美國《雲端法》(CLOUD Act)

  美國《雲端法》(CLOUD Act),全名為《釐清境外合法利用資料法》(Clarifying Lawful Overseas Use of Data Act),於2018年3月23日頒布生效,該法更新《1986年儲存通訊紀錄法》(Stored Communications Act of 1986),並釐清海外資料合法取得:無論資料儲存地在美國境內或境外,美國執法機構均可合法請求通訊紀錄的保存或揭露。

  《雲端法》有兩大重點:首先,《雲端法》授權美國與其他值得信賴的國家進行雙邊協議,以取得重大犯罪之電子證據。其他國家必須擁有相應的完善法規、隱私、公民權利之保護,方具備與美國簽署雙邊協議的資格。透過雙邊協議,締約雙方可憑對方國家的搜索票等法律文件,直接對通訊服務提供者強制執行。其二,《雲端法》闡明美國與相當多國家長久以來的原則─假設一間公司在特定國家的司法管轄權範圍內,則其所產生的資料應接受該國的管制,資料儲存地為何,在所不問。

  《雲端法》的立法背景可以追溯到2013年美國聯邦調查局(Federal Bureau of Investigation, FBI)進行緝毒受阻。當時,涉案美國公民的電子郵件存於微軟境外伺服器,FBI持有搜索令,但是微軟以《1986年儲存通訊紀錄法》管轄範圍不及於美國境外為由,拒絕提供系爭電子郵件。2016年聯邦第二巡迴上訴法院於Microsoft Corp. v. United States判決微軟勝訴─美國政府不得強制取得境外伺服器資料。然而,此訴訟存在相當多爭議,復有2018年《雲端法》之制定,微軟亦對《雲端法》表示支持。《雲端法》通過時,最高法院尚未做出判決;最終,最高法院於2018年4月17日撤銷Microsoft Corp. v. United States。2019年4月10日,美國司法部發布雲端法白皮書,匯集刑事和國家安全專業的律師之意見,並回答常見的問題,希望提升全球的公共安全、隱私及法治。

本文為「經濟部產業技術司科技專案成果」

相關連結
你可能會想參加
※ 美國《雲端法》(CLOUD Act), 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8291&no=645&tp=1 (最後瀏覽日:2026/07/09)
引註此篇文章
你可能還會想看
日本擬以金融商品交易法對虛擬貨幣之首次代幣發行予以監管

  由日本金融廳(FSA)與各界相關人士組成的「虛擬貨幣交換產業相關研究會」(仮想通貨交換業等に関する研究会)於2018年11月2日再度召開會議,本次會議主要針對是否需就ICO監管予以討論。   按ICO,乃是指虛擬貨幣之首次代幣發行(Initial Coin Offering),即向社會大眾發行數位代幣(token),並收取主流虛擬貨幣之籌資行為。在過去,日本僅以向金融廳諮詢會報的方式督導,對於虛擬貨幣之交易所僅課予註冊義務,並未對於ICO行為予以規範。而ICO因其大量之籌資行為可能產生之風險如詐欺、非法募資或洗錢,從而日本金融廳研擬將ICO列入「金融商品交易法」規範之。   而就ICO是否有受到金融監管之必要,會議中主要之考量有以下兩點: 使用虛擬貨幣之行為是否具有金錢上融資之功能,會議中對於不具權利性質之虛擬貨幣認為無監管必要; 引入金融監督機制是否符合社會期待。   另外,會議中並就ICO和首次公開募股(Initial Public Offerings,以下簡稱IPO)進行比較,有認為,倘若ICO具有如同IPO籌集資金之經濟功能,並且也可能產生如同IPO之相同風險,理應受到相同之規範。可為之規範例如對於賣家進行最低度審查,避免透過籌資為詐欺之可能;限制權利內容模糊不清之虛擬貨幣流通,並對發行人之財務和業務狀況進行篩選;課予ICO負有如同IPO之揭露義務,並須在網站上公布對於投資人有影響性之資訊;使發行價格更有衡量基準。另外JVCEA(日本仮想通貨交換業協会)作為監管機構,擬對於ICO在銷售開始、銷售結束,甚至銷售結束後仍課予持續的情報提供義務。   而於後續2018年11月26日召開之第十次會議中,表示對於ICO在未來不會採取禁止之態度,仍保持鼓勵之立場,但對於投資人之保護需要更全面予以考量,減少利用ICO詐欺之情形。另外,對於虛擬貨幣交換業者,需要加強對客戶財產之管理和維護,亦可能對其施加信託義務,俾利加強投資人信心。   ICO在日本非常盛行,但也因此詐欺案件頻傳,對於日本將以何種方式監管ICO;對於虛擬貨幣交換業者之規範,對投資人之保護是否足夠;又或是此類規範將形成交換業者反抗,依目前會議頻繁討論之程度應很快會有定論。惟對於此種新創之產業,往往需在監管與鼓勵發展間求取平衡,而日本在虛擬貨幣之發展上,又領先亞洲各國,對於此次監管議題後續發展,實值關注,並得以借鏡我國,作為我國在相同議題上之參考。

