香港立法會於今(2021)年9月29日通過《2021 年個人資料(私隱)(修訂)條例》(The Personal Data (Privacy) (Amendment) Ordinance, PDPO),並於同年10月8日實施。本次修訂主要將「人肉搜索(Doxxing)」行為訂為刑事犯罪、賦予私隱專員對肉搜進行刑事調查及要求停止批露肉搜訊息之權責。
香港政制及內地事務局今5月提議修訂PDPO ,表示這是對抗肉搜的必要手段,2019年民主抗議活動中此行徑相當普遍,許多警察及反對派人士深受騷擾。修訂訊息公開後,Facebook、Twitter及Google等科技公司即透過亞洲互聯網聯盟(AsiaInternet Coalition)表示,倘香港政府修訂PDPO ,美國企業恐因網路惡意分享個資,造成香港員工面臨刑事調查或訴追風險,因而停止在香港的服務。香港行政長官林鄭月娥為紓緩各方疑慮做出回應,表示該修訂案對阻止網路惡意散布個資而言有其必要性,受香港民眾廣泛支持,其並指出社交媒體欠缺監管,包括散播仇警訊息、違反人性行為,導致香港今年7月發生刺傷警員後再自殺的事情。
依PDPO 之修訂條文,任何人未經資料當事人同意而披露他人的個人資料,並有意圖或罔顧是否會導致當事人或其家人蒙受指明傷害,例如滋擾、騷擾、纏擾、威脅或恐嚇,或對當事人或其家人造成身體、心理傷害或財產受損,最高將處5年有期徒刑及一百萬港元罰款。
對此,亞洲互聯網聯盟表示聯盟成員反對肉搜行為,惟PDPO 修訂條文措辭含糊,位於香港的企業及員工可能因用戶肉搜行為而受到刑事調查或起訴,對企業造成不成比例且不必要之回應成本,並恐限制言論自由,單純網路分享資訊的行為亦可能被視為犯罪。聯盟甚至指出:「科技企業要避免遭受這些懲罰的唯一途徑,就是不要在香港進行投資和提供服務」。
美國涉密聯邦政府員工之機密資訊維護-保密協議(Non-disclosure Agreement, NDA)之使用 科技法律研究所 2013年12月06日 壹、事件摘要 前美國海軍海豹部隊(SEAL)隊員Matt Bisonnette以化名Mark Owen出版 No Easy Day一書,內容主要描述狙殺Osama Bin Laden的規劃與執行,並蟬聯最佳暢銷書籍。美國國防部對Matt Bisonnette提出洩露國家機密之訴訟,及違反保密協議的規定。以下簡介美國對於聯邦政府官員的機密維護規範及措施,包括保密協議之使用、違反保密協議時對於該聯邦政府員工的追訴以及對於未經授權被揭露之機密資訊的防護;更進一步,聚焦探討美國以「保密協議」規範聯邦政府員工的方式,提供我國參考。 貳、重點說明 一、總統行政命令與機密資訊維護 傳統上,美國對於機密資訊由軍事單位依照軍事規定處理,不過,自從羅斯福總統於1940年發布第8381號行政命令,改變了這個機制。總統第8381號行政命令,授權政府官員保護軍事與海軍基地;爾後,歷任總統便以發布行政命令的方式,建置聯邦政府的機密分級標準,以及各項為維護國家安全的各項法令規定與措施。不過,羅斯福總統係以經特定法規授權為由而發佈總統行政命令,羅斯福以後的總統則是基於一般法律與憲法授權[1],為維護國家安全之憲法上的責任而發佈總統行政命令;於此,國會則不停的以其他立法的方式,設法平衡總統行政權與國會立法權間權利[2]。 有關總統行政命令之效力,如其規範的主題相同時,新的行政命令效力將會取代前案行政命令。目前美國政府有關機密係根據歐巴馬總統於2009年所發佈總統第13526號行政命令,主題為「國家安全機密資訊(Classified National Security Information)」,其內容及效力取代前行政命令,修改美國聯邦法規第32章2001篇涉及國家安全之機密資訊(32 C.F.R. 2001 Classified National Security Information)[3],以及勾勒機密資訊分級、解密、機密資訊的處理等議題的框架。 二、涉及國家安全機密資訊之安全維護措施 依據總統第12958號行政命令,機關必須採取管控措施保護機密資訊,包括使用(Access)機密資訊的一般限制、分布機密資訊的控制,與使用機密資訊的特別計畫。第12958號行政命令Sec.4.2(a)規定使用機密資訊的一般限制[4]:聯邦政府員工使用機密資訊前,必需符合下列三大前提要件,包括通過「人員安全檢查(Personnel Security Investigation)」、簽署「保密協議」,與執行職務所「必要知悉(Need-to-know)」,才得以使用機密資訊[5]。 第一項前提要件為「人員安全檢查」,其安全檢查目的在於確定使用機密資訊人員的可信賴度(Trustworthiness),在相關部門或機構完成安全調查確認該人員的可信賴度之後,將授予通過安全檢查的資格,進而進入第二步驟「SF312保密協議」的簽署[6]。 第二項前提要件為簽署「保密協議」,係由美國總統指令所要求,並於總統行政命令所重申[7]凡涉及使用機密資訊之聯邦政府員工(Employee of the Federal Government)、承包商(Contractor)、授權人或受讓人(Licensees or Grantees)等,於使用機密資訊前,必須完成「保密協議」的簽署,否則不得使用。該「保密協議」在法律上為拘束簽署員工(前述通過安全檢查之人員)與美國政府間的契約(Contract)[8],簽署員工承諾,非經授權不得向未經授權之人揭露機密資訊[9]。 「保密協議」的主要目的在於「告知(Informed)」簽署員工: 1.因信任該員工而提供其使用機密資訊; 2.簽署員工保護機密資訊不得未經授權揭露的責任;與 3.未能遵循協議條款後果。 第三項要件係說明政府聯邦員工得使用機密資訊的範圍,以該員工執行職務所「必要知悉(Need-to-know)」為限。 三、保密協議 「保密協議」(Classified Information Non-disclosure Agreement,一般簡稱為NDA)為機密資訊安全維護措施之一,美國政府藉由該契約協議的內容條款,確立信任關係、責任的範圍,以及未遵循契約條款的後果,並得以此協議防止簽署人未經授權揭露機密資訊,或簽署人有違反情事,對其提起民事或行政訴訟[10]。 通過安全查核者(Security Clearance),將被授與特權(Privilege),此權限不是與生俱來的權利(Right)。當獲得使用機密資訊的特權時,使用人必須背負相對的責任。簽署人一旦簽署與美國政府之間具法律拘束力的「保密協議」,即表示同意遵守保護機密資訊的程序,並於違反協議條款時,受到相對的處罰[11]。 美國利用「保密協議」約束員工對於機密資訊的保護,要求員工於發佈資訊之前,必須將內容提交機構進行審查。著名的案子為Snepp v. United States,最高法院對於「中央情報局(Central Intelligence Agency, CIA)」的前情報員,強制執行所簽署的保密協議,因前員工未遵守與中央情報局間的協議條款,亦即於出版書籍之前,先行提交出版內容給中央情報局審查的約定,中央情報局進而對該書籍的利潤施以法定信託(Constructive Trust),即使中央情報局最終的判斷內容未含機密資訊[12],也不影響該決定的效力。 (一)「保密協議」的法源基礎 在數個與國家安全機密資訊相關的總統行政命令中,現行「保密協議」所依據法源為總統第12958號行政命令 。第12958號行政命令規定,由「資訊安全監督局」(Information Security Oversight Office, ISOO)負責監督行政部門與政府機關對於「涉及國家安全之機密資訊」的創建或處理事宜[13]。 資訊安全監督局局長為遂行涉及國家安全機密資訊之維護,於1983年頒佈「國家安全決策第84號指令」(National Security Decision Directive No. 84, NSDD 84)[14]規範進行國家安全機密資訊之維護。雖然「保密協議」曾經被挑戰,但卻一直受到聯邦法院(包括最高法院)的支持,為具有法律拘束力和合憲性的文件[15]。 「國家安全決策第84號指令」規定,凡通過安全檢查之人員[16],必須完成簽署制式保密協議,並待生效後,才得以使用機密資訊。換句話說,相關人員必須以有效的保密協議為條件,才得以使用機密資訊。 「保密協議」應經過「國家安全委員會(National Security Council)」批准,與「司法部(Department of Justice)」的審查,而為法院可執行,而且機關不得接受經簽署員工單方修改用語的「保密協議」[17]。 