當網路梗圖爆紅 潛藏的著作權侵權疑慮

　　網路安全資訊分享法案（Cybersecurity Information Sharing Act，CISA）於2015年10月27日在「參議院」通過。接著眾議院於12月18日通過1.15兆美元的綜合預算法案，並將網路安全資訊分享法案夾帶在預算案中一併通過，最後美國總統歐巴馬亦在同日簽署通過使該法案生效，讓極具爭議的網路安全資訊分享法案偷渡成功。 　　網路安全資訊分享法案，建立了一個自願性的網路資訊安全分享之框架，其主要內容，在讓美國民間企業遭受網路攻擊或有相關跡象時，得以分享客戶個人資訊予其他公司或美國國土安全局等相關部門，同時並讓民間企業免除向公務機關洩漏客戶個資隱私等相關之法律責任。該法案目的係期盼藉由提高網路攻擊訊息共享度來改善網路安全問題。 　　該法案通過引發各界譁然。修正後的網路安全資訊分享法案去掉多數保護隱私權之條款，諸如分享客戶資訊時不用再遮掉無關的個人資訊、不再禁止政府利用這些個人資訊進行監控。 　　美國媒體批評該法案的通過是政府最可恥荒謬的行為之一。就隱私權層面，批評者認為，該網路安全資訊分享法案仍與監控密切結合，未能解決客戶個人資料被大量外洩的風險。就程序面而言，一個正式的網路安全資訊分享法案似乎不應被包裹在大額綜合預算法案中通過。該法案通過後之執行情形值得繼續觀察。

　　新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於2017年7月27日發布資料共享指引(GUIDE TO DATA SHARING)，該指引協助組織遵守新加坡2012年個人資料保護法(Personal Data Protection Act 2012, PDPA)，並提供組織內部和組織之間的個資共享指引，例如得否共享個資，與如何應用，以確保符合PDPA共享個資之適當方法；並得將特定資料共享而豁免PDPA規範。該指引共分為三部分，並有附件A、B。 　　指引的第一部分為引言，關於資料共享區分為三種類型探討： 在同一組織內或關係組織間共享 與資料中介機構共享(依契約約定資料留存與保護義務) 與一個或多個組織共享(在不同私部門間、公私部門間) 　　共享包含向一或多組織為利用、揭露或後續蒐集個資；而在組織內共享個人已同意利用之個資，組織還應制定內部政策，防止濫用，並避免未經授權的處理、利用與揭露；還應考慮共享的預期目的，以及共享可能產生的潛在利益與風險。若組織在未經同意的情況下共享個資，必須確保根據PDPA的相關例外或豁免之規定。 　　指引的第二部分則在決定共享資料前應考慮的因素： 共享目的為何？是否適當？ 共享的個資類型為何？是否與預期目的相關？ 在該預期目的下，匿名資料是否足以代替個資？ 共享是否需要得同意？是否有例外? 即使無須同意，是否需通知共享目的？ 共享是否涉及個資跨境傳輸? 　　上述因素還能更細緻對應到附件A所列應思考問題，附件B則有相關作業流程範例。 　　指引的第三部分，具體說明如何共享個資，與資料共享應注意規範，並提供具體案例參考，值得作為組織遵守新加坡個人資料保護規範與資料共享之參考依據。

　　歐洲資料保護監督官(European Data Protection Supervisor, EDPS)於2009年12月7日，針對歐盟執委會(European Commission)近年所提出關於設立歐盟「自由、安全及司法領域」(area of freedom, security and justice, AFSJ)大型資訊技術系統(IT System)作業管理機構之立法計畫，基於個人資料保護之立場提出正式法律意見。如此一立法計畫順利通過，該機構預計將擔負起包括「申根資訊系統」(Schengen Information System, SIS II)、「簽證資訊系統」(Visa Information System, VIS)、「歐洲指紋系統」(European Dactylographic System, Eurodac)及其他歐盟層級之大規模資訊技術系統之作業管理(operational management)任務。 　　根據EDPS首長Peter Hustinx表示，由於前述各項系統之資料庫中均包含諸如護照內容、簽證及指紋等大量敏感個人資料，因此儘管設立單一之作業管理機構，可以在相當程度上釐清歐盟各部門職責歸屬及準據法適用之問題，但如此一機構欲取得合法性，其活動範圍及相關責任即必須在立法中獲得明確界定，否則即可能產生個人資料濫用(misuse of personal data)及資料庫「功能潛變」(function creep)之風險。而基於此一分析，Hustinx認為目前執委會之機構立法計畫尚未符合個人資料保護要求。 　　此外，針對後續立法進程，EDPS建議除應確實釐清該管理機構之活動範圍是否包括整體AFSJ，亦或僅限於邊境檢查及難民與移民事務；執委會與該機構之關聯性與責任等重要問題外，是否可在缺乏相關經驗及實證評估下，即直接將所有歐盟層級之大型資訊技術系統與資料庫歸入該機構管轄，顯然亦有商榷餘地。EDPS就此認為，透過立法界定「大型資訊系統」之範圍，並且採取資料庫分次進入該管理機構責任範圍之方式，應係日後執委會可以努力之方向。

　　美國最高法院於2010年12月13日以4：4的平手票數確立了第九巡迴上訴法院於Omega, S.A. v. Costco Wholesale Corporation案中關於著作權法109(a)條「第一次銷售原則」(first sale doctrine) 並不適用於享有美國著作權法保護之外國製造但未經授權於美國再販售之產品。 　　此案源於由知名瑞士鐘錶品牌Omega 於瑞士製造的手錶透過所謂「水貨」或「灰色市場」的途徑輾轉由一家名為ENE Limited的紐約公司所購得，而Costco自該公司購得手錶後於加州賣場以低於合法代理商的價格販售。然而，Omega雖對於該手錶於外國的初次販售給予授權，但並未授權該商品爾後輸入美國並由 Costco 販賣之行為。Omega乃對Costco提出侵權告訴，而此案所牽連的著作物即為手錶底面都刻有受美國著作權法所保護之「歐米茄全球設計(Omega Globe Design)」字樣。 　　Costco則以著作權法第109(a)條作為抗辯，主張「第一次銷售原則」之規定，亦即Omega首次於外國販售該手錶之行為，已排除其對於後續散布、進口及未經授權之銷售等行為之侵權主張。第一審法院聽取Costco 之意見，Omega 乃上訴於第九巡迴法院。上訴法院對於「第一次銷售原則」之適用較為限縮，認為先前Quality King案的判決，並未使上訴法院對於「第109(a)條，只有當該主張涉及在美國國內製造受美國著作權法保護之著作的重製物時，可以對抗第 106(3)條(公開散布權)及第602(a)條(輸入權)」之一般規定無效。換言之「第一次銷售原則」並不適用於銷售外國製造但未經授權於美國再販售的著作物或其合法重製物。而最高法院亦同意上訴法院的看法。此案的判決結果意味著作權人或合法代理商將可間接防止或控制於外國製造的真品(即水貨)未經授權輸入於美國市場。