美國《保護美國人免受外國對手應用程式侵害法案》生效,延長受規範主體出售持股之期限
早在今年(2024年) 3月13日,美國眾議院曾正式表決通過《保護美國人免受外國對手應用程式侵害法案》(Protecting Americans from Foreign Adversary Controlled Applications Act),所有由「外國敵對勢力控制的應用程式」若對國內造成國安威脅,則必須在法案生效後的6個月內拆分在美國之業務及出售持股,且收購公司或新成立公司的營運必須完全獨立自主,不得與原事業有任何往來或合作關係,包括演算法或資料分享等。而相關收購案也須經過主管機關審查,確認其出售之後已完全脫離外國敵對勢力的控制,直到分拆業務為止,美國的虛擬主機服務提供者,始得為其架設網站;若超過期限而未出售,其將從應用程式商店和基於網路的託管服務中被關閉,永久被排除在美國的Google Play、Apple App Store等軟體商店之外。
攤開美國商務部所列的外國敵對勢力清單,中國大陸和香港、古巴、伊朗、北韓、俄國都在名單之列。然而,擁有1.7億美國使用者的短影音平臺TikTok在美國極為盛行,且盛傳TikTok似將所蒐集的美國使用者個人資料提供中國大陸北京政府,因而成為該法案首當其衝的頭號目標。故法案當中即點名TikTok,甚至強調其母公司字節跳動(ByteDance)未來推出的應用程式亦在禁止之列,故該法案又俗稱TikTok禁令。
於審議2024年度的國安補充撥款法案時遂提出將援外法案裂解成獨立法案的發想,而TikToK禁令則屬其他國安需求之類別而包裹在另外一個法案中進行單獨的審議及表決,為兩黨創造更多妥協空間,以便在個別議題上尋求最大公約數。4月20日下午,眾議院以360票贊成58票反對通過《透過力量實現21世紀和平法案》(21st Century Peace through Strength Act),爾後以四案合一的包裹方式送交參議院審議表決,於當地時間23日晚間美國參議院通過該單一修正案,24日再經美國總統拜登(Joe Biden)簽署後正式生效。該HR8038法案包含對以色列、烏克蘭、印太區域安全的3項援助法案,至於強制TikTok脫離中國大陸母公司字節跳動的措施則位在法案的D章節,此部分名為「保護美國人免受外國對手控制應用程式侵害」,實質上乃與眾議院上月通過的法案類同,僅在出售期限上與眾議院上月通過的版本不同,其理由在強調該法案首在以「撤資」為核心,故從原先6個月之限期展延至1年,而此1年期限包含法案生效後270天內讓受規範者脫售持有股份,如於出售期限屆期之際,倘在任何收購階段已取得進展或近乎完成撤資之目標,總統基於職權可額外授權給予90天寛限期以便完成交易程序。從而當前受第一波影響的TikTok得暫時在美國市場續命,惟若終局倘未能出售其在美資產及持股而達完全剝離母公司控制之進程,仍舊得面臨業務全面下架並禁止在美國境內運營的結果。
從HR8038法案的通過可透析兩個重要資訊:
1.為美方體認到社群媒體強大的認知影響力:此前有關數位平臺演算法如何推薦特定內容的曝光不易由法律監管,任何措施皆須在美國憲法第一修正案的框架下進行,避免任何人對言論自由和獲取資訊施加限制,因而法案改以不公平競爭之角度為外衣,迫使敵國之外國企業出售技術和資產,防免其透過不透明的演算法操縱美國人民的行為判斷。
2.從法案的性質上綱到國家安全層次觀察:可探知該法案為美中在科技領域角力下之產物,阻止中國大陸將數據資料武器化,由於中國從2017年起,陸續通過《國家情報法》、《網絡安全法》和《數據安全法》等國安法規,明文規定如為維護國家安全或調查犯罪,有關單位可以調取數據,而握有數據的私人企業或個人只能依法配合,同時中國大陸北京政府也大力整頓網路科技業者,目的之一就是提高國家對企業蒐集資料的控制,產生干預美國內政之風險。
惟TikToK借鑒在蒙大拿州之經驗,表示將同樣基於違反美國憲法第一修正案所保障之言論自由採取法律行動,擬透過司法救濟途徑爭取其在市場上繼續運營的空間。若期間法院未作成任何決定,自法案生效日(2024年4月24日)起算270天,正值落在下一任總統就職前一天,即2025年1月19日之前,字節跳動公司必須出售TikTok在美之業務及資產,屆期未出售則將從Apple App Store或Google Play等應用程式商店全面下架TikTok及其更新版,否則應用程式商店將面臨依使用者數量計算的等比例罰款,另外其他網路服務供應商也將封鎖TikTok進行網路存取。
- CNN, House passes legislation that could ban TikTok in the US amid high-stakes vote on foreign aid (Apr. 20, 2024)
- Rolling Stone, Foreign Aid Package for Ukraine, Israel… and TikTok Ban Passes House, Frustrating MAGA Republicans (Apr. 20, 2024)
- CNN, Biden Signs TikTok Ban Bill Into Law, Forcing ByteDance to Sell TikTok in Nine Months Or Risk Being Banned (Apr. 20, 2024)