目前「保密協議」版本稱為312制式表格(Standard Form 312),以下簡稱「SF312保密協議」[18]。 (二)「SF312保密協議」關於(Classified Information)的定義[19] 「SF312保密協議」的「機密」係指標示或未經標示的機密資訊,包括非書面的口述機密資訊,以及雖未歸屬於機密資訊但符合第12958號總統行政命令Sec. 1.2或1.4 (e)的規定[20],符合機密資訊的標準,或依據其他總統行政命令或法規是否為機密的確認期間(Pending)先行提供機密資訊保護的資訊;但並不包含在將來可能會被歸屬於機密,但目前尚未進入機密分級過程中的資訊[21]。 歐巴馬政府有關國家機密資訊之第13526號行政命令[22],於機密資訊安全維護部分之內容,仍與第12958號總統行政命令相同[23]。得使用機密資訊之人員僅限向相關主管機關首長展現其使用的資格,並簽署保密協議者,且限於其職務所必要知悉的範圍內,使用機密資訊。 (三)違反「SF312保密協議」的責任[24] 若「SF312保密協議」的簽署員工「知悉或應合理知悉(Knows or Reasonably Should Know)」,該資訊為已標示或未經標示的機密資訊,抑或符合機密資訊的標準但仍處於確認過程的資訊,而其行為將導致或於合理情形下可能導致未經授權揭露機密資訊,則可能需負未經授權揭露機密資訊的法律責任。因此,如於揭露資訊的當時,無根據可認定該資訊為機密資訊或可能成為機密資訊時,該簽署員工不會因為揭露該資訊,而需負未經授權揭露機密資訊的責任[25]。 另外,直至正式解密(Officially Declassified),機密資訊不因已被揭露於公共來源(Public Source),例如大眾媒體,而解密。不過,如僅於公共來源以抽象的方式引述該筆機密資訊,並非屬於再度未經授權揭露機密資訊[26]。 「SF312保密協議」簽署員工於資訊傳遞前,或確認公共來源資訊的正確性時,需先行向有權機關確認該資訊已被解密;若該員工未進一步履行確認資訊機密性,而逕進行資訊傳遞或確認資訊正確性時,該行為將成屬於未經授權揭露機密資訊[27]。 (四)「SF312保密協議」的有效期間 「SF312保密協議」載明,保密協議對於簽署員工的拘束力,從被授權使用機密資訊之時點開始,該員工終身均負保密義務[28]。 該條款明白表示,國家安全敏感性相關的機密資訊,與任一特定個人安全檢查資格的有效期間,並不相關。易言之,未經授權揭露機密資訊對美國所造成的傷害,並不取決揭露人的身分而有不同[29]。 是以,實務上,機關多以違反「保密協議」為訴因,對退職或離職之員工,進行民事或行政訴訟。 「SF312保密協議」所規範的保密義務,適用於所有機密資訊,然而,若某特定資訊已經解密,則按照「SF312保密協議」的規定,該簽署員工則不具持續保密的義務。此外,該「SF312保密協議」的簽署員工,還得發動強制性審查的請求,尋求解除特定的資訊的密等,包括該簽署員工具有使用權限的機密資訊[30]。 (五)違反「SF312保密協議」美國政府可採取的行動 聯邦政府員工如有明知、故意或因過失而未經授權揭露機密資訊,或任何合理預期可能導致未經授權揭露機密資訊之情事,機關首長或資深官員必須即刻通知資訊安全監督局,並採取「適當和及時的校正行動」[31]。 基於「SF312保密協議」,對於未經授權揭露機密資訊事件,美國政府可能至美國聯邦法院提起民事與行政訴訟。 民事訴訟可能分為禁制令(Injunction)、民事金錢損害賠償,與所得利益的追討。 1.禁制令 請求聯邦法院申請發佈禁制令,以禁止公布與以其他方式揭露該機密資訊。例如 United States v. Marchetti案,聯邦法院發佈禁制令,防止前中央情報局情報員以出版書籍的方式揭露機密資訊[32];或是國務院以撤銷護照的方式,管制人員出境(儘管該人員出國的目的為暴露秘密情報員的身分,擾亂情報工作,而非協助他國政府)[33]。 2.金錢損害賠償 向該員工請求美國政府因未經授權揭露機密資訊所造成損失之金錢的損害賠償。 3.所得利益之追討 償還美國政府因未經授權揭露機密資訊所得之相對代價,或其他金錢或財產上的所得[34]。 如「SF312保密協議」簽署員工違反協議,則美國政府可對其進行行政裁處與處罰,包括譴責(Reprimand)、暫時吊銷(Suspension)聯邦政府員工資格、降級(Demotion),或甚至撤職(Removal),並可能被取消通過安全檢查的資格[35]。 雖然,聯邦政府員工於違反「SF312保密協議」時,美國政府得以違反契約(SF312保密協議)為訴因,向簽署員工提起民事或行政訴訟;不過,如果該員工的行為亦已違反其他刑事規定,政府也可能同時對該洩密員工提起刑事訴訟[36]。但是,法制上並不存在總括性(Blanket Prohibition)規定,處罰所有未經授權揭露涉及國家機密資訊的處罰[37]。 例如,機關得依據18 U.S.C. §798揭露機密資訊(Disclosure of Classified Information)提起刑事訴訟,美國政府必須設法證明符合該條文的構成要件的故意,與該當法條所規定揭露機密資訊要件之狀況。該刑事的舉證責任,比起違反保密協議的舉證責任重了許多;不過,相對的,如政府可舉證證明,其處罰也會比違反保密協議重了許多,不是只有因洩密行為而獲得的利益被沒收,法院還得處以監禁(Incarceration)與罰金(Fines)[38]。 參、事件評析 美國規範認定,使用機密資訊的權限為被授與的特權,而不是與生俱來的權利。美國聯邦政府利用與員工之間的雇用關係,透過保密協議(契約關係)的方式,規範該政府員工對於機密資訊的維護,載明雙方的關係、政府員工的保密責任,以及違反保密協議的後果,並強調該保密協議的效力,一直持續至該員工的終身,這意味著,政府員工於不具安全檢查的資格之後,或甚至是退離職之後,仍受保密協議的拘束。 除了對於員工本身的權利義務與罰則加以規範之外,美國政府亦特別著重於資訊的快速擴散性與保持機密性的需求,對於未經授權而揭露的機密資訊,利用違反保密協議(違約)(Breach of Contract)為手段,儘量減少機密資訊擴散的程度。例如,美國政府對政府員工提起告訴時,以舉證責任來看,證明違反保密協議民事的舉證責任,比需要證明行為人違反刑法規定的刑事舉證責任為輕。再者,透過禁制令的方式,凍結並維持資訊的「現有狀態(Status Quo)」,並且還得於提起民事訴訟的同時,提起刑事。 [1]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 1,www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). [2]同上註。例如1966年「資訊自由法 (Freedom of Information Act, FOIA) 」, 1995年「情報授權法 (Intelligence Authorization Act)」、2000年「公共利益解密法 (Public Interest Declassification Act)」,與2012年「減少過度加密法 (Reducing Over-Classification Act)」。 [3]美國聯邦法規第32章2001篇, 32 C.F.R.2001,http://www.law.cornell.edu/cfr/text/32/2001 (last accessed May 11, 2013). [4]White House, Executive Order 12958 Classified National Security Information (1995), http://www.fas.org/sgp/clinton/eo12958.html (last accessed May 11, 2013). (a) A person may have access to classified information provided that: (1) a favorable determination of eligibility for access has been made by an agency head or the agency head's designee; (2) the person has signed an approved nondisclosure agreement; and (3) the person has a need-to-know the information. [5]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.1, http://www.fas.org/sgp/isoo/sf312.html (last accessed May 11, 2013). [6]同上註。 [7]White House, Executive Order 12958 Classified National Security Information (1995), http://www.fas.org/sgp/clinton/eo12958.html (last accessed May 11, 2013). [8]NARA/ISOO, Implementing Rule of the “Classified Information Nondisclosure Agreement” Subpart B-Prescribed Forms §2003.20(a) (n.d.), P.55,http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). “SF 312, SF 189, and SF 189-A are nondisclosure agreements between the United States and an individual. The prior execution of at least one of these agreements, as appropriate, by an individual is necessary before the United States Government may grant that individual access to classified information…”. [9]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2011), http://www.fas.org/sgp/isoo/sf312.html (last accessed May 11, 2013). [10]同上註。 [11]Western Region Security Office, Protecting Classified Information, http://www.wrc.noaa.gov/wrso/security_guide/intro-4.htm (last accessed May 11, 2013). [12]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 11,www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). [13]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 11, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). See Snepp v. United States, 444 U.S. 507 (1980), noting the remedy in Snepp was enforced despite the agency’s stipulation that the book did not contain any classified information. [14]White House, Executive Order 12958 Classified National Security Information (1995), http://www.fas.org/sgp/clinton/eo12958.html (last accessed May 11, 2013). ISOO, National Security Decision Directive No. 84(n.d.), https://www.fas.org/irp/offdocs/nsdd/nsdd-84.pdf (last accessed May 11, 2013). [15]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.65, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). 保密協議曾有SF189與SF189-A版本,與現行SF312版,不論那一版本的保密協議,均經過司法部專家依據當時或現有法律進行審閱,並確認保密協議的的合憲性和可執行性。最近有關SF189的訴訟,仍維持保密協議基本的合憲性和合法性。 [16]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.66-67, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). 除憲法上被「視為」符合「可信任性(Trustworthiness)」的下列人員外,其他的人員必須符合三項前提要件(包括簽署保密協議),才得以使用機密資訊。「視為」具「可信任性」的人員包括:總統、副總統、國會議員、最高法院法官,與其他由總統提名並經參議院同意的聯邦法院法官,不需以簽署與持已生效的保密契約為條件,即可使用機密資訊。然而,國會議員仍然是以執行職務(立法功能)所「必要(Need-to-know)」的範圍內為限,例如,該國會議員為負責監督秘密情報部門計畫的委員會,該國會議員與該機關首長,仍必須簽署保密協議或其他類似文件後,才得以使非行政機關人員使用機密資訊。 [17]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.71, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). [18]NARA/ISOO, Standard Form 312, http://www.archives.gov/isoo/security-forms/sf312.pdf (last accessed May 11, 2013). [19]NARA/ISOO, Implementing Rule of the “Classified Information Nondisclosure Agreement” Subpart B-Prescribed Forms §2003.20(h)(1)&(2) (n.d.), P.56-57, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). [20]White House, Executive Order 12958 Classified National Security Information (1995), http://www.fas.org/sgp/clinton/eo12958.html (last accessed May 11, 2013). Sec. 1.2. Classification Standards. (a) Information may be originally classified under the terms of this order only if all of the following conditions are met: (1) an original classification authority is classifying the information; (2) the information is owned by, produced by or for, or is under the control of the United States Government; (3) the information falls within one or more of the categories of information listed in section 1.5 of this order; and (4) the original classification authority determines that the unauthorized disclosure