上訴法院在此案中對於專利法第112條中專利說明的要求作出解釋，認為凡是專利說明不會難以解釋且模糊（insolubly ambiguous），專利說明皆可符合專利法規定。但最高法院採不同見解，認為聯邦法院的見解不符合專利法之規定，規定專利說明的內容必須要合理且明確，使可符合專利法的要求。此決定對於專利蟑螂尤其是一大打擊，過往專利蟑螂多以模糊的專利說明來進行專利訴訟，但今後要求明確的專利說明，讓雙方有更清楚的專利說明依據進行專利訴訟。

　　2012年3月Google將世界各地總共60個相異的個人資料隱私權政策統一後，即受到歐盟個人資料保護機構「第29條工作小組」的關注，該小組認為Google修訂後的個人資料隱私權政策違反歐洲資料保護指令（European Data Protection Directive (95/46/CE)），將難以讓使用者清楚知悉其個人資料可能被利用、整合或保留的部分。同時，Google亦可能利用當事人不知情的情況下，大量利用使用者個人資料。因此，2012年10月歐盟要求Google在4個月內對該公司的個人資料隱私權政策未符歐盟規定者提出說明，惟至今Google仍無回應。因此，歐洲6個國家，包括法國、德國、英國、義大利、荷蘭及西班牙的個資監管機構，將聯合審視Google的個人資料隱私權政策是否違反各國的法律，並依據各國法律展開後續措施，如鉅額罰款等。法國之資訊自由國家委員會（Commission nationale de l'informatique et des libertés，簡稱CNIL）率先表示，若Google於4月11日前未改善其資料隱私權政策，法國將首先採取法律行動。然Google對此僅簡單回應，表示其資料隱私政策尊重歐盟的法律，且可以讓Google提供更簡單、更有效率的服務。

　　自2016年Mirai殭屍網路攻擊事件後，物聯網設備安全成為美國國會主要關注對象之一，參議院於2017年曾提出「2017年物聯網網路安全促進法」（Internet of Things Cybersecurity Improvement Act of 2017）草案，防止美國政府部門購買有明顯網路安全性漏洞之聯網設備，並制定具體規範以保護聯網設施之網路安全，然而該法案最終並未交付委員會審議。 　　2019年4月，美國參議員Mark Warner提出「2019年物聯網網路安全促進法」草案（Internet of Things Cybersecurity Improvement Act of 2019），再度嘗試建立物聯網網路安全監管框架。本法將授權主管機關建立物聯網設備所應具備之安全性條件清單，而該清單將由美國國家標準與技術研究院（National Institute of Standards and Technology）擬定，並由管理與預算局（Office of Management and Budget, OMB）負責督導後續各聯邦機關導入由美國國家標準與技術研究院所制定之網路安全指引。本法草案相較於2017年的版本而言雖較具彈性，惟網路安全專家指出，清單之擬定與執行管理分別交由不同單位主責，未來可能導致規範無法被有效執行，且聯邦各層級單位所需具備之資安防護等級不盡相同，如何制宜亦係未來焦點。