美國德克薩斯州聯邦北區地方法院駁回德國汽車零組件供應商大陸集團對Avanci授權SEP模式違反反托拉斯法訴訟

由歐盟網路中立規範看Three及Vodafone被調查之流量管理措施 資訊工業策進會科技法律研究所 法律研究員　吳采薇 107年5月18日 　　歐盟於2016年4月30日正式通過Regulation 2015/2120[1]，此為歐盟近年來針對網路中立重要的基本規範，直接拘束所有會員國（含英國）境內之電子通訊網路與服務[2]，歐洲電子通傳監管機構（Body of European Regulators for Electronic Communications, BEREC）依據前揭規範，發布「執行網路中立管制之指導原則[3]」，供執法之參考。 　　在歐盟網路中立規範下，英國通訊局（Office of Communications, OFCOM）為網路中立管制之執法機關，其須使網路服務提供者（Internet Service Provider, ISP）的行為遵守歐盟網路中立之規範，以確保消費者可以自由且以一定的網路品質接取網路內容或使用服務[4]。OFCOM於2018年3月6日宣布針對英國行動通訊營運商Three及Vodafone啟動首波違反網路中立之調查[5]，此亦為歐盟網路中立規範施行後，英國境內首次發起之網路中立調查行動，其調查重點主要為ISP業者的流量管理措施，包括行動漫遊的網路流量，以及前述歐盟網路中立規範限制之行為。 　　本文以前述OFCOM對Three及Vodafone之調查案，說明ISP業者可能違反歐盟網路中立之流量管理措施態樣，並從歐盟網路中立規範進行適法性之討論，期望透過本案的探討能幫助各界對歐盟或英國網路中立之發展有所瞭解。 壹、Three及Vodafone被調查之流量管理措施 　　OFCOM於2018年3月6日宣布將對英國ISP業者啟動違反網路中立之調查[6]。OFCOM在經過證據蒐集程序後，後續將特別著重於Three及Vodafone兩家業者的流量管理措施，以決定其是否違反歐盟網路中立之規範，同時也不排除可能會調查其他ISP業者的流量管理措施，相關調查結果預計將於2018年6月公布[7]。有關OFCOM對於Three及Vodafone的調查重點項目，分別說明如下： 一、針對Three的重點調查項目 　　Three係由Hutchison 3G UK Limited公司所經營，其提供3G及4G行動數據與寬頻服務[8]。本次OFCOM調查Three的重點項目包括： （一）限制網路熱點共享 　　在Three部分服務資費方案中，可能有限制網路熱點共享（tethering）之功能，亦即使用者無法利用其裝置（device）分享網路接取服務，以供其他裝置使用。 （二）對SIM卡的使用施加限制 　　根據初步資料顯示，使用者購買Three門號搭配手機之資費方案，所取得之SIM卡無法替換至平板使用。 （三）對特定種類之流量進行降速 　　Three流量管理措施可能針對特定種類之流量進行降速，例如視訊流量（video traffic）、點對點網際網路傳輸技術（P2P）及虛擬私人網路（Virtual Private Network, VPN）流量等，特別是消費者處於漫遊服務（roaming）時降速情況較為明顯。 二、針對Vodafone的重點調查項目 　　Vodafone係由Vodafone Limited公司所經營，其提供的電信服務包括固網與行動寬頻服務[9]。OFCOM調查其所提供之Vodafone Passes[10]資費方案可能涉及違反網路中立。調查重點如下： （一）對特定服務降速 　　Vodafone Passes可能有施加流量管理措施之情形，亦即針對特定類別服務的流量進行降速，特別是消費者在特定地區使用漫遊服務時降速情況更為明顯。 （二）零費率項目不夠透明 　　對於Vodafone Passes零費率（zero-rating）服務所排除之項目，相關資訊不夠透明，造成消費者難以清楚知悉。申言之，Vodafone Passes零費率的應用服務中，部分服務功能所使用之網路流量仍會被計入資費方案流量之中，而非如消費者所預期中之零費率服務，且消費者未能有效取得相關資訊。 貳、歐盟網路中立規範下Three及Vodafone流量管理措施之適法性探討 　　針對前述Three及Vodafone被調查之流量管理措施，本節嘗試以歐盟網路中立規範進行適法性之探討。首先將概述歐盟網路中立規範之核心內涵，接著依據前述調查重點項目，歸納本案所涉及之流量管理措施態樣，進而討論Three及Vodafone的流量管理措施在歐盟網路中立規範下之適法性。 