美國4州及司法部指控資料處理商(Agri Stats)的資料共享行為涉及聯合行為
美國明尼蘇達州、加州、北卡羅萊納州及田納西州之檢察總長於2023年11月加入「美國司法部(U.S. Department of Justice, DOJ)在同年9月對於肉品產業資料提供者(Agri Stats, Inc.,以下簡稱Agri Stats)提起的反壟斷訴訟」中,主張Agri Stats透過報告方式將肉品數據資料分享給訂閱服務之肉類加工商,此類資料共享行為削弱了市場競爭關係造成聯合行為,違反了休曼法(Sherman Act)。以下先就此案背景進行說明,以釐清此案象徵意義。
於2023年2月,美國司法部反壟斷部門撤回3項與資訊共享相關的聲明,該3聲明是為了醫療保健產業而發布,其中就資料分享之安全使用方式亦可讓其他產業的資料提供業者評估其資料分享行為是否造成反壟斷行為,惟在目前AI/演算法技術變革之下,利用共享所得之資料反推競爭對手之競爭策略具有可行性,因此當年認為有助於促進競爭之資料共享行為,現在反而有造成聯合行為之可能,故廢棄該3項已過時的聲明。
於2023年9月28日,美國司法部反壟斷部門於明尼蘇達州指控Agri Stats違反休曼法。Agri Stats為專門彙整、分析美國豬肉與家禽(肉雞、火雞)相關商業資料的資料處理商,並將其分析報告提供給具競爭關係的肉品加工商,肉品加工商可透過將Agri Stats分析報告反推以監控/預測出競爭對手之價格、供應量、營運計畫等,並依分析報告建議進行價格調高與減產的行為,而被美國司法部認定為聯合行為。
該訴訟所涉及的肉品加工商占了全美家禽(肉雞與火雞)銷售量的9成以上,豬肉銷售量的8成以上。目前已有前述4州加入該訴訟,法院後續會如何認定,將影響產業間的資料交換作法,也顯現出資料商業化前須先做好資料管理,確保在合規的範圍內進行資料利用,國內廠商可參資策會科法所公布之《重要數位資料治理暨管理制度規範(EDGS)》對自身資料管理機制進行檢視。
本文同步刊登於TIPS網站(https://www.tips.org.tw/)
- FRED ASHTON, DOJ Revs Up Scrutiny of Information Exchanges, AMERICAN ACTION FORUM, Nov. 29, 2023
- KRISSA WELSHANS & ANN HESS, Four states join DOJ lawsuit against Agri Stats, NATIONAL HOG FARMER, Nov. 7, 2023
- MAYDEEN MERINO, DOJ's Agri Stats Suit Could Spur Similar Cases in Other Industries, Antitrust Lawyers Say, ALM | LAW.COM, Oct. 6, 2023
- U.S. Department of Justice, Justice Department Withdraws Outdated Enforcement Policy Statements, Feb. 3, 2023
- JEFF VANHOOREWEGHE, KAREN SHARP & ROSE REINACHER, DOJ Sues Analytics Company for Facilitating Information Exchange, WILSON SONSINI, Oct. 27, 2023
莊越程
高級法律研究員 編譯整理
FRED ASHTON, DOJ Revs Up Scrutiny of Information Exchanges, AMERICAN ACTION FORUM, Nov. 29, 2023, https://www.americanactionforum.org/insight/doj-revs-up-scrutiny-of-information-exchanges/ (last visited Jan. 17, 2024).
KRISSA WELSHANS & ANN HESS, Four states join DOJ lawsuit against Agri Stats, NATIONAL HOG FARMER, Nov. 7, 2023, https://www.nationalhogfarmer.com/market-news/four-states-join-doj-lawsuit-against-agri-stats (last visited Jan. 17, 2024).