of the information reasonably could be expected to result in damage to the national security and the original classification authority is able to identify or describe the damage. Sec. 1.4. Classification Authority. (e) Exceptional cases. When an employee, contractor, licensee, certificate holder, or grantee of an agency that does not have original classification authority originates information believed by that person to require classification, the information shall be protected in a manner consistent with this order and its implementing directives. The information shall be transmitted promptly as provided under this order or its implementing directives to the agency that has appropriate subject matter interest and classification authority with respect to this information. That agency shall decide within 30 days whether to classify this information. If it is not clear which agency has classification responsibility for this information, it shall be sent to the Director of the Information Security Oversight Office. The Director shall determine the agency having primary subject matter interest and forward the information, with appropriate recommendations, to that agency for a classification determination. [21]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.70, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). [22]White House, Executive Order 13526 Classified National Security Information (2009), http://www.whitehouse.gov/the-press-office/executive-order-classified-national-security-information (last accessed May 11, 2013). [23]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 5, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). [24]NARA/ISOO, Implementing Rule of the “Classified Information Nondisclosure Agreement” Subpart B-Prescribed Forms §2003.20(h)(3) (n.d.), P.57, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). [25]同上註。 [26]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.73, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). [27]同上註。 [28]同上註。The terms of the SF 312 specifically state that all obligations imposed on the signer “apply during the time [the signer is] granted access to classified information, and at all times thereafter.” [29]同上註。 [30]同上註。 [31]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 5, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). [32]同上註,at 11, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). See United States v. Marchetti, 466 F.2d 1309 (4th Cir. 1972). [33]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 11, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). See Haig v. Agee, 453 U.S. 280 (1981). [34]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2011), http://www.fas.org/sgp/isoo/sf312.html (last accessed May 11, 2013). [35]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2011), http://www.fas.org/sgp/isoo/sf312.html (last accessed May 11, 2013) & Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 10-11, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). 失去通過安全檢查的資格可能導致失去政府員工的工作機會;另外,除可能被追討金錢的損害賠償外,該名員工如果亦違反「間諜法(Espionage Act)」與「原子能法(Atomic Energy Act)」的相關條款,還有可能喪失退休金(Retirement Pay)或年金(Annuities)。 [36]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.74, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). [37]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 10, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). [38]Caitlin Tweed, SEAL Team Six Member’s Next Battle Could be in Court (2012), NATIONAL SECURITY LAW BRIEF, http://nationalsecuritylawbrief.com/2012/09/12/seal-team-six-members-next-battle-could-be-in-court/ (last accessed May 11, 2013).