- Library of Congress, H.R.7521 - Protecting Americans from Foreign Adversary Controlled Applications Act (Mar. 7, 2024)
- GovTrack, H.R. 8038: 21st Century Peace through Strength Act (Apr. 17, 2024)
美國民主黨議員Ed Markey於2019年10月22日提出2019年「網路盾」草案(Cyber Shield Act of 2019),將設立委員會以建立美國物聯網網路安全標準。 雖由參議員MarkWarner所提出之2019年物聯網網路安全促進法(Internet of Things Cybersecurity Improvement Act of 2019)已通過並施行,惟該法僅適用於聯邦政府機構之設備採購。而「網路盾」草案之目的則係設立委員會並建立美國物聯網設備認證標章。依據該草案第3條,於該法通過並經總統簽署後90天內,美國國務卿必須建立網路盾諮詢委員會,該委員會之任務為擬定並建立美國網路盾標章。 另依據該草案第4條,物聯網產品之自願性認證程序與認證標章,內容必須符合特定產業之網路安全與資料保護標準。該標章應為數位標章,並標示於產品之上,且可劃分數個等級,以表彰其符合產業所需求之網路安全與資料安全等級。而針對標章之內容,該法要求美國國務卿於法律通過90天內應建立諮詢相關利益團體之程序,以確保其充分符合產業需求與利益。美國國務卿與各聯邦主管機關亦須合作以持續維護網路安全與資料安全標章之運作,且確保獲得該標章之產品,其資安與資料保護品質均優於未受認證之產品。
歐洲個人資料保護委員會發布數位服務法與一般資料保護規則相互影響指引「歐洲資料保護委員會」(European Data Protection Board, EDPB)於2025年9月12日發布《數位服務法》(Digital Services Act, DSA)與《一般資料保護規則》(General Data Protection Regulation, GDPR)交互影響指引(Guidelines 3/2025 on the interplay between the DSA and the GDPR)。這份指引闡明中介服務提供者(intermediary service providers)於履行DSA義務時,應如何解釋與適用GDPR。 DSA與GDPR如何交互影響? 處理個人資料的中介服務提供者,依據處理個資的目的和方式或僅代表他人處理個資,會被歸屬於GDPR框架下的控制者或處理者。此時,DSA與GDPR產生法規適用的交互重疊,服務提供者需同時符合DSA與GDPR的要求。具體而言,DSA與GDPR產生交互影響的關鍵領域為以下: 1.非法內容檢測(Illegal content detection):DSA第7條鼓勵中介服務提供者主動進行自發性調查,或採取其他旨在偵測、識別及移除非法內容或使其無法存取的措施。指引提醒,中介服務提供者為此採取的自發性行動仍須遵守GDPR要求的處理合法性,而此時最可能援引的合法性依據為GDPR第6條第1項第f款「合法利益」(legitimate interests)。 2.通知與申訴等程序:DSA所規定設通報與處置機制及內部申訴系統,於運作過程中如涉及個資之蒐集與處理,應符GDPR之規範。服務提供者僅得蒐集履行該義務所必須之個人資料,並應確保通報機制不以通報人識別為強制要件。若為確認非法內容之性質或依法須揭露通報人身分者,應事前告知通報人。同時,DSA第20條與第23條所規範之申訴及帳號停權程序,均不得損及資料主體所享有之權利與救濟可能。 3.禁止誤導性設計模式(Deceptive design patterns):DSA第25條第1項規範,線上平台服務提供者不得以欺騙或操縱其服務接收者之方式,或以其他實質扭曲或損害其服務接收者作出自由且知情決定之能力之方式,設計、組織或營運其線上介面,但DSA第25條第2項則宣示,線上平台提供者之欺瞞性設計行為若已受GDPR規範時,不在第25條第1項之禁止範圍內。指引指出,於判斷該行為是否屬 GDPR 適用範圍時,應評估其是否涉及個人資料之處理,及該設計對資料主體行為之影響是否與資料處理相關。指引並以具體案例補充,區分屬於及不屬於 GDPR 適用之欺瞞性設計模式,以利實務適用。 4.廣告透明度要求:DSA第26條為線上平台提供者制定有關廣告透明度的規範,並禁止基於GDPR第9條之特別類別資料投放廣告,導引出平台必須揭露分析之參數要求,且平台服務提供者應提供處理個資的法律依據。 5.推薦系統:線上平台提供者得於其推薦系統(recommender systems)中使用使用者之個人資料,以個人化顯示內容之順序或顯著程度。然而,推薦系統涉及對個人資料之推論及組合,其準確性與透明度均引發指引的關切,同時亦伴隨大規模及/或敏感性個人資料處理所帶來之潛在風險。