MAYDEEN MERINO, DOJ's Agri Stats Suit Could Spur Similar Cases in Other Industries, Antitrust Lawyers Say, ALM | LAW.COM, Oct. 6, 2023, https://www.law.com/nationallawjournal/2023/10/06/dojs-agri-stats-suit-could-spur-similar-cases-in-other-industries-antitrust-lawyers-say/ (last visited Jan. 17, 2024).
U.S. Department of Justice, Justice Department Withdraws Outdated Enforcement Policy Statements, Feb. 3, 2023, https://www.justice.gov/opa/pr/justice-department-withdraws-outdated-enforcement-policy-statements (last visited Jan. 17, 2024).
JEFF VANHOOREWEGHE, KAREN SHARP & ROSE REINACHER, DOJ Sues Analytics Company for Facilitating Information Exchange, WILSON SONSINI, Oct. 27, 2023, https://www.wsgr.com/en/insights/doj-sues-analytics-company-for-facilitating-information-exchange.html#2 (last visited Jan. 17, 2024).
科法觀點
2014年6月26日歐盟執委會提出電信網路層級服務協議標準化指導原則(Cloud Service Level Agreement Standardisation Guidelines)。網路服務提供業者通常會與消費者簽訂契約,內容約定有服務之等級,稱之為電信服務層級契約(SLAs),在雲端運算服務中,通常橫跨不同的管轄領域,適用的法律要件亦產生變化,而在雲端部分所儲存的個人資料保護部分尤其重要。不同的雲端服務與模式所需要的協議約定亦不同,這些都增加訂定的複雜性。 指導原則之提出將幫助專業的雲端服務業者在契約訂定時應該注意的內容,其中主要相關項目包括: 1.雲端服務的可利用性與真實性 2.從雲端服務提供業者中可取得服務的品質 3.安全層級 4.在雲端中如何妥善管理資料 指導原則首先明定原則,以做為雲端運算服務契約之參考。並同時針對不同的名詞定義解是,亦針對不同的契約與法律議題說明,包括業者在依據所訂定的契約中處理個人資料時,應符合歐盟資料保護之規範。 在指導原則提出之後,執委會將與雲端使用者,特別是一些小型企業進行檢視,後續並朝向通過國際ISO之認證。
Apple 對於Psystar案件之判決Apple在對Psystar的法律訴訟上贏得重要的勝利,美國政府聯邦法院已判決複製品製造者Psystar於販售個人電腦時事先安裝Mac OS X作業系統,已侵犯Apple的著作權。 在雙方提起簡易判決訴訟後一個月,美國地方法院法官William Alsup 表示Psystar已侵害Apple專用之重製權、散布權及衍生著作權,於判決中針對著作權侵害一事已被承認。並且確認Apple於Mac OS X產品之直接用戶授權合約,是限制使用於Apple生產的電腦,更特別禁止安裝此作業系統於其他電腦;在此同時,法官否決Psystar的論點:首次銷售原則所允許,買家可以任意使用此作業系統。 此外,法官同意Apple的聲明,Psystar侵害數位化千禧年著作權法案之反規避條款及反交易條款,另一方面,法官也否決Psystar對Apple濫用著作權的論點。 此判決並未包含其他Apple所提出的主張,包括:合約的侵害、商標的侵權及商標稀釋,法官也未提出給予Apple救濟上的權利,包括先前提及之永久禁止令,要求中止Psystar販售任何帶有Apple軟體的硬體並強迫其召回所有已售出帶有此作業系統之機器。 此判決對Apple而言,是決定性的勝利,但並非結束所有在法律上的爭議,12月14日將進行賠償的審訊,其餘審判也預訂於明年1月開始。