一、歐盟網路中立規範之核心內涵 　　歐盟Regulation 2015/2120之目標為「建立網際網路接取與數據傳輸之平等且不歧視原則[11]」，其要求網路接取服務之提供，除為法律義務之履行、維持網路之完整性或在特殊情況下所為之網路壅塞管理外，不可封鎖、減速或歧視內容或應用服務提供者，以確保消費者可以自由且以一定的網路品質接取網路內容或使用服務。 　　在規範主體與範圍的部份，Regulation 2015/2120第1條將「終端使用者」（End-users）列為網路中立政策之受益者，而BEREC所頒布之指導原則[12]進而解釋「終端使用者」之內涵，一是作為自然人身份的消費者，即普通歐洲民眾，另一是帶有法人性質的網際網路內容和應用服務提供商（Content and Application Provider），例如提供網頁、部落格、影片、搜尋引擎、網際網路協定通話技術（Voice over IP）等業務的實體法人[13]。 　　在實體權利部分，Regulation 2015/2120第3條及第4條確立了網路中立與資訊透明原則。針對第3條網路中立權利的保障，該條目的為保障開放的網際網路接取，包括讓終端使用者有權接取及傳送網路資訊與內容、自由選擇終端設備，以及禁止ISP業者流量傳輸之差別待遇、限制或干擾流量傳輸等。 　　接著，在第4條確保網路中立的資訊透明措施，要求ISP業者必須採取透明化措施，包括應清楚載明並公開流量管制措施及其所產生的影響、流量上限、傳輸速度及其他可能影響服務品質的情況，以及終端使用者隱私及個資保護措施等。 二、Three及Vodafone流量管理措施之適法性探討 　　承續前述Three及Vodafone被調查之流量管理措施，OFCOM網路中立調查之文件，並未載明Three及Vodafone之流量管理措施可能違反哪些網路中立規範。但經本研究初步歸納發現，Three及Vodafone遭到調查之行為，其可能違反Regulation 2015/2120之條文，包括：（一）Three限制網路熱點共享的功能，以及對SIM卡的使用施加限制，可能與Regulation 2015/2020第3條第1項規定終端使用者能「自由選擇終端設備」之意旨有所違背；（二）Three與Vodafone對特定種類之流量進行降速，可能違反前述第3條第3項「流量傳輸之差別待遇」規定；（三）Vodafone Pass 零費率項目資訊未能透明化，恐違反前述第4條「資訊透明化措施」之要求。有關各該條文內容與適用至個別行為之探討，詳細說明如下： （一）自由選擇終端設備 　　根據歐盟Regulation 2015/2020第3條第1項規定，任何網路終端使用者有權透過網路接取服務，近用並傳送資訊與內容，亦得使用、散布網路應用軟體與服務，且可自由選擇終端設備，此權利不受終端使用者或網路內容提供者所在之地點限制，也不會因為其資訊、內容、應用或服務之形成與來源有所限制。BEREC指導原則針對前述第3條第1項規定進一步說明，有關「自由選擇終端設備（terminal equipment of their choice）的權利」，各國監管機關應該評估ISP業者是否提供設備予其用戶，並限制該終端用戶以自己的設備更換該設備的能力[14]，易言之，ISP業者提供的設備實質上屬於「強制性設備」（obligatory equipment）[15]。 　　其次，各國監管機關應評估前述「強制性設備」的使用，是否是基於客觀上的技術要求並為ISP網路的必要部分。若否，但ISP業者仍限制消費者自由選擇終端設備的權利，則可能侵害消費者自由選擇終端設備之權利，而與規範意旨有別。例如，限制網路熱點共享的措施極可能構成限制終端使用者「自由選擇終端設備」之行為，因為ISP業者、終端設備的製造商或經銷商，都不應該對連接網路所使用的終端設備，施加任何限制[16]。 因此，本案Three限制裝置之間的網路熱點共享，以及對SIM卡的使用施加限制（僅能使用於手機），都可能侵害使用者自由選擇終端設備的權利，而違反歐盟網路中立之規範。 （二）流量傳輸之差別待遇 　　歐盟Regulation 2015/2020第3條第3項第1款規定，網路接取服務提供者應公平對待所有的網路流量，不可對傳送方或接收方有任何歧視、限制或干擾[17]；此條款明示網路接取服務提供者不得有封鎖（block）、減速（throttle）或歧視線上內容、應用與服務的行為。但同項第2款中另有業者得進行合理網路管理之例外條款存在，允許服務提供者在非基於商業考量下，可執行合理流量管理措施，然該措施應符合透明、不歧視及比例原則，且不得監控特定之內容或持續超過所必須之時間。