法國國家資訊自由委員會(Commission Nationale de l'Informatique et des Libertés, CNIL)基於cookie聲明(cookie banner)違反法國資料保護法(Act N°78-17 of 6 January 1978 on Information Technology, Data Files and Individual Liberties)裁罰微軟愛爾蘭分公司(Microsoft Ireland Operations LTD,下稱微軟)搜尋引擎Bing,並根據cookie蒐集資料間接產生的廣告收入、資料主題數量及處理的資料範圍定出6千萬歐元之罰鍰額度,且要求微軟應於3個月內限期改正,如逾期按日處以6萬歐元罰鍰。本案是繼2022年1月6日以來,CNIL以相同理由分別對Google與Facebook裁罰1.5億及6千萬歐元罰鍰後,再增1件科技巨頭因違法運用cookie遭受裁罰之案例。本案對我國隱私執法機關參酌於數位環境中,應就cookie聲明如何進行管理之理由與細節,具有參考價值。
而本案微軟之搜尋引擎Bing遭受裁罰之理由,主要可分為二面向:
一、未經使用者事前同意,逕於使用者設備中設置cookie
依法國資料保護法第82條規定,業者利用cookie或其他追蹤方式針對使用者終端設備上的資料進行讀取或寫入資料前,應盡告知義務並取得使用者同意。惟搜尋引擎Bing在使用者造訪網站時,未經使用者同意便設置一種具有安全及廣告等多種用途的cookie(MUID cookie)於其電腦設備,且當使用者繼續瀏覽網站時,將會另設置其他廣告cookie,然微軟亦未就此取得使用者同意。
二、拒絕設置cookie與給予同意之方式便利性應相同
在有效同意的標準與具體判斷上,由於搜尋引擎Bing的cookie聲明第一階層僅提供「接受」與「設定」兩類按鈕,並未提供「拒絕」按鈕,因此使用者同意或拒絕設置cookie之流程便利性有其差異,並未一致,如下說明:
(一)使用者同意設置cookie
如使用者同意設置cookie,僅需於cookie聲明的第一階層點擊「接受」按鈕,即完成設置。
(二)使用者拒絕設置cookie
若使用者欲拒絕設置cookie,需於cookie聲明的第一階層點擊「設定」按鈕;其後進入第二階層,使用者可於各類型cookie選擇開啟或關閉,再點擊「保存設定」按鈕,始完成設置。
是以使用者拒絕同意設置cookie與給予同意之方式,兩者的便利性並未一致。又因第二階層顯示默認未設置cookie,恐導致使用者誤以為網站並未設置cookie,故CNIL認為此種同意欠缺自願性而屬無效者。
「追及權」起源於1921年的法國,又名An artist resale royalty、Droit de suite,在美國則稱為Resale royalty right,是指藝術創作品轉手後,原來的藝術家仍享有一定比例抽成的權利。立法之初在於保護弱勢的藝術創造家,以梵谷的畫作《農婦》為例,原始賣價僅為1000日圓,惟卻在拍賣會場上以6千6百萬日圓創下當時的天價。然而,獲利的僅是收藏家與投資客,梵谷與其後代沒有享受到絲毫利益。再者,藝術創造家不似出版業者或音樂製作者可藉由「授權」或「締約」的方式保護其經濟利益,一件藝術品不僅製作時間長、成本高、且為世界獨一無二,有必要藉由追及權或相類似制度完善權利體系的保障。 歐盟在2001年要求會員國制定追及權相關法律,截至今日,包括歐洲、拉丁美洲、韓國、日本、澳洲、甚至北韓等全球超過165個國家,都採納追及權制度。然而美國則僅有加州針對追及權有立法的規定。雖於1991年美國國會要求著作權局針對此制度之可行性進行調查報告,但結論顯示並無足夠的經濟、政策理由予以支持;此外是否要保護或補償投資者或收藏家的貢獻亦無共識,故未開展立法程序。 相關討論於2012年3月17日再度引起關注。美國加州地方法院宣告Civil Code Section 986(即追及權部分)違憲,其所持理由為此一法條造成其他州的負擔以及違反美國聯邦憲法之商業條款(Commerce Clause),惟此案仍在第九巡迴法院上訴程序中,尚未定讞。相同見解以為,此一制度將會降低藝術品的起始價格且阻礙流通,進而造成整體市場的傷害;況且與傳統自由交易模式有所扞格,又不能強制加諸追及權更是否定的重要理由。 未來我國是否引進追及權制度,加強對藝術創造者的保護,實有待各界深入研究與討論。