網路爬蟲治理趨勢與我國法制啟示網路爬蟲治理趨勢與我國法制啟示 資訊工業策進會科技法律研究所 2026年04月30日 壹、網路爬蟲治理議題背景 隨生成式人工智慧產業蓬勃發展,模型訓練對於巨量資料之依賴度與日俱增,促使網路爬蟲(Crawlers)技術運用愈發頻繁。傳統網路生態原係建立於網站經營者與網路爬蟲索引功能的導流互惠默契[1],網站容忍爬取以換取流量曝光。然而,當網路爬蟲大量爬取資料用於訓練,而非提供連結導流時,不僅造成流量分流與價值分配失衡,更損及內容產製者的廣告與訂閱收益[2]。 此經濟模式的轉變,讓技術訊號與法律意思表示長期脫節的矛盾浮上檯面。事實上,以自然語言呈現的服務條款與機器可讀的技術訊號(如 robots.txt)不一致之情形普遍存在。在搜尋引擎主導的時代,雙方多維持以資料換流量的默契,類矛盾尚能維持在技術管理層次,未釀成大規模法律對立。 如今,當爬取行為涉及訓練具備商業替代性的模型時,原本被掩蓋的技術脫節便陡然升級為法律風險。內容產製者因對傳統協定失去信任,轉向採行強硬的技術阻擋[3];而 AI開發者則因 robots.txt 結構過於簡單,難以精確辨識複雜的著作權授權意願。即便開發者主觀上有遵循意願,但在自動化爬取過程中,仍因技術工具無法即時解讀自然語言聲明,進而陷入侵害著作權或違反契約之困境。 這種從互惠轉向競爭的變化,促使全球必須正視法制層面對於技術訊號與法律意願對齊的緊迫性。目前國際主要有兩種治理路徑:一是以美國為代表,仰賴著作權法中合理使用(Fair Use)之彈性空間,透過司法個案衡酌商業替代性與轉化性利用;二是以歐盟為首,透過《數位單一市場著作權指令》(The Copyright in the Digital Single Market Directive, CDSM Directive)明文確立「文本及資料探勘(Text and Data Mining, TDM)」之法定例外[4],建立起事前規範。 相較於上述兩大主流路徑,我國目前既缺乏如歐盟般明確的法定例外制度作為避風港,在司法實務對於合理使用的解釋上也尚待更多AI相關案例累積心證,導致相關爭議高度仰賴司法事後認定,其不確定性使本土AI研發者往往須在法律風險與技術創新間艱難取捨,對產業生態系形成潛在的寒蟬效應。爰此,本文旨在爬梳歐美法規範趨勢與國內外司法實務案例,進而針對我國網路爬蟲治理路徑提出具體之政策建議。 貳、重點說明 一、網路爬蟲治理與國際趨勢 觀測全球AI治理趨勢,網路爬蟲管理議題漸受重視。相關討論已從純粹的技術攻防轉化為法律規範的核心。目前國際間主要以美國的合理使用彈性與歐盟的法定例外架構路徑為觀測重點,並輔以國際組織推動的技術標準自律。 (一)美國路徑:以合理使用為核心的事後審查 以美國為觀測對象,其著作權局(United States Copyright Office, USCO)於2025年的報告中揭示了關鍵立場:為AI訓練而建立資料集的重製行為,本質上已構成初步侵權(Prima Facie Infringement)[5],其合法性最終取決於合理使用抗辯是否成立。此見解釐清了技術上的公開可得(publicly available)並不等同於法律上的授權利用,即便內容於網際網路上可自由存取,其著作權保護並不因此消滅。 這法律定性與技術現狀的落差,直接衝擊了美國司法實務過往採取之默示授權(Implied License)理論。在早期判例(如 Parker v. Yahoo!案)[6]中,若網站未設置 robots.txt 阻擋爬蟲,法院常傾向認為權利人已默許搜尋引擎進行索引。然而,robots.txt 的初衷並非針對生成式 AI設計,其技術結構無法區分導流索引與模型內化這兩類本質迥異的行為,並導致內容產製者即便有意反對AI訓練利用,卻因缺乏精準的技術工具表達其授權意願,使法庭在個案審酌授權意圖或合理使用時,面臨證據判讀上的困境。 此外,針對大規模爬取行為,美國監理機關亦開始從著作權以外的視角強化監管。例如,聯邦貿易委員會(Federal Trade Commission, FTC)近期高度關注「普遍性擷取(Pervasive Extraction)」所涉及的隱私風險。FTC強調,即便資料經去識別化,若能透過巨量資料點反推個人敏感資訊,仍可能違反個人資料保護法規範。[7]由此可推敲,美國正透過著作權法遵與個資保護責任之雙重規範,強化對爬取行為事後責任之追究,而非單純從技術面禁止存取。 (二)歐盟路徑:以權利保留(Opt-out)為基礎的法定例外 相對於美國模式,歐盟透過《數位單一市場著作權指令》建立層次分明的TDM法定例外體系,依據利用目的之性質,區分為科學研究與一般性利用兩種目的:基於科學研究目的而進行之TDM,屬於強制性的法定例外。在此範圍內,權利人不得主張選擇退出,亦即權利人必須容忍符合公益目的之資料探勘行為;基於一般性利用目的(即科學研究目的以外),原則上允許資料爬取,但賦予權利人權利保留選擇。但權利人必須以機器可讀(Machine-readable)形式明確聲明,否則即須容忍一定程度的爬取行為。[8][9] 此制度的核心爭點在於機器可讀性與技術落實間的落差。近期歐盟實務(如荷蘭 DPG Media v. HowardsHome 案)進一步探討:若權利人僅在 robots.txt 中以自然語言註解法律聲明,該方式是否即應被認定為符合法律要求的機器可讀格式?[10]此類討論反映出歐盟司法實務正試圖釐清,在技術中立的原則下,機器可讀的判定基準是否應隨AI的辨識能力而動態調整? 亦即,若 AI 確實能辨識該聲明,則該非結構化的文字是否就已該當法律上的權利保留效力。 