歐盟法院判決釐清GDPR民事賠償不受損害最低程度限制

歐盟法院(Court of Justice of the European Union, CJEU)於2023年12月14日對Gemeinde Ummendorf(C‑456/22)案作出判決。歐盟法院試圖釐清《歐盟一般個人資料保護規則》(General Data Protection Regulation, GDPR)第82條的民事求償規範中,資料主體受到非財產上的損害要到何種程度才可獲得賠償。

本案源自於兩位自然人原告與德國的烏門多夫市政府(Municipality of Ummendorf)之間的紛爭。2020年,烏門多夫市政府未經兩位原告同意情況下,在網路上公布市議會議程與行政法院判決,這些資訊內容均多次提及兩位原告的姓名與地址。兩位原告認為市政府故意違反GDPR,因此依據GDPR第82條請求市政府賠償,並進一步主張該條意義下的非財產損害,不需要任何損害賠償門檻。然而,市政府則持相反意見。

長久以來,德國法院傾向認為,GDPR的非財產上損害需要超過某個「最低損害門檻」才可獲得賠償。然而,承審法院決定暫停訴訟程序,並將是否應有「最低損害門檻」以及其基準為何的問題,提交給歐盟法院進行先訴裁定。

歐盟法院考慮到,GDPR的宗旨在於確保在歐盟境內處理個人資料時對自然人提供一致和高水準的保護,如要求損害必須達到一定的嚴重性閾值或門檻才可賠償,恐因為成員國法院認定的基準不同,進而破壞各國實踐GDPR 的一致性。因此,歐盟法院最後澄清,GDPR的民事賠償不需要「最低損害門檻」,只要資料主體能證明受有損害,不論這個損害有多輕微,都應獲得賠償。

相關連結
你可能會想參加
※ 歐盟法院判決釐清GDPR民事賠償不受損害最低程度限制, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=9124&no=55&tp=1 (最後瀏覽日:2026/07/06)
引註此篇文章
你可能還會想看
歐盟執委會發布《受禁止人工智慧行為指引》

