能源清醒！歐洲競爭電信協會主張應重新討論網路建設的付出與碳排放影響的歸責

　　「聖血及聖杯」作者邁可貝奇及理查李伊於今年二月在英國高等法院對暢銷書「達文西密碼」出版商「藍燈書屋」（Random House）提出訴訟，主張「達」書作者丹布朗抄襲「聖」書中的若干想法（ideas）及主題（themes），包括其研究多年的「耶穌血脈理論」，因而侵害其著作權。 　　被告律師對於原告所提之控訴表示，「聖」書中的若干創意在本質上具備高度普遍化特質，無法成為著作權保護之客體。而原告律師亦強調，本案爭論重點並不在於「忽視他人創意成果」或是「獨佔想法或歷史事件」，主要是證明「達」書作者大量依賴「聖」書內容而完成「達」書。原告希望取得禁止令禁止「達」書使用「聖」書資料，此舉將迫使原訂今年5月中旬由湯姆漢克主演之原著電影延後上映。 　　著作權法之核心精神是保護「表達」，而非「想法」。對於同一題材之文學作品要區分何者屬表達，何者屬想法，並非易事。本案的出現僅是再次印證理論與實務之差距，而本案之後續發展亦值得繼續關注。

　　歐洲數位權利中心（The European Center for Digital Rights，下稱noyb）為提倡網路隱私權、消費者隱私的非營利組織，其於2021年11月12日向奧地利資料保護局（Austrian Data Protection Authority, DSB）投訴Grindr公司，抗議該公司的Grindr應用程式違反歐盟的一般資料保護規範（即General Data Protection Regulation，下稱GDPR）。 　　Grindr是款交友約會軟體，主要的使用者為男同性戀、雙性戀以及跨性別者。使用者註冊帳號時，僅需提供電子郵件信箱帳號及密碼和一些個人基本資料即可。然而，若使用者想了解Grindr公司如何使用其個人資訊時，Grindr公司要求使用者需手持記載其電子郵件的字條，或拿著護照自拍，經該公司確認使用者身分後，才會配合使用者的請求。noyb直言，Grindr公司的認證政策不僅荒謬，更違反了GDPR。 　　 noyb代表一個名為「Hunk_69」的帳號使用者提出投訴，這個帳號因為身分認證失敗而遭到Grindr公司拒絕透露該公司如何使用其個人資料。noyb指出Grindr公司對於使用者提供個人資料的政策前後不一，儘管使用者在使用Grindr交友時可以保持匿名狀態，但在向Grindr公司請求提供個人資料用途時，卻需要提供真實身分。noyb主張Grindr公司已經違反歐盟GDPR第5條（1）©「資料最少化原則」。多數公司多半以「安全理由」要求客戶提供個人資料供其認證，但這樣的要求是不當的，根據奧地利聯邦行政法院、愛爾蘭資料保護委員會（the Irish Data Protection Commissioner, DPC），以及丹麥資料保護局（Danish Data Protection Agency, Datatilsynet）近期裁決見解，認證客戶身分必須個案評估使用者的身分是否有疑慮，而非一概的要求使用者進一步提出個人資料以供公司認證。因此，使用者在Grindr註冊帳號時，既然毋庸提供真實姓名，則Grindr公司於認證使用者身分要求提出真實姓名，實際上是無任何幫助，反而違反了GDPR第5條「資料最少化原則」及第12條（6）規定。 　　noyb創辦人Max Schrems表示，Grindr的設計就是讓使用者保持匿名狀態，因此使用者僅須使用電子郵件信箱和密碼，就可以在Grindr上與人互動，甚至分享最私密的照片，但想要實行GDPR相關權利時，卻須自行揭露身分並提供身分證明。 　　Grindr公司則認為，如果使用者想要實踐GDPR賦予使用者的權利，不願與Grindr分享任何個人資訊，可以刪除Grindr帳號。

　　愛爾蘭資料保護委員會（Ireland's Data Protection Commission）於今（2020）年2月公布控制者資料安全指引（Guidance for Controllers on Data Security），愛爾蘭資料保護委員會表示本指引亦適用於資料處理者。指引內針對17個面向說明控制者於資料處理時應考量之安全措施，分別為：（1）資料蒐集與留存政策（Data Collection and Retention Policies）；（2）存取控制（Access Controls）；（3）螢幕保護程式（Automatic Screen Savers）；（4）加密（Encryption）；（5）防毒軟體（Anti-Virus Software）；（6）防火牆（Firewalls）（7）程式修補更新（Software Patching）；（8）遠端存取（Remote Access）；（9）無線網路（Wireless Networks）；（10）可攜式設備（Portable Devices）；（11）檔案日誌及軌跡紀錄（Logs and Audit Trails）；（12）備份系統（Back-Up Systems）；（13）事故應變計畫（Incident Response Plans）；（14）設備汰除（Disposal of Equipment）；（15）實體安全（Physical Security）；（16）人為因素（The Human Factor）；（17）認證（Certification）。 　　此外，愛爾蘭資料保護委員會還強調，歐盟一般資料保護規則（General Data Protection Regulation, GDPR）第25條與第32條有關資料控制者之義務，可透過「從設計與預設機制著手資料保護（Data protection by design and by default）」，與適當的技術及組織措施等方式，並考量現有技術、執行成本、處理之本質、範圍、脈絡及目的與對當事人權利及自由之風險可能性與嚴重性等因素，以確保其安全措施符合相應資料風險之安全等級。 　　最後，愛爾蘭資料保護委員會表示資料控制者更應確保其組織內員工瞭解該等安全措施並確實遵守，資料控制者應於制定其資料安全政策時考量到本指引所列各項目，以履行其保護資料安全之義務。

　　擁有Lancome、YSL（Yves Saint Laurent）及Garnier等全球知名品牌的法國L'Oreal集團，於2007年9月向於英國、法國、德國、比利時及西班牙等五國的法院提起商標侵權訴訟，控告全球網拍龍頭eBay放任網路使用者於eBay出售仿冒的香水、化妝品及其他L'Oreal集團產品，導致L'Oreal蒙受重大損失，主張eBay應為網路使用者的侵權行為負起連帶責任。   　　但繼2008年8月比利時法院率先判決eBay勝訴後，2009年5月法國及英國法院亦接連判決eBay勝訴。法國巴黎法院於5月14日作成的裁決中，表示eBay已恪遵自身所負義務並以良善態度解決仿冒商品問題，因此eBay毋庸為網路使用者的侵權行為加以負責；法院同時表示eBay與L'Oreal雙方應攜手合作，共同制定打擊侵權行為的策略，以防制仿冒商品繼續透過網路販售流通。   　　法方判決eBay勝訴未久，英國法院緊接於5月22日判決eBay勝訴，對於接連獲勝，eBay仍再三強調本身僅係一單純提供商品交易服務之平台，自無須就使用者侵權行為加以負責；L'Oreal則表示eBay有責採取進一步的措施，以杜絕網路使用者販售仿冒的L'Oreal商品，其並表示未來仍將以eBay助長商標侵權為由，持續於歐洲各國提出訴訟。