此外,為解決內容產製者與 AI 開發者間的價值分配失衡,歐盟亦提出引入法定衡平報酬權(Statutory Right to Equitable Remuneration)之構想,試圖透過著作權集體管理組織(Collective Management Organisations , CMOs)建立公平的利益補償模式,將商業性爬取行為由單純的侵權爭議,轉化為制度性的商業授權框架。[11] (三) 國際合作與技術標準:形塑自律框架 在法律規範之外,國際組織正積極透過軟法與技術標準化,試圖緩解內容產製者與 AI 開發者間的緊張關係。目前,觀察標竿組織重點如下: 1. OECD:探索產業自律與授權框架 在國際合作層面,經濟合作暨發展組織(Organisation for Economic Co-operation and Development, OECD)在報告中,探討透過資料爬取行為準則(Code of Conduct)與定型化契約等手段,形塑產業自律框架[12]的可能性,期望能透過標準化的授權條款降低雙方磋商成本,並為開發者提供更明確的法遵指引,以減輕司法事後判決不確定性所帶來的衝擊。 2. IETF:研議以「利用目的」為基礎之技術協定 針對現有技術訊號(如 robots.txt)無法精確承載法律意願之缺陷,網際網路工程任務組(IETF)相關工作小組正嘗試研發新一代技術協定(如 train-ai 標籤)。研究焦點在於建立以利用目的為基礎的識別機制,探討自然語言與機器語言銜接的技術路徑,使權利人未來能更精確地表達其授權意向(如:區分搜尋索引與 AI 訓練),進而試圖彌補技術訊號與法律意思表示間的落差。[13] 二、 國內外司法實務案例分析 觀測近期司法實務,各國法院對爬蟲行為邊界之判定趨向細緻化,且美、歐兩地在司法判斷標準與關注焦點上各具特色。 (一)美國實務:從默示授權轉向契約與反競爭之平衡 在美國實務方面,爭議核心從早期有關默示授權轉向近期契約效力與競爭政策間平衡發展的演進。法院雖曾於 Parker v. Yahoo! [14]等早期案件中認為,若網站未以技術手段(如 robots.txt)限制爬取,在搜尋快取情境下可能視為默示授權。然而,此見解在AI時代已難以擴張至大規模重製以訓練模型之範疇。 近期法院判斷標準更傾向於認為,單純缺乏技術設定並不等同於達成全面授權的意思合致。在此種技術訊號與授權意向脫節的現狀下,網站經營者轉而強化服務條款之規範,試圖以契約債權彌補技術控制之不足。然而,這也引發了服務條款拘束力邊界的法律論辯。具體而言,在 hiQ Labs v. LinkedIn [15]等案中,法律爭議核心在於《電腦詐欺與濫用法》(Computer Fraud and Abuse Act,CFAA)的適用邊界。針對技術上無需登入即可存取的公開資料(Public Data),平台方不得僅憑撤銷授權(如寄發停止並終止函或阻斷 IP)便主張資料爬取者構成CFAA之無權限存取。法院在裁定中展現其法律見解:若容許平台透過服務條款對未登入狀態下即可存取之公開資料建立壟斷性控制權,將損及資訊自由流通與競爭之公共利益。[16] (二) 歐盟實務:聚焦權利保留(退出權)之有效性認定 在歐盟司法實務方面,司法實務判斷的重點則由單純的存取權限轉向權利保留之有效性認定。此轉變反映司法機關試圖確認,在技術中立原則下,法律要求之機器可讀性應如何解釋。德國法院在 Kneschke v. LAION 案[17]中提出重要觀點,認為機器可讀性之判定應取決於利用行為發生時之技術發展水平。該判決傾向認定,若 AI 應用程式在技術上已能實質理解自然語言,則僅以自然語言撰寫的服務條款亦可能被視為有效的機器可讀聲明;相對地,荷蘭法院在 DPG Media v. HowardsHome案[18]中則採取較嚴格的檢視標準,認為若出版商僅以自然語言註解或針對特定機器人進行封鎖,但在技術執行上未能達成適當且明確之辨識程度,致使自動化工具無法將其識別為法律上的權利保留指令,該聲明仍可能被判定為無效。 上述案例顯示歐盟實務正處於探索期,試圖在法律規範與技術現狀間尋求對齊,以確立法定例外制度下權利人與利用人之間的權利義務邊界。 (三) 我國實務:側重對權利人財產權之保障 相較於美、歐司法實務傾向於在競爭政策或著作權例外框架下進行權衡,我國司法實務現階段對於權利人利益之保障呈現更為嚴謹的審視態度,且在法律適用上展現出獨特的刑事定性。在國內有關網路資料爬取的指標性案例(法源與七法案)[19]中,法院認定即便爬取之資料本身不具著作權(例如法規內容),但若行為人明知網站已設有禁止規範,卻仍利用自動化程式大規模爬取資訊,且該利用行為具備直接商業競爭目的、實質損及原告之潛在市場,則此種行為除可能構成著作權侵害外,亦將涉及《刑法》第359條之無故取得他人電腦電磁紀錄罪。此見解凸顯出我國實務高度側重保護內容產製者對於電磁紀錄之支配權與商業投資成果之完整性,使得網路爬蟲行為在臺灣法制環境下,不僅面臨民事侵權責任,更具備顯著的刑事責任風險。 三、 我國現況與產業環境觀察 我國目前針對網路爬蟲之治理模式主要由司法實務主導,且現行法制環境對於權利人利益之保障維持一貫保守且嚴謹的認定態度。在法律層面,由於我國尚未引進類似歐盟之TDM法定例外制度,我國 AI開發者在進行大規模語料收集時,僅能仰賴《著作權法》中關於合理使用之不確定法律概念進行個案認定。此類高度依賴司法事後認定的現狀,使研發過程籠罩在法遵風險之下,對產業創新形成明顯的寒蟬效應。 在技術與商業實務層面,robots.txt 等傳統技術協定在生成式AI 時代,已顯現出語義表達能力不足之侷限,難以在機器語言中精準區分流量引導與資料訓練內化兩類本質差異甚廣的授權意願。觀察整體產業環境,內容產製者與AI開發者間的衝突核心,在於資料利用已具備高度商業替代性競爭意涵,且開發者無償利用巨量資料行為,與內容產製者要求合理對價之間產生巨大鴻溝,而非單純的技術存取議題。