歐盟執委會發布《受禁止人工智慧行為指引》 資訊工業策進會科技法律研究所 2025年02月24日 歐盟繼《人工智慧法》[1](Artificial Intelligence Act, 下稱AI Act)於2024年8月1日正式生效後,針對該法中訂於2025年2月2日始實施之第5條1,有關「不可接受風險」之內容中明文禁止的人工智慧行為類型,由歐盟執委會於2025年2月4日發布《受禁止人工智慧行為指引》[2]。 壹、事件摘要 歐盟AI Act於2024年8月1日正式生效,為歐盟人工智慧系統引入統一之人工智慧風險分級規範,主要分為四個等級[3]: 1. 不可接受風險(Unacceptable risk) 2. 高風險(High risk) 3. 有限風險,具有特定透明度義務(Limited risk) 4. 最低風險或無風險(Minimal to no risk) AI Act之風險分級系統推出後,各界對於法規中所說的不同風險等級的系統,究竟於實務上如何判斷?該等系統實際上具備何種特徵?許多內容仍屬概要而不確定,不利於政府、企業遵循,亦不利於各界對人工智慧技術進行監督。是以歐盟本次針對「不可接受風險」之人工智慧系統,推出相關指引,目的在明確化規範內涵規範,協助主管機關與市場參與者予以遵循。 貳、重點說明 一、AI Act本文第5條1(a)、(b)-有害操縱、欺騙與剝削行為 (一)概念說明 本禁止行為規定旨在防止透過人工智慧系統施行操縱與剝削,使他人淪為實現特定目的工具之行為,以保護社會上最為脆弱且易受有害操控與剝削影響的群體。 (二)禁止施行本行為之前提要件 1.該行為必須構成將特定人工智慧系統「投放於歐盟市場」(placing on the market)[4]、「啟用」(putting into service)[5]或「使用」(use)[6]。 2.應用目的:該人工智慧系統所採用的技術具有能實質扭曲個人或團體行為的「目的」或「效果」,此種扭曲明顯削弱個人或團體做出正確決定的能力,導致其做出的決定偏離正常情形。 3.技術特性:關於(a)有害的操縱與欺騙部分,係指使用潛意識(超出個人意識範圍)、或刻意操控或欺騙的技術;關於(b)有害地利用弱勢群體部分,是指利用個人年齡、身心障礙或社會經濟狀況上弱點。 4.後果:該扭曲行為已造成或合理可預見將造成該個人、另一人或某群體的重大傷害。 5.因果關係:該人工智慧系統所採用的技術、個人或團體行為的扭曲,以及由此行為造成或可合理預見將造成的重大傷害之間,具備相當因果關係。 二、AI Act本文第5條1(c)-社會評分行為 (一)概念說明 本禁止行為規定旨在防止透過人工智慧系統進行「社會評分」可能對特定個人或團體產生歧視和不公平的結果,以及引發與歐盟價值觀不相容的社會控制與監視行為。 (二)禁止施行本行為之前提要件 1.該行為必須屬於將特定人工智慧系統「投放於歐盟市場」、「啟用」或「使用」。 2.應用目的:該人工智慧系統必須用於對一定期間內,自然人及群體的社會行為,或其已知、預測的個人特徵或人格特質進行評價或分類。 3.後果:透過該人工智慧系統所產生的社會評分,必須可能導致個人或群體,在與評分用資料生成或蒐集時無關的環境遭受不利待遇,或遭受與其行為嚴重性不合比例的不利待遇。 三、AI Act本文第5條1(d)-個人犯罪風險評估與預測行為 (一)概念說明 本禁止行為規定之目的,旨在考量自然人應依其實際行為接受評判,而非由人工智慧系統僅基於對自然人的剖析、人格特質或個人特徵等,即逕予評估或預測個人犯罪風險。 (二)禁止施行本行為之前提要件 1.該行為必須屬於將特定人工智慧系統「投放於歐盟市場」、「啟用」或「使用」。 2.應用目的:該人工智慧系統必須生成旨在評估或預測自然人施行犯罪行為風險的風險評估結果。 3.後果:前述風險評估結果僅依據於對自然人的剖析,或對其人格特質與個人特徵的評估。 4.除外規定:若人工智慧系統係基於與犯罪活動直接相關的客觀、可驗證事實,針對個人涉入犯罪活動之程度進行評估,則不適用本項禁止規定。 四、AI Act本文第5條1(e)-無差別地擷取(Untargeted Scraping)臉部影像之行為 (一)概念說明 本禁止行為規定之目的,旨在考量以人工智慧系統從網路或監視器影像中無差別地擷取臉部影像,用以建立或擴充人臉辨識資料庫,將嚴重干涉個人的隱私權與資料保護權,並剝奪其維持匿名的權利。 (二)禁止施行本行為之前提要件 1.該行為必須屬於將特定人工智慧系統「投放於歐盟市場」、「啟用」或「使用」。 2.應用目的:該行為以建立或擴充人臉辨識資料庫為目的。 3.技術特性:填充人臉辨識資料庫的方式係以人工智慧工具進行「無差別的擷取行為」。 4.因果關係:建立或擴充人臉辨識資料庫之影像來源,須為網路或監視器畫面。 五、AI Act本文第5條1(f)-情緒辨識行為 (一)概念說明 本禁止行為規定之目的,旨在考量情緒辨識可廣泛應用於分析消費者行為,以更有效率的手段執行媒體推廣、個人化推薦、監測群體情緒或注意力,以及測謊等目的。然而情緒表達在不同文化、情境與個人反應皆可能存在差異,缺乏明確性、較不可靠且難以普遍適用,因此應用情緒辨識可能導致歧視性結果,並侵害相關個人或群體的權利,尤以關係較不對等的職場與教育訓練環境應加以注意。 (二)禁止施行本行為之前提要件 1.該行為必須屬於將特定人工智慧系統「投放於歐盟市場」、「啟用」或「使用」。 2.應用目的:該系統係用於推斷情緒。 3.因果關係:該行為發生於職場或教育訓練機構。 4.除外規定:為醫療或安全目的而採用的人工智慧系統不在禁止範圍內。例如在醫療領域中,情緒辨識可協助偵測憂鬱症、預防自殺等,具有正面效果。 六、AI Act本文第5條1(g)-為推測敏感特徵所進行之生物辨識分類行為 (一)概念說明 本禁止行為規定之目的,旨在考量利用人工智慧之生物辨識分類系統(Biometric Categorisation System)[7],可依據自然人的生物辨識資料用以推斷其性取向、政治傾向、信仰或種族等「敏感特徵」在內的各類資訊,並可能在當事人不知情的情況下依據此資訊對自然人進行分類,進而可能導致不公平或歧視性待遇。 (二)禁止施行本行為之前提要件 1.該行為必須屬於將特定人工智慧系統「投放於歐盟市場」、「啟用」或「使用」。 2.應用目的:該行為係針對個人進行分類;而其辨識目的係為推斷其種族、政治傾向、工會成員身分、宗教或哲學信仰、性生活或性取向等。 3.技術特性:該系統必須為利用人工智慧,並依據自然人的生物辨識資料,將其歸類至特定類別之生物辨識分類系統。 4.因果關係:前述分類依據為其生物辨識資訊。 5.除外規定:本項禁止規定未涵蓋對合法取得的生物辨識資料進行標記(Labelling)或過濾(Filtering)行為,如用於執法目的等。 七、AI Act本文第5條1(h)-使用即時遠端生物辨識(Remote Biometric Identification, RBI)系統[8]執法[9]之行為 (一)概念說明 本禁止行為規定之目的,旨在考量在公共場所使用即時RBI系統進行執法,可能對人民權利與自由造成嚴重影響,使其遭受監視或間接阻礙其行使集會自由及其他基本權利。此外,RBI系統的不準確性,將可能導致針對年齡、族群、種族、性別或身心障礙等方面的偏見與歧視。 (二)禁止施行本行為之前提要件 1.該行為必須涉及對即時RBI系統的「使用」行為。 2.應用目的:使用目的須為執法需要。 3.技術特性:該系統必須為利用人工智慧,在無需自然人主動參與的情況下,透過遠距離比對個人生物辨識資料與參考資料庫中的生物辨識資料,從而達成識別自然人身份目的之RBI系統。 4.因果關係:其使用情境須具備即時性,且使用地點須為公共場所。 參、事件評析 人工智慧技術之發展固然帶來多樣化的運用方向,惟其所衍生的倫理議題仍應於全面使用前予以審慎考量。觀諸歐盟AI Act與《受禁止人工智慧行為指引》所羅列之各類行為,亦可觀察出立法者對人工智慧之便利性遭公、私部門用於「欺詐與利用」及「辨識與預測」,對《歐盟基本權利憲章》[10]中平等、自由等權利造成嚴重影響的擔憂。 為在促進創新與保護基本權利及歐盟價值觀間取得平衡,歐盟本次爰參考人工智慧系統提供者、使用者、民間組織、學術界、公部門、商業協會等多方利害關係人之意見,推出《受禁止人工智慧行為指引》,針對各項禁止行為提出「概念說明」與「成立條件」,期望協助提升歐盟AI Act主管機關等公部門執行相關規範時之法律明確性,並確保具體適用時的一致性。於歐盟內部開發、部署及使用人工智慧系統的私部門企業與組織,則亦可作為實務參考,有助確保其自身在遵守AI Act所規定的各項義務前提下順利開展其業務。 [1]European Union, REGULATION (EU) 2024/1689 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL (2024), https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202401689 (last visited Feb. 24, 2025). [2]Commission publishes the Guidelines on prohibited artificial intelligence (AI) practices, as defined by the AI Act., European Commission, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-prohibited-artificial-intelligence-ai-practices-defined-ai-act (last visited Feb. 24, 2025). [3]AI Act, European Commission, https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai (last visited Feb. 24, 2025). [4]依據本指引第2.3點,所謂「投放於歐盟市場」(placing on the market),係指該人工智慧系統首次在歐盟市場「提供」;所謂「提供」,則係指在商業活動過程中,以收費或免費方式將該AI系統供應至歐盟市場供分發或使用。 [5]依據本指引第2.3點,所謂「啟用」(putting into service),係指人工智慧系統供應者為供應使用者首次使用或自行使用,而於歐盟內供應人工智慧系統。 [6]依據本指引第2.3點,「使用」(use)之範疇雖未在AI Act內容明確定義,惟應廣義理解為涵蓋人工智慧系統在「投放於歐盟市場」或「啟用」後,其生命週期內的任何使用或部署;另參考AI Act第5條的規範目的,所謂「使用」應包含任何受禁止的誤用行為。 [7]依據AI Act第3條(40)之定義,生物辨識分類系統係指一種依據自然人的生物辨識資料,將其歸類至特定類別之人工智慧系統。 [8]依據AI Act第3條(41)之定義,RBI系統係指一種在無需自然人主動參與的情況下,透過遠距離比對個人生物辨識資料與參考資料庫中的生物辨識資料,從而達成識別自然人身份目的之人工智慧系統。 [9]依據AI Act第3條(46)之定義,「執法(law enforcement)」一詞,係指由執法機關或其委任之代表,代替其執行目的包括預防、調查、偵測或起訴刑事犯罪,或執行刑事處罰,並涵蓋防範與應對公共安全威脅等範疇之行為。 [10]CHARTER OF FUNDAMENTAL RIGHTS OF THE EUROPEAN UNION, Official Journal of the European Union, https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:12012P/TXT (last visited Feb. 24, 2025).

