歐盟法院裁決：網站「預先選取同意」不構成ePrivacy Directive及GDPR合法有效的同意

美國聯邦總務署（General Service Administration）於2024年6月27日發布《新興科技優先審查架構》（Emerging Technologies Prioritization Framework），該架構係為回應拜登總統針對AI安全所提出之第14110號行政命令，而在「聯邦政府風險與授權管理計畫」（Federal Risk and Authorization Management Program，以下簡稱FedRAMP）底下所設置之措施。 一般而言，雲端服務供應商（cloud service providers）若欲將其產品提供予政府單位使用，需依FedRAMP相關規範等候審查。《新興科技優先審查架構》則例外開放，使提供「新興科技」產品之雲端服務供應商得視情況優先審查。 現階段《新興科技優先審查架構》所定義之「新興科技」係為提供下列四種功能的生成式AI技術： 1.聊天介面（chat interface）：提供對話式聊天介面的產品。允許用戶輸入提示詞（prompts），然後利用大型語言模型產出內容。 2.程式碼生成與除錯工具（code generation and debugging tools）：軟體開發人員用來協助他們開發和除錯軟體的工具。 3.圖片生成（prompt-based image generators）：能根據使用者輸入之文字或圖像而產生新圖像或影像的產品。 4.通用應用程式介面（general purpose API）：基於API技術將前述三項功能加以整合的產品。 美國政府為挑選最具影響力的產品，要求雲端服務供應商繳交相關資料以利審查，例如公開的模型卡（model card）。模型卡應詳細說明模型的細節、用途、偏見和風險，以及資料、流程和參數等訓練細節。此外，模型卡應包含評估因素、指標和結果，包括所使用的評估基準。 《新興科技優先審查架構》第一波的申請開放至2024年8月31日，且FedRAMP將於9月30日宣布優先名單。這項措施將使生成式AI技術能夠以更快的速度被導入政府服務之中。

　　擁有Lancome、YSL（Yves Saint Laurent）及Garnier等全球知名品牌的法國L'Oreal集團，於2007年9月向於英國、法國、德國、比利時及西班牙等五國的法院提起商標侵權訴訟，控告全球網拍龍頭eBay放任網路使用者於eBay出售仿冒的香水、化妝品及其他L'Oreal集團產品，導致L'Oreal蒙受重大損失，主張eBay應為網路使用者的侵權行為負起連帶責任。   　　但繼2008年8月比利時法院率先判決eBay勝訴後，2009年5月法國及英國法院亦接連判決eBay勝訴。法國巴黎法院於5月14日作成的裁決中，表示eBay已恪遵自身所負義務並以良善態度解決仿冒商品問題，因此eBay毋庸為網路使用者的侵權行為加以負責；法院同時表示eBay與L'Oreal雙方應攜手合作，共同制定打擊侵權行為的策略，以防制仿冒商品繼續透過網路販售流通。   　　法方判決eBay勝訴未久，英國法院緊接於5月22日判決eBay勝訴，對於接連獲勝，eBay仍再三強調本身僅係一單純提供商品交易服務之平台，自無須就使用者侵權行為加以負責；L'Oreal則表示eBay有責採取進一步的措施，以杜絕網路使用者販售仿冒的L'Oreal商品，其並表示未來仍將以eBay助長商標侵權為由，持續於歐洲各國提出訴訟。

　　面對層出不窮資料違背或身份竊盜事件，2014年初， FTC於美國國會的例行會議上，就數位時代關於隱私權之保護課題進行作證，會議中，FTC乃呼籲美國國會應立即通過制定一個更強的聯邦資料安全與違背提醒的法律，其也進而提出「個人資料隱私暨安全法案（草案）」 (Personal Data Privacy and Security Act of 2014, S.1897)。該草案主要分成兩大部分: 第一部份，將強化身份竊盜和其他違反資料隱私與安全之懲罰；第二部份，係關於可茲辨識個人資料(PII)之隱私和資訊安全。 　　法案第202條係關於「個人資料隱私與安全機制」（personal data privacy and security program），目的在強化敏感性可茲辨識個人資料的保護，從行政(administrative)、技術(technical)和實體(physical)三個構面的防衛機制，進行相關標準之制訂與落實。有關適用之範疇，乃就涉及州際貿易之商業實體，而該州際貿易包含蒐集、近取、傳輸、使用、儲存或在電子或數位格式處理可茲辨識個人之敏感性資料，而這些資料總計多達1萬筆以上，然而，將不適用於金融機構(financial institutions)、醫療保險轉移和責任法(HIPPA)所管制者、服務提供者(service provider)和公共紀錄(public records)。 　　而在機制設計上，也係從「設計」(DESIGN)、「風險驗證」 (RISK ASSESSEMENT)和「風險管理」(RISK MANAGEMENT)三個角度進行切入，也必須確實提供員工教育訓練(TRAINING)、弱點測試(VULNERABILITY TESTING)、定期驗證和個人資料隱私與安全之更新，另外，在與外部與服務提供者(例如ISP)之關係上，公司必須盡到適當勤勉的義務(due diligence)，也必須透過契約(contract)方式，約定前述所建置起之資料隱私安全機制，並在安全性遭受到侵害時，以合理方式通知締約他方。 　　本案目前在聯邦參議院已經二讀通過，已交付參議院司法委員會進行下一階段的審議，該立法草案未來是否會直接或間接影響物聯網環境生態系統之商業運作，有待未來持續關注之。

　　英國資訊專員辦公室(Information Commissioner's Office，簡稱ICO)在歐盟資料保護主管機關(European Data Protection Authorities) 針對WhatsApp與其母公司Facebook間進行資料共享之行為提出相關顧慮之後，於2016年8月就上開事件是否涉及違反英國資料保護法(Data Protection Act)啟動調查，調查結果終於在2018年3月14日出爐並且雙方達成協議。 　　ICO調查結果是WhatsApp並無正當且合法之理由與Facebook進行資料共享，惟並未對WhatsApp進行任何懲罰，原因乃是WhatsApp並未分享英國用戶之資料予Facebook，並未直接違反英國資料保護法，因為WhatsApp被定位在資料處理者(data processor)，只要運作是合法的且不侵擾人們之人權，即可容許。不過WhatsApp仍向ICO承諾將停止分享其用戶個人資訊予Facebook，此協議將持續到GDPR生效為止，亦即此後WhatsApp與Facebook間之資料共享若符合GDPR之規範，則可在基於安全防護之目的下進行或是改善其產品與廣告行銷。 　　ICO調查專員Elizabeth Denham指出WhatsApp不應與Facebook間進行資料共享之理由有三：一、WhatsApp並未確認其與Facebook間所進行之個人資料分享係基於何種法律依據；二、WhatsApp並未向其用戶適當且公平地揭露其如何處理、分享用戶之資料；三、對於WhatsApp既有之用戶而言，WhatsApp與Facebook間資料共享之處理目的與當初WhatsApp獲取其用戶資料之目的，二者並不相符。 　　惟歐盟其他國家對於WhatsApp之處置可能不若英國寬容。例如，法國國家資訊自由委員會(Commission nationale de l'informatique et des libertes，簡稱CNIL)正對其採取執法行動，而漢堡資料保護與資訊自由委員會(Hamburg Commissioner of Data Protection and Freedom of Information)將案件提交到高等行政法院，該法院並已禁止Facebook使用從WhatsApp共享中所獲得之資料。