美國明尼亞波利斯市禁止政府部門使用人臉辨識技術美國明尼蘇達州明尼亞波利斯市的市議會鑑於人臉辨識技術有可靠性的疑慮,以及對有色人種有潛在的傷害,該議會於2021年2月12日通過修正《明尼亞波利斯條例》(Minneapolis Code of Ordinances)關於資訊治理(Information Governance)的部分,新條例規定除有例外情形,禁止政府部門採購人臉辨識技術及使用從該技術獲得之資訊。明尼亞波利斯是繼波士頓、舊金山、奧克蘭等,新加入禁用人臉辨識技術的城市。 新條例是由該市市議會議員Steve Fletcher倡議,其指出市民擔心在未得其同意時使用人臉辨識技術進行監視,是否會侵害市民的隱私權。此外,根據研究亦顯示人臉辨識技術仍存在瑕疵,尤其是辨別婦女、兒童和有色人種的錯誤率相當高,而不正確的識別,恐怕讓弱勢者受到更不利的對待。 明尼亞波利斯市以明尼蘇達州《明尼蘇達政府資料應用法》(Minnesota Government Data Practices Act)中所定資料隱私原則,作為制定新條例的基礎,規定在蒐集有關個人資料時應考慮並重視個人隱私,包含僅在具備理由時始得蒐集資訊,並且就蒐集的內容與原因保持透明。再者,新條例要求在市議會設置專門的委員會,市政府應向該委員會提出書面報告,說明新條例遵守的情形,以及追蹤及報告違反的情形及賠償措施。惟隨著技術和情事的變化,政府部門可能有使用人臉辨識技術的需求,就此,新條例規定政府部門需向市議會解釋使用該技術的必要性、說明如何使用該技術及所獲取之資訊、對技術及所獲取之資訊進行監管的計畫,市議會依規定應召開公聽會。若例外情形符合消除歧視、保護隱私、透明與公眾信任的目標,市議會則可同意政府部門使用人臉辨識技術,或要求政府部門修正前述監管計畫,作為市議會同意的條件。
淺談我國能源關鍵基礎設施資通訊安全法制建構之重要性--以歐盟及德國智慧電表布建發展為例 美國法院新判決,讓Rambus公司無法取得Micron公司的權利金美國德拉瓦(Delaware)州法庭於1月9日判決,記憶體晶片(DRAM)設計業者Rambus公司(Rambus Inc.)因在訴訟過程中,毀壞此一專利訴訟案件的相關文件與資料,使其專利不具執行力。因此無權以系爭的12項專利要求 Micron公司(Micron Technology Inc.)支付權利金。判決公告後,Rambus公司的股價因而重挫約40%。 兩家公司的紛爭可溯至2000年,該年度Micron公司曾控告Rambus公司,宣稱Rambus公司試圖掌控當時DRAM晶片的市場。當時,Rambus公司要求Micron公司在內的晶片製造業者須支付權利金給該公司,而晶片製造業者則予以反擊,宣稱Rambus公司取得專利的過程有瑕疵。 雙方除於法院進行訴訟外,並利用美國聯邦貿易委員會(FTC)進行紛爭處理,互有勝負。例如:去年11月,加州地方法院宣判Rambus公司控告Micron公司、海力士(Hynix)、三星電子(Samsung Electronics)與南亞科技(Nanya Technology)等公司侵權一案,獲得初步勝利。然而如今法院的判決卻又重擊Rambus公司,因為該判決可能使該公司往後難以利用其所擁有的專利,迫使其他晶片製造業者支付權利金,也因此造成Rambus公司股價重挫的情形。