美國參議院於2015年4月針對patent troll提出PATENT Act法案

  美國參議院於2015年4月底針對抗衡美國patent troll提出法案,該法案名為the Protecting American Talent and Entrepreneurship (PATENT) Act。希望能制止美國近年來濫用美國專利系統制度,造成許多不必要之專利訴訟案件等情形。   該法案指出,許多濫用之專利訴訟案不僅發生在大公司,許多中小公司也受到patent troll的侵擾,也許即使不著名的專利訴訟案也會花費被告方非常大筆之金額。法案內容指出,提起專利訴訟方需要清楚定義該專利的聲明(claim)及何種產品或是過程侵權,及其侵權之方法等。另外,勝訴方可以提出敗訴方在訴訟過程中所花費的費用並不客觀上合理等聲明。美國政府於2015年5月初表示支持該項提案,且認為該法案是合理且可理解的法案(common-sense legislation),並希望能於今年簽訂通過該法案於國家專利法中,讓美國專利法系統不受到patent troll的氾濫使用。   美國眾議院於2015年5月底又針對PATENT Act法案做出修正,希望在打擊專利蟑螂時,又不至於過度保護AIA,而造成專利權人泛濫使用AIA保護而矯枉過正。主要的法案修正內容包括: 1.限制PTAB過度檢視專利有效性的範圍。PTAB為了防止過多的專利訴訟,對於專利的有效性較謹慎檢視,因而相對的判定許多專利無效。此法案要求PTAB的審查標準需與地方法院檢視專利有效性的標準相同,以避免過度不合理的專利無效決定。 2.專利權人若要聲訴原告的專利無效需具有大量且具體的證明,證明專利的無效性。若專利權人提出無理由的專利訴訟,即造成濫用專利權人權利的情形,該法案規定,其可對其律師相關的懲罰。 3.若專利權人像PTAB提出對方的專利無效,PTAB僅需一個成員來決定是否構成審視該專利有效性的決定。   提出這些修改法案,主要希望在打擊專利訴訟濫用的同時,又不會過度的保護專利權人而可能夠成不中立的結果。