美國2018年5月14日拜杜法修法生效,NIH同年10月因應修法公布對應修正的研發成果經費資助政策

  美國拜杜法案修改由美國商業部的國家標準暨技術研究院(National Institute of Standards and Technology;簡稱NIST)於2018年5月14日發布生效,美國各界稱此次修法案為新拜杜法或是2018拜杜法(new Bayh-Dole Act Regulations)。除此之外;國家衛生研究院(National Institutes of Health;簡稱NIH)也於同年10月公布對應修正的研發成果經費資助政策,並調整IEdison系統以符合新法規。本次修法釐清多項定義、減低法規負擔、解決受資助單位與資助單位共有發明的問題、簡化電子控管程序。修法內容簡要說明如下: 適用範圍不限組織規模,包括非營利機構、小企業、個人,並擴及大企業。 若聯邦雇員是研發成果的共同發明人,其所有權由聯邦資助單位擁有。 一連串時間修正。包括(1)聯邦政府取得研發成果所有權改為無時間限制(原來是60天)。(2)研究機構須在專利申請期限60天前回復聯邦不申請專利的決定(原來是30天)。(3)美國臨時案申請轉為正式專利申請案的時限改為10個月,因為還需要加上提前60天通知聯邦機構不申請專利。 研究機構有權在工作合約要求職員將研究發明權利讓與給研究機構。 最初專利申請的範圍擴及PCT申請以及植物發明品種申請(原本僅限專利申請以及臨時案申請)。