此外,《刑法》第359條無故取得電磁紀錄罪於網路爬蟲案件中適用邊界之不確定性,不僅加劇AI開發者對於技術行為入罪化的恐懼,更因缺乏明確的付費授權路徑或法定例外,成為我國AI生態系發展中難以跨越的法律屏障。 參、事件評析 綜觀國際趨勢,網路爬蟲治理的爭議已跨越單純的技術存取爭議,演進為在AI時代下治理路徑的策略選擇。 美國雖以合理使用作為事後裁決標準,但觀察其司法實務發展,實質上已有仰賴私法契約與其他多重法規構築防護網之傾向;相對於此,歐盟則採法定例外搭配權利保留(退出權),將治理重心提前至事前規範。兩種路徑雖規範密度有別,但均試圖在著作權人與利用人之間建構可資依循的權利義務框架。 歸結而言,我國現行網路爬蟲治理困境,似並非單純的法規空白問題,更涉及技術訊號與法律表述之結構性落差。首先,我國未引進類似歐盟法定例外制度,僅能仰賴具高度不確定性之合理使用概念;其次,即便欲從私法契約角度建立事前約束,仍面臨傳統技術協定因語義表達之侷限性,難以精確傳達權利人對於導流索引與AI訓練利用之差異化授權意願,其結果往往導致技術訊號與法律服務條款內容產生落差。 面對此困境,我國未來治理路徑首要之務,或可思考建構足以縮短技術訊號與法律意思表示落差的緩衝空間,調和當前導流互惠轉向替代競爭所引發的價值分配矛盾。 [1] Yichen Zhang, Kneschke v LAION: Are Text and Data Mining Exceptions a “Get-Out-of-Jail-Free Card” for AI Training?(2025),15, https://papers.ssrn.com/sol3/papers.cfm?abstract_id=5439454 (last visited Nov. 22, 2025). [2] Inbar Cohen, From Headlines to Al: Narrowing the Bargaining Gaps between News and AI Companies(2024), 9, https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4878254 (last visited Nov. 22, 2025). [3] UK Dep’t for Sci., Innovation & Tech., International AI Safety Report 2025 (2025), 2.3.6. Risks of copyright infringement, https://www.gov.uk/government/publications/international-ai-safety-report-2025/international-ai-safety-report-2025 (last visited Sept. 29, 2025). [4] European Parliament, Generative AI and Copyright: Training, Creation, Regulation (2025), Policy Department for Justice, Civil Liberties and Institutional Affairs, PE 774.095, 32-33,https://www.europarl.europa.eu/RegData/etudes/STUD/2025/774095/IUST_STU(2025)774095_EN.pdf (last visited Oct. 14, 2025). [5] United States Copyright Office, Copyright and Artificial Intelligence Part 3: Generative AI Training pre-publication version(2025) , 26-31,https://www.copyright.gov/ai/Copyright-and-Artificial-Intelligence-Part-3-Generative-AI-Training-Report-Pre-Publication-Version.pdf (last visited Nov. 24, 2025). [6] Parker v. Yahoo!, Inc., No. 07-2757, 2008 WL 4410095 (E.D. Pa. Sept. 25, 2008). [7] Federal Trade Commission, “FTC Cracks Down on Mass Data Collectors: A Closer Look at Avast x-Mode,” Technology Blog, Mar. 15, 2024, https://www.ftc.gov/policy/advocacy-research/tech-at-ftc/2024/03/ftc-cracks-down-mass-data-collectors-closer-look-avast-x-mode-inmarket (last visited Nov. 24, 2025). [8] European Parliament, Generative AI and Copyright: Training, Creation, Regulation (2025), Policy Department for Justice, Civil Liberties and Institutional Affairs, PE 774.095, 35-36, https://www.europarl.europa.eu/RegData/etudes/STUD/2025/774095/IUST_STU(2025)774095_EN.pdf (last visited Oct. 14, 2025). [9] European Parliament, Generative AI and Copyright: Training, Creation, Regulation (2025), Policy Department for Justice, Civil Liberties and Institutional Affairs, PE 774.095, 120, https://www.europarl.europa.eu/RegData/etudes/STUD/2025/774095/IUST_STU(2025)774095_EN.pdf (last visited Oct. 14, 2025). [10] DPG Media et al. v. HowardsHome, C/13/737170 / HA ZA 23-690, ECLI:NL:RBAMS:2024:6563 (Amsterdam District Court, 30 Oct. 2024). Available at: https://www.nlp.legal/xms/files/Between_labs_and_algorithms__…pdf (last visited Oct. 7, 2025). [11] European Parliament, Generative AI and Copyright: Training, Creation, Regulation (2025), Policy Department for Justice, Civil Liberties and Institutional Affairs, PE 774.095, 128-129, https://www.europarl.europa.eu/RegData/etudes/STUD/2025/774095/IUST_STU(2025)774095_EN.pdf (last visited Oct. 14, 2025). [12] Organisation for Economic Co-operation and Development (OECD). Intellectual Property Issues in Artificial Intelligence Trained on Scraped Data. OECD Artificial Intelligence Papers No. 33, February 2025, 10, https://www.oecd.org/content/dam/oecd/en/publications/reports/2025/02/intellectual-property-issues-in-artificial-intelligence-trained-on-scraped-data_a07f010b/d5241a23-en.pdf (last visited Nov. 19, 2025). [13] IETF, Progress on AI Preferences(2025), https://www.ietf.org/blog/ai-pref-progress/ (last visited Nov. 26, 2025). [14] Parker v. Yahoo!, Inc., No. 07-2757, 2008 WL 4410095 (E.D. Pa. Sept. 25, 2008). [15] hiQ Labs, Inc. v. LinkedIn Corp., 31 F.4th 1180 (9th Cir. 2022). [16] Meta Platforms, Inc. v. Bright Data Ltd., 661 F. Supp. 3d 1086 (N.D. Cal. 2023). [17] Kneschke v. LAION, e.V., Case No. 310 O 227/23, Hamburg Regional Court (Landgericht Hamburg), Sept. 27 2024. Available at: https://www.wipo.int/wipolex/en/judgments/details/2381 (last visited Oct. 7, 2025). [18] DPG Media et al. v. HowardsHome, C/13/737170 / HA ZA 23-690, ECLI:NL:RBAMS:2024:6563 (Amsterdam District Court, 30 Oct. 2024). Available at: https://www.nlp.legal/xms/files/Between_labs_and_algorithms__…pdf (last visited Oct. 7, 2025). [19] 臺灣新北地方法院 114 年 6 月 24 日 111 年度智訴字第 8 號刑事判決。
推動創新採購彈性機制-產業創新條例第27條之增修產業創新條例於106年11月3日經立法院三讀通過部分條文修正草案,以因應國際產業發展趨勢,積極推動產業轉型及創新;其中修正重點之一為第27條之增修-推動創新採購彈性機制,即透過政府採購龐大市場之購買力量,作為產業創新能量發展之拉力。所推動之創新採購彈性機制,其一為以「政策需求」訂定軟體、創新及綠色產品或服務之共通需求;其二為政府機關得以「優先採購」辦理創新及綠色產品或服務。爰本文聚焦於第27條增修重點、創新採購彈性機制之推動,以及本條配套子法即「創新產品或服務優先採購辦法」草案之訂定方向。
網路線上廣播電視正方興未艾