指引提醒,不能排除推薦系統透過向使用者呈現特定內容之行為,構成GDPR第22條第1項的「自動化決策」(automated decision-making),提供者於提供不同推薦選項時,應平等呈現各項選擇,不得以設計或行為誘導使用者選擇基於剖析之系統。使用者選擇非剖析選項期間,提供者不得繼續蒐集或處理個人資料以進行剖析。 6.未成年人保護:指引指出,為了符合DSA第28條第1項及第2項所要求於線上平台服務中實施適當且相稱的措施,確保未成年人享有高度的隱私、安全與保障,相關的資料處理得以GDPR第6條第1項第c款「履行法定義務」作為合法依據。 7.系統性風險管理:DSA第34與35條要求超大型在線平台和在線搜索引擎的提供商管理其服務的系統性風險,包括非法內容的傳播以及隱私和個人數據保護等基本權利的風險。而指引進一步提醒,GDPR第25條所設計及預設之資料保護,可能有助於解決這些服務中發現的系統性風險,並且如果確定系統性風險,根據GDPR,應執行資料保護影響評估。 EDPB與其他監管機關的後續? EDPB的新聞稿進一步指出,EDPB正在持續與其監管關機關合作,以釐清跨法規監理體系並確保個資保護保障之一致性。後續進一步的跨法域的指引,包含《數位市場法》(Digital Markets Act, DMA)、《人工智慧法》(Artificial Intelligence Act, AIA)與GDPR的相互影響指引,正在持續制定中,值得後續持續留意。
美國聯邦通訊委員會新通過的隱私規範這是客戶的資訊,該資訊如何被使用應為客戶的選擇。」於此一理念下,美國聯邦通訊委員會(Federal Communication Commission,FCC)於2016年10月27日通過了寬頻客戶隱私規定(Broadband Consumer Privacy Rules),該規定要求寬頻網路服務提供者(broadband Internet Service Providers,ISPs)應保護其客戶之隱私,該新通過的隱私規範非禁止使用及分享客戶的資訊,而係給予客戶有更多的選擇去決定自身的資訊該如何被分享及使用。以下簡介規範內容: 一、規範對象:寬頻網路服務提供者及其他電信營運商,例如Comcast、Verizon、AT&T等。規範對象未包含聯邦貿易委員會(Federal Trade Commission,FTC)所管轄的隱私保護措施下的網站或其他邊緣服務商(edge service),例如Google、Facebook、Amazon等。亦未規範寬頻網路服務提供者營運的社交媒體網站或政府監管、加密,執法等問題。 二、 主要規範內容:將ISP所蒐集得使用及分享的資訊分為三類,建立客戶同意要件,分類如下。 (一)敏感性資訊須事前取得客戶肯定地選擇同意加入(opt-in),才得為使用及分享。敏感性資訊包含精確的地理位置、金融資訊、健康資訊、孩童資訊、社會安全碼、網站瀏覽紀錄、app使用紀錄及通訊內容。 (二)非敏感性資訊,例如電子郵件地址或服務層資訊,得使用及分享,惟當客戶選擇退出(opt-out)則不得使用及分享。 (三)同意要件之例外。除了在建立客戶與ISP關係外,針對特定目的將會被推定為已取得客戶同意,包含寬頻服務之提供或針對服 三、 其他重要規範內容:清楚告知客戶收集的資訊、將如何使用、向誰分享;實施合理的資料安全準則;保密性違反之通知。 然而針對FCC是否具有相關管制權限,質疑聲浪仍存於本次規範之通過。亦有認為該規範與FTC的管制同時運行將形成疊床架屋,造成社會大眾之混淆。並且該規範未能真實反映網路生態,未將網路公司或社交網站公司列入管制對象,無法真正保護客戶隱私。
新加坡國會通過支付服務法修正案,以降低洗錢及犯罪風險隨著新型態支付服務應用不斷推陳出新,利用數位支付型代幣(digital payment token)進行洗錢與犯罪愈加猖獗,新加坡國會(Parliament of Singapore)於2021年1月4日通過「支付服務法修正案」(Payment Services (Amendment) Bill),擴大監管範圍,以降低與數位支付型代幣有關的洗錢、資助恐怖主義(money laundering and terrorism financing, ML/TF)及隱匿非法資產風險。 本次修正重點包含(1)賦予新加坡金融管理局(Monetary Authority of Singapore, MAS)更大權責,可要求支付服務供應商落實相關客戶保護措施,例如要求數位支付型代幣服務供應商所保管之資產與自有資產分開存放,以確保客戶資產不受損失;(2)將虛擬資產服務供應商(virtual assets service providers)納入法規監管,擴大數位支付型代幣服務定義,使其包括代幣轉讓、代幣保管服務與代幣兌換服務;(3)擴大跨境匯兌服務(cross‑border money transfer service)定義,凡是與新加坡支付服務供應商進行資金轉移,不論資金是否流經新加坡,皆受新加坡金融管理局監管;(4)擴大國內匯款服務(domestic money transfer service)範圍,以涵蓋收付雙方均為金融機構之情形。 新加坡金融管理局表示,本次修法目的是為了因應支付服務產業的廣泛應用,降低潛在犯罪風險與維護金融安全,有效保護消費者權益,並維持金融穩定性與維護貨幣政策有效性。