歐盟執委會發布歐洲資料戰略歐盟執委會於今(2020)年2月19日發布「歐洲資料戰略」(A European strategy for data),宣示繼前一期「歐洲數位單一市場」戰略的基礎下,將於新一期戰略建立一個真正的歐洲資料空間及資料單一市場,以解鎖尚未被利用的個人資料及非個人資料,使資料能夠在歐盟內部、跨部門和跨領域自由流動,並使所有公部門、公民,或新創、中小、大企業都可存取資料及利用。 本戰略就此提出四大戰略行動,重點如下: 1、資料存取(Data Access)和利用的跨部門治理框架 (1)2020年第四季提出「共同歐洲資料空間」(common European data spaces)的治理立法框架:A.加強共同資料空間及其他跨公私部門資料利用方式的治理機制;B.於GDPR基礎下,基於科學研究目的利用敏感個資時,能較容易決定可以由誰如何利用哪些資料;以及使個人更容易同意其個資的公益目的利用。 (2)2021年第一季通過開放資料指令(Directive (EU) 2019/1024)的高價值資料集「施行細則/執行法」(implementing acts)。 (3)2021年提出《資料法》(Data Act)草案促進企業對政府的資料共享;以及解決現今企業間資料共享常遇到的障礙,例如多方合作建置資料時(如物聯網),釐清各方的資料使用權限及各自的法律責任。 2、推動方式:投資歐洲資料空間重大項目,以加強歐洲處理和使用資料的基礎設施及能力、加強資料互通性等。 3、加強個人資料管理:在GDPR第20條的可攜權(portability right)基礎下,於《資料法》賦權個人更能控制自己被政府及企業所掌握的個資,並使個人能自己決定由誰存取和利用。另外,將由數位歐洲計畫開發「個人資料空間」。 4、促進戰略性產業領域及公益領域的共同歐洲資料空間:歐盟執委會將協助建立包含「共同歐洲工業(製造)資料空間」(Common European industrial (manufacturing) data space)在內的9種領域共同歐洲資料空間,本戰略亦於附件介紹各領域的資料共享基礎背景。 另外,雖非戰略主軸,但文件內容及新聞稿皆提及,執委會將於2020年第四季提出《數位服務法》(Digital Services Act),為所有企業進入資料單一市場建立明確的規範、審查現有政策框架、加強線上平台的責任及保護基本權利。 總而言之,本戰略所欲推展的各項行動,將促進公民、企業組織、研究人員和公部門能更輕易的獲得和利用彼此的資料,進而確保歐盟成為資料驅動社會的模範和領導者。
美國第二大連鎖商信用卡資料外洩美國第二大連鎖商塔吉特(Target)在12月19日正式發出郵件通知客戶,表示公司資訊系統因遭駭客入侵,從2013年11月27日至12月15日期間內的刷卡記錄可能遭竊,約莫共4千萬筆,遭竊內容包含姓名、卡號、卡片到期日和卡片驗證碼。目前美國的塔吉特連鎖店推出全面9折的優惠來挽回消費者的信心,並對資料外洩的個別民眾提供免費的信用監督作為補償。 每當資安事件發生時,所有防毒軟體公司及資安管理服務都會跳出來大肆評論,並宣稱這是因為沒有購買自家資安服務或產品的關係,但在塔吉特事件,此番事後諸葛的批判方式顯然不再行得通。 塔吉特的資訊系統先前接受過檢驗,完全符合「支付卡產業資料安全標準(PCI DSS)」,有專家評析不太可能是在銷售點管理(POS)設備上(指擁有收銀、進銷存作業功能的機器)植入惡意軟體,比較可能是從授權與結算的交換系統竊取資料。 塔吉特的信用卡資料外洩事件,引發了一連串的訴訟案件及犯罪調查,目前加州提起了兩件團體訴訟、奧勒岡州一件,損害賠償額估計高於5百萬美元;另外,目前至少有四州的州檢察長(Attorney General)展開了聯合調查,直接要求塔吉特配合提出信用卡資料遭竊事件的相關資訊,民眾和調查機關最關注的在於塔吉特何時得知資料遭竊事件的發生、花了多久時間進行應變以及是否有盡到立即通知當事人的義務。同時間,從塔吉特流出去的數百萬筆信用卡和簽帳卡資料已經開始在黑市中販售每筆價格20至100美元不等。