歐盟隱私工作小組支持擴大通知義務之業者範圍

  歐盟隱私權工作小組(working party)日前公布其對「隱私與電子通訊指令」(Directive on Privacy and Electronic Communications, 2002/58/EC)之修正意見,藉此重申支持個人資料外洩通知責任立法之立場,並建議擴大適用通知責任之業者範圍至涉及線上交易之電子商務之服務提供者。此項建議隨即遭到歐盟理事會及委員會之反對,認為通知責任應僅限於電信公司,而不應擴及其他電子商務服務提供者。   歐盟隱私權工作小組於2009年2月初提出的報告指出,個人資料外洩通知責任法制(Data Breach Notification Law)之建立對於資訊社會服務(Information Society Service)之發展是必要的,其有助於個人資料保護監督機構(Data Protection Authorities)執行其職務,以確認受規範之服務提供者是否採取適當的安全措施。再者,亦可間接提高民眾對於資訊社會相關服務使用之信心,保護其免於身份竊盜(identity theft)、經濟損失以及身心上之損害。   然而,歐盟理事會及歐洲議會則反對該項修正建議,其一方面認為不應擴張資料外洩通知責任制度適用之業者,另一方面則認為對於是否透過法制規範課予業者通知之義務,應由各國立法者決定是否立法,甚或由業者依資料外洩情形嚴重與否,來判斷是否通知其各國個人資料保護相關組織及客戶。此外,參考外國實施之成效,美國雖有多數州別採用資料外洩通知責任制度,但並非所有的隱私權團體皆肯認該項制度;英國資訊委員會對於該制度之成效則仍存質疑,因從過去為數眾多的個人資料外洩事件看來,其效果已逐漸無法彰顯。   雖然歐盟個人資料保護官(European Data Protection Supervisor)與歐盟隱私權工作小組之看法一致,但其與歐洲議會與歐盟理事會仍存有歧見,對於個人資料外洩通知責任制度之建立,似乎仍有待各方相互協商尋求共識,方能決定是否納入歐盟隱私及電子通訊指令之規範。