同時，同項第3款也明確指出流量管理措施必須是基於履行歐盟或會員國之法律義務、確保網路之完整性與安全性，或預防可能發生之網路壅塞（impending network congestion）或特殊情況下之網路壅塞[18]。 　　本案Three對於視訊流量、P2P及VPN流量疑似有降速措施，而Vodafone似乎也有在特定地區對Vodafone Passes產品降速之疑慮，因此評估適法性之重點在於業者的降速措施，是否為歐盟網路中立規範容許範圍。根據BEREC指導原則對前述第3條第3項之說明，各國監管機關可採取兩步驟的評估方式，第一、先評估是否所有流量皆平等對待；第二、應評估情況是否相似或不同，以及是否有客觀依據可以證明ISP業者係對不同情況採取不同的對待[19]。 　　是故，OFCOM必須先確定Three及Vodafone是否對於特定流量採取差別待遇。其次，若有差別待遇的事實，則需進一步探討該差別待遇是否符合前述第3項第2款之例外條款，亦即有客觀依據可以證明ISP業者係針對不同情況，例如為履行法律義務、確保網路之完整性與安全性，或預防可能發生之網路壅塞，而合法地採取差異性的流量管理措施。 （三）資訊透明化措施 　　Regulation 2015/2020第4條針對透明化措施規定，網路接取服務提供者應在服務契約中清楚載明並公開揭露相關事項，例如：（1）流量管理措施對相關服務所產生之影響、終端使用者隱私與個人資料保護措施；（2）說明任何對流量的限制、傳輸速度及其他可能影響服務品質的情況；（3）對於終端使用者所使用或購買之終端設備應適用第3條第5項[20]之規定，並提供消費者詳盡之解釋等。 　　BEREC指導原則建議資訊透明之實際作法，包括：（1）於契約條款中以清楚、易於理解的內容並讓人容易瞭解之形式揭露，甚至是將揭露資訊公開於ISP業者網站；（2）各國監理機構應確保ISP業者實踐資訊揭露義務，以及其揭露的資訊係清楚且易於理解的，相關評估準則例如：該資料易於取得及辨別、資料正確且持續更新、對終端使用者具有意義、不同提供者之間資料可作比較，以瞭解其差異性與相同性；（3）資料可分為一般概述性資料（general）及更多技術性參數細節兩部分進行揭露[21]。 　　本案Vodafone所提供之Vodafone Passes屬於零費率產品，並不違反歐盟網路中立之規範[22]。但在透明化措施方面則仍有不足，其官方網站或契約中僅說明特定內容或應用服務享有零費率，但實際上該特定內容或應用服務僅部分適用零費率，其他部分則仍會被計算流量收費，且消費者未能清楚知悉與辨別，是以可能違反前述第4條對於透明化措施之要求。 參、結語 　　本次OFCOM對Three及Vodafone網路中立的調查結果，勢將成為ISP業者在遵守網路中立規範與執行上的重要適法性參考文件。同時，本次調查一旦發現有違反流量管理及透明化措施義務之事實，OFCOM將可依據歐盟相關規範之授權進行裁罰，裁罰金額最高可達該業者相關業務營業額的10％，並要求違反的業者提交改善與補償措施[23]。 　　歐盟網路中立之規範已正式上路，但該規範僅對於網路中立作原則性的規範。BEREC公布的網路中立指導原則雖可作為各會員國監管機關落實網路中立之參考標準，但如何涵攝至具體實務之上，仍需仰賴後續個案的討論，以建立執法基準並讓ISP業者知所舉措，因此，歐盟網路中立規範的運作及發展將值得吾人持續觀察。 [1] REGULATION （EU） 2015/2120 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 25 November 2015 laying down measures concerning open internet access and amending Directive 2002/22/EC on universal service and users’ rights relating to electronic communications networks and services and Regulation （EU） No 531/2012 on roaming on public mobile communications networks within the Union. [2] 依據歐洲聯盟運作條約第288條規定，規章（Regulation）具有一般的效力；並直接適用於每個會員國。參考自陳麗娟，《里斯本條約後歐洲聯盟新面貌》，五南圖書出版，第二版，頁63（2013）。 [3] BEREC, BEREC Guidelines on the Implementation by National Regulators of European Net Neutrality Rules, BoR （16） 127, Aug. 2016, available at http://berec.europa.eu/eng/document_register/subject_matter/berec/download/0/6160-berec-guidelines-on-the-implementation-b_0.pdf （last visited Apr. 02, 2018）. [4] European Commission, Open Internet, https://ec.europa.eu/digital-single-market/en/open-internet-net-neutrality （last visited Mar. 19, 2017）. [5] OFCOM, Own-initiative enforcement programme into fixed and mobile Internet Service Provider traffic management measures, and other practices covered by the EU Open Internet Access Regulation, Mar. 06, 2018, https://www.ofcom.org.uk/about-ofcom/latest/bulletins/competition-bulletins/open-cases/cw_01210 （last visited Mar. 26, 2018）. [6] Supra note 3. [7] Id. [8] Company Overview of Hutchison 3G UK Limited, Bloomberg, https://www.bloomberg.com/research/stocks/private/snapshot.asp?privcapId=26671318 （last visited April 03, 2018）. [9] Company Overview of Vodafone Limited, Bloomberg, https://www.bloomberg.com/research/stocks/private/snapshot.asp?privcapId=8186589 （last visited April 03, 2018）. [10] Vodafone Passes為Vodafone推出之零費率（zero-rating）產品，該產品可以將使用者經常使用之特定高流量服務排除於基本流量之計算，例如Netflix、YouTube、Facebook等。Vodafone Passes又分成四種子類別，包括視聽類（video pass）、通訊類（chat pass）、音樂類（music pass）及社群類（social pass），各類別的零費率項目皆不相同。資料來源：Vodafone, Vodafone Passes, https://www.vodafone.co.uk/pass/ （last visited Mar. 29, 2018）. [11] Supra note 1. [12] Supra note 3, at 15. [13] Id, at 4. [14] Id, at 15. [15] Id, at 9. [16] Ibid. [17] Supra note 3, at 8. [18] Ibid. [19] Supra note 3, at 14. [20] Regulation 2015/2020在第3條第5項第1段定義特殊服務（specialised services），該條款允許ISP業者基於服務特性、內容應用之特別品質要求（specific quality requirements），如遲延（latency）、封包遺失（packet loss）等，得提供特殊服務。 [21] Supra note 3, at 31. [22] 零費率的實施不得與Regulation 2015/2020第3條抵觸，亦即當消費者已達其可使用數據服務之流量上限（data cap），而被服務提供者降速或停止使用數據服務時，如果零費率的應用依舊可以使用或其使用相較於其他應用有不同的傳輸速度，則服務提供者即違反第3條應公平對待所有傳輸數據之規定。易言之，只要消費者在未達到其資費方案之數據傳輸上限前，零費率並不違反前揭第3條的規定。Supra note 3, at 11-13. [23] Id, at.6.