歐盟對於「被遺忘權」公布指導方針與實施準則

  歐盟資料保護主管機關(European Union Data Protection Authorities, EU DPAs,以下簡稱DPAs)所組成的第二十九條資料保護工作小組(The Article 29 Working Party,以下簡稱WP29) ,於2014年11月26日宣布將適用5月13日Google西班牙案(C-131/12)判決結果之指導方針(guideline)。該項宣示確立了被遺忘權效力所及之範圍,以及各國DPAs受理資料主體(data subject)所提出訴訟之標準。   WP29表示,一如該判決所示,將連結於搜尋結果清單中移除,必須以全球網域為範圍,才能使資料主體權利受到完整、有效之保護,並且所依據歐盟資料保護指令95/46/EC才不至於受到規避。因此,儘管搜尋引擎營運者如Google認為,該項指令效力僅限制於歐洲,以及全球網域中低於5%歐洲網路使用戶,所以他們只需要將具爭議的連結,從歐盟網域的用戶搜尋結果中移除即可。但WP29則強調,倘若判決僅以歐盟網域為限制範圍,對於欲為歐盟公民隱私保護的立意來說,可能將無法全面保護。鑑此,歐洲隱私監管機構(Europe’s privacy regulators)亦於2014年11月26日表示,搜尋引擎營運者如Google公司,將連結於搜尋結果清單中移除,必須以全球網域為範圍,而非只是僅以歐盟境內網域為資料主體得要求實行被遺忘權(right to be forgotten)的範圍,以符合歐洲法院判決的要求結果。   自該判決所確立之資料保護權利主張,以資料主體發現某一搜尋係以其姓名為基礎,而搜尋結果的清單顯示通往含有該個人資訊網頁之連結,則資料主體得直接與搜尋引擎營運者聯絡(approach);次之,若搜尋引擎營運者不允其要求,資料主體則得轉向各國DPAs,在特定情形下,要求將該連結從搜尋結果清單之移除 。係該判決以歐盟資料保護指令95/46/EC為法規依據,經由釐清相關爭點、樹立指導方針及準則(criteria),謹分別列出如下: (一)搜尋結果是否連結至個人資訊,並且包含資料主體之姓名、筆名或暱稱; (二)是否資料主體在公領域居有重要角色或具公眾形象,以及是否公眾應具有取得前述資料之法益; (三)是否資料主體為少數例子,(意即顯見DPAs可能要求移除該搜尋結果) (四)是否資料具正確性; (五)是否資料具關聯性且不過份,並(a)連結至資料主體之工作生活;(b)搜尋結果(the search result)連結至據稱對訴訟者為憎恨、評論、毀謗、汙辱或具侵犯性資訊;(c)資料清楚反映為個人意見,或顯然受過驗證為事實。 (六)是否根據資料保護指令第8條,該資料具敏感性如個人健康狀況、性向或宗教信仰; (七)是否該資料已經過時,或是對於資料處理目的來說,其存在已為冗贅; (八)是否該資料處理已足生對資料主體之偏見,並且對其隱私已具有不對等的負面影響; (九)是否搜尋結果與資料連結,已造成資料主體暴露於危險威脅,例如竊取身分或受到跟蹤; (十)是否資料主體(a)自願使公眾知悉其資訊內容,或(b)可合理據知其所資訊內容將使公眾所知悉,或(c)意圖使公眾知悉其資訊內容; (十一)原有資訊是否以新聞目的為出版,而該項標準不得單獨為拒絕請求移除之基礎; (十二)資訊之出版者是否具有法律依據或義務,使該個人資料得公諸於世; (十三)是否該資料涉及刑事犯罪,而應由DPAs以公權力使犯罪者資訊公諸於世,原則上DPAs可能考慮對犯罪發生年代相對久遠、犯行較輕者,為搜尋結果之移除;而較不可能對近期發生、犯行嚴重者,為搜尋結果之移除。   以上13項準則皆立基於大眾取得資料權之法益為衡量,供各國依個案判斷是否受理資料主體所提出訴訟,以俾利未來各國DPAs處理相關爭訟之遵循依據。

德國數位經濟2017監測報告及建議

  德國經濟與能源部於2017年12月公布數位經濟2017監測報告,就ICT及網路經濟的表現和競爭力統計各產業數位經濟程度,並針對德國數位轉型現況及挑戰進行分析並提出相關建議。   報告資料指出, 在六大創新應用潛力的部分,14%的企業已投入工業4.0改造,集中於機械製造業,數量有逐步上升趨勢;物聯網應用則以服務業居多,特別是知識密集型服務提供者;33%的企業有提供智慧服務,以客戶為導向的企業,例如資通訊業、金融保險業,使用比例更為明顯;19%企業開始利用巨量資料,多集中於大企業或先進產業;11%企業有利用機器人及感測器;人工智慧則尚處於起步階段,而使用者多集中於資通訊產業。就上述資料顯示,推動數位轉型尚待加強。另外,今年監測報告聚焦「數位聯網及合作」議題,結果顯示,約六成的企業與其商業客戶有進行數位聯網,而只有約四成的公司與新創公司有合作,因此尚有許多創新潛力尚未得到充分利用。   國際數位經濟排名第六,落後美國、南韓、英國、日本、芬蘭。在獲得風險資本可能性的表現最佳,整體創新能力也處於相對領先地位,惟電子化政務服務較為落後,有待加強。在關鍵政策需求部分,以寬頻建設促進政策、創建數位化友善法律框架,以及獲取創新基礎的公共知識最受矚目。

TOP