英國Patent Box租稅優惠政策

英國Patent Box租稅優惠政策 科技法律研究所 2014年03月25日 壹、政策背景   歐盟在2000年規劃的里斯本策略[1],就創造工作機會與保障勞工權益方面積極作為,驅使歐盟各國稅法改革,成功使歐盟在國際上擁有強大稅制上競爭力。而後法國、匈牙利、盧森堡、比利時、荷蘭、西班牙等國家,先後就研發活動施行優惠稅制,更強化其研發活動創造、發展的誘因。   2011年英國政府成長計畫[2]檢討近10年來,各國降低稅率、打破貿易壁壘、培育專家人才,同時英國經濟疲弱,負債且競爭力下降。因此英國政府在計畫中提出要建立G20[3]中最具競爭力之稅制。在不願與其他國家進行稅金削價競爭下,英國政府決定自專利著手,認為專利與高科技研究發展最具關連性,且專利本身已具完備審查機制,於是以專利獲利為主的優惠稅制逐步成形,稱為Patent Box,2011年6月英國財政局HMRC廣納各界意見,並在2012年Finance Act修法草案第8A章節提出。   對於Patent Box的設計,英國政府提出幾個原則:首先為不造成企業困擾,Patent Box必須為自願性參加;並且2013年4月起,為來自專利的獲利提供10%的優惠稅率;專利獲利之計算應避免為企業製造不必要的行政成本;不以總收入計算而以淨獲利計算;鼓勵持續研發等。 貳、政策方針 一、政策目的   英國政府早期對法人的租稅獎勵,係針對中小法人購置網際網路軟硬體設備、研發相關費用等,提供100%當年度投資抵免的獎勵;而為促進法人進行科學技術研究,2000年開始提供中小法人投入研發投資抵減獎勵,2002年擴及於大法人亦得適用,但抵減率降為25%。   英國政府為了鼓勵法人將高值專利與其運用發展紮根國內,以法人稅(Corporation Tax)角度出發,提議租稅優惠方案「Patent Box」。政府認為此方案能夠提供國內法人額外動機,將高價值工作與專利相關生產活動留在國內,並強化英國法人目前在全球的高值研發能量。   此方案由工黨政府提出,但直到2010年11月保守黨政府執政時,才將之納入執政提議政策,隔年6月與幕僚單位諮詢相關立法細節與範圍後,迅速於同年12月擬出草案。2012年7月,Patent Box方案經皇家同意被納入「法人稅法(the 2010 Corporation Taxes Act)」之修法法案「財政法(the 2012 Finance Act)」之中。2013年4月起,英國法人若透過自主研發或委託研發所產生之專利而賺取之收入,法人稅可由原本的20~24%(2013年4月法人稅為23%),調降適用10%的優惠稅率。   此方案的推出,一部份原因為產業界輿論稱英國原租稅制度使法人逐漸喪失競爭力;而之所以將租稅優惠鎖定為專利權(與特定植物品種權),係因為專利權與高科技研發生產具有很強的鍊結,並且專利權本身的審核制度更已為Patent Box方案挑選出真正的創新科技發明。 二、Patent Box 優惠稅制影響評估 (一)英國國庫   英國Patent Box採逐步調降稅率之實施方式,以減輕對國庫的負擔,2013年以獲利的60%適用Patent Box 10%的優惠法人稅稅率,之後隔年增加10%,直至2017年4月1日,100%獲利適用10%之優惠法人稅稅率。而HMRC預算預估之英國專利獲利金額,係以其資料庫為基礎推算之。 (二)英國法人   調降法人稅對英國法人而言,也降低了將相關專利獲利移出境外之動機;此外,對於未申請專利者,Patent Box更增加其申請的動機,繼而提高發明之價值。   對於中小型法人而言,此方案可使其檢視自身專利布局,但對於未接觸過專利想加入此方案者,會增加該些中小型法人之相關行政成本,但Patent Box一產品僅須具一專利之設計,可減輕對此類法人之負擔調降法人稅對英國法人而言,也降低了將相關專利獲利移出境外之動機;此外,對於未申請專利者,Patent Box更增加其申請的動機,繼而提高發明之價值。   對於中小型法人而言,此方案可使其檢視自身專利布局,但對於未接觸過專利想加入此方案者,會增加該些中小型法人之相關行政成本,但Patent Box一產品僅須具一專利之設計,可減輕對此類法人之負擔。 (三)英國經濟   由專利獲利的法人可受惠於此方案,尤其是醫藥、生技、電子、國防等產業。Patent Box方案更可吸引國外創投資金,增進國內經濟並增加高值工作機會。 [1]Directorate-General for International Policies - Policy Department, The Lisbon Strategy 2000-2010, European Parliament (2011), http://www.europarl.europa.eu/document/activities/cont/201107/20110718ATT24270/20110718ATT24270EN.pdf (last visited, Feb 19, 2014) [2]HM Treasury, The Plan for Growth, March 2011, https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/31584/2011budget_growth.pdf (last visited, Feb 11, 2014) [3]G20,一個國際經濟合作論壇,由八國集團(美國、日本、德國、法國、英國、義大利、加拿大和俄羅斯)以及其餘十二個重要經濟體(歐盟、中華人民共和國、巴西、印度、澳大利亞、墨西哥、韓國、土耳其、印尼、沙烏地阿拉伯、阿根廷和南非)組成。

TOP