2025年8月6日，行動支付技術開發公司Fintiv向喬治亞州北區聯邦地方法院亞特蘭大分院控訴Apple科技公司以詐欺手段竊取Fintiv公司的前身公司CorFire的專屬行動支付技術，違反《保護營業秘密法》（Defend Trade Secrets Act，DTSA）及《喬治亞州營業秘密法》（Georgia Trade Secrets Act，GTSA）等規定，向法院尋求賠償。 Fintiv公司主張Apple公司在2011年至2012年間，以行動支付技術之業務合作為由，與CorFire公司進行多次技術性洽談。Apple公司利用雙方簽訂之保密契約，取得CorFire公司的行動支付技術的詳細實施方案之接觸權限，並要求CorFire公司上傳部分機密資料至Apple公司管理的共享平臺，以促進合作交流關係，最終Apple公司放棄與CorFire公司的合作計畫，Apple公司卻將協商期間所獲技術內容整合，並應用於其在2014年推出的Apple Pay行動支付服務。Fintiv公司進一步主張Apple公司為將Apple Pay商業化，與信用卡處理商及銀行組成企業聯盟，並隱瞞其非法取得技術的真相，宣稱Apple公司自主研發Apple Pay。Fintiv公司指出，Apple公司此舉不僅損害Fintiv公司的合法權益，也嚴重破壞市場競爭秩序。此外，Fintiv公司表示，Apple公司多年來有系統地採取類似策略，如以合作名義獲取其他企業之機密，進而不當使用多項機密以進行商業化使用。 觀察前述實務案例可得知，即使雙方基於保密契約交換機密資料，仍存在終止合作衍生的機密外洩糾紛，如：機密資料歸屬不清、逾越授權範圍使用機密資料等風險。建議企業在「資料提供前」，應先透過「盤點」營業秘密與機密「分級」，確認合適揭露的機密資料，再藉由「審查」機制確認必要揭露的內容；在「資料提供後」，要求他方提供機密資料之「收受證明」以明確歸屬，並在合作關係結束後，要求他方「聲明返還或銷毀機密資料」，以降低他方不當使用機密資料的風險。 前述建議之管理作法已為資策會科法所創意智財中心於2023年發布之「營業秘密保護管理規範」所涵蓋，企業如欲精進系統化的營業秘密管理作法，可以參考此規範。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

新版個資法與個資保護管理制度 科技法律研究所 2013年4月1日 壹、事件摘要 　　國內於1995年制定施行「電腦處理個人資料保護法」，在資訊科技日新月異下，加諸法規本身適用上的限制，原有法制設計已不符實務需求。考量個資外洩事件日漸增加，歷經長時間討論，國內於2010年4月三讀通過新版個資法，將法律名稱調整為「個人資料保護法」，並在2012年10月1日正式實施新制。新法不僅全面調整法規內容，並大幅加重企業所負義務與責任，就民事責任而言，單一事件 賠償金額最高達到10億。對國內產業而言，如何有效因應個資法要求，採取妥適的對應策略降低風險，已成為企業運營上的關鍵課題。 貳、重點說明 一、新版個資法暨施行細則正式施行 　　個人資料保護可說是近期國內最受重視的議題，事實上國內早於1995年8月即制定施行「電腦處理個人資料保護法」，惟經過十餘年的發展，在電腦與資訊科技日新月異下，包括電子商務等新興商務模式，均廣泛蒐集個人資料，個人隱私的妥善保護，日益重要。然而，原有的「電腦處理個人資料保護法」，於適用主體方面，存在著行業別的限制，僅有「徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業」等八種特定事業，以及經由法務部會同中央目的事業主管機關共同指定的行業，方受到規範；此外，該法所保護的客體，亦限於經由「電腦或自動化設備」處理的個人資料，才受到保護，不包括非經電腦處理的個人資料，對於保護個人資料隱私權益規範，明顯不足。 　　個資外洩事件層出不窮下，2007年行政院消費者保護委員會提出的十大消費新聞中，「電子商務、電視購物個資外洩事件」即高居首位，促使法務部與經濟部透過「共同指定」方式，使無店面零售業（包括網路購物、型錄購物、電視購物等三種交易態樣）自2010年7月1日起適用「電腦處理個人資料保護法」。 　　為使個人資料保護法制規範內容，得以因應急速變遷的社會環境，行政院甚早即已提出「電腦處理個人資料保護法修正草案」，並將名稱修正為「個人資料保護法」，歷經立法院會多次討論，終於在2010年4月三讀通過，法律名稱調整為「個人資料保護法」，於5月26日由總統府正式公布。新法雖於2010年4月三讀通過，但為使企業及民眾有充分時間了解並因應新法，新版個資法並未於公布日施行，而是於該法第56條規定，由行政院另訂施行日期。經過長時間討論，「個人資料保護法」已由行政院決定在2012年10月1日正式實施，惟新法第6條關於特種資料原則上不得蒐集、處理與利用，以及第54條要求新法實施前已間接取得的個人資料，必須在一年內補行告知等二項規定，保留暫緩實施。 　　就個人資料保護法制而言，除最為重要的「個人資料保護法」外，依據母法制定的施行細則，也扮演著關鍵性的角色。原有的「電腦處理個人資料保護法施行細則」於1996年5月1日發布施行，鑒於「電腦處理個人資料保護法」已於2010年進行修正，並將名稱修正為「個人資料保護法」，法務部也配合新法修正內容，積極研商「電腦處理個人資料保護法施行細則修正草案」。隨著新版個人資料保護法確定於2012年10月1日正式上路，法務部另於2012年9月26日正式公告?正後的施行細則，並將細則名稱修正為「個人資料保護法施行細則」。新版個資法暨施行細則正式上路，促使國內個人資料保護工作，邁入全新的紀元。 二、個人資料管理制度與資料隱私保護標章 　　在「個人資料保護法」修正通過前，2008年6月立法院即已提案，建議政府參考國外作法，推動我國隱私權管理保護認證制度，隔年8月「行政院產業科技策略會議」（Strategic Review Board）中，決議推動「電子商務個人資料管理暨資訊安全行動方案」，並於同年12月核定放入99年至102年政府關鍵推動方案。 　　基於上述行動方案，經濟部自2010年10月起，委由財團法人資訊工業策進會執行「電子商務個人資料管理制度建置計畫」，並自2012年起續行推動「電子商務個人資料管理制度推動計畫」，建置推動「臺灣個人資料保護與管理制度」（Taiwan Personal Information Protection and Administration System, TPIPAS），期使企業於遵守個人資料保護法制的前提下，透過建立內部管理機制，適當保障消費者的個人資料，並在嚴謹的驗證要求下，確認導入企業是否符合制度要求，同時搭配「資料隱私保護標章」（Data Privacy Protection Mark, dp.mark）的發放，作為消費者判斷企業隱私維護能力的客觀指標。 　　針對個人資料管理制度的導入，事業應依循「臺灣個人資料保護與管理制度規範」逐步建立內容管理機制，該制度規範同時也是國內企業能否取得「資料隱私保護標章」（dp.mark）的審查指標。由於國內業者過往並無建立內部個資管理制度的經驗，「臺灣個人資料保護與管理制度」自2011年起，協助企業培訓「個人資料管理師」及「個人資料內評師」等制度專業人員，合格的個人資料管理師可協助企業於事業內部建立完整的制度，而內評師則是扮演確認企業建立的制度，是否符合制度規範要求的角色。截至2012年，國內已有近百家企業參與制度人員培訓，合計達426位管理師及131位內評師。在TPIPAS導入上，事業除了由合格的管理師自行建置導入管理制度外，也可尋求專業的外部輔導機構協助，「臺灣個人資料保護與管理制度」自2012年起，開放輔導機構登錄之申請，並於制度網站上公告符合資格要求的制度輔導機構，目前已有九家合格的輔導機構完成登錄作業，提供事業個資輔導服務。 　　事業完成內部管理體系建置後，便可向「臺灣個人資料保護與管理制度」提出驗證申請，驗證流程包括「書面審查」及「現場審查」二階段，事業通過驗證後，即具備使用「資料隱私保護標章」（dp.mark）的資格。目前國內已有統一超商、全家、博客來、樂天、亞東、康迅數位及欣亞等七家業者通過TPIPAS驗證並取得dp.mark，透過導入個資管理制度，強化消費者隱私資料的維護。 參、事件評析 　　「臺灣個人資料保護與管理制度」(TPIPAS)是以國內新版個人資料保護法內容為基礎，並參考國際組織對個人資料保護的最新要求，以及主要國家個資管理制度的推動經驗，所建立的專業個人資料管理制度。TPIPAS配合產業個人資料保護實務需求，將專業的法律要件轉化為內部個資管理流程，可有效協助產業建立完善妥適的個人資料管理制度，符合個資法規要求。在新版個人資料保護法上路之際，導入TPIPAS取得dp.mark，不啻是企業降低個資法風險，提升內部個人資料管理能力的最佳策略。