歐盟執委會（EC）因根據社群網站使用者的政治觀點投放精準廣告，遭歐盟資料保護監督機關（EDPS）訓誡

淺談創新應用服務（OTT）之創新與規範課題 科技法律研究所 法律研究員　蔡博坤 2015年05月26日 　　隨著資通訊科技快速的發展，例如網際網路、雲端運算、智慧聯網、巨量資料、4G/5G等等，創新應用服務（Over-the-top, OTT）已逐漸包含各種基於網際網路之服務與內容。此科技應用的服務應如何在現行法律規範體系下被論及，其本身以及衍生的議題復為何，均為所欲介紹的核心，本文係以美國作為觀察之對象，希冀對於我國未來在OTT領域之法制有所助益。 壹、美國FCC對於創新應用服務（OTT）的態度觀察 　　在美國，聯邦通訊委員會（Federal Communication Commission, FCC）係美國境內主管電信與通訊領域聯邦層級的主管機關，對於網際網路上之新興應用服務，為鼓勵新興技術的發展，一向以避免管制為原則，也因此一些OTT TV或VoIP之商業模式，近年來無論係在美國境內抑或境外，皆有著長足的發展。另一方面，隨著科技快速變遷，FCC亦與時俱進持續透過公眾諮詢，尋求是否有調整相關定義，抑或擴張規範管制之必要。例如，2014年12月，FCC發布一個法規修訂公開意見徵集的通知（Notice of Proposed Rulemaking, NPRM），希冀更新目前於1934年通訊法（Communications Act of 1934）下之相關規範，以反映目前透過網際網路所提供的影音服務，特別將更新對於Multichannel Video Programming Distributor（MVPD）一詞定義。 貳、關鍵之法制課題 　　由於FCC在創新應用服務（OTT）領域市場管制者（market regulator）的角色乃至關重要，同時，提供此應用服務的業者，無論係電信業者還是新興科技業者，其彼此間相互且複雜之法律關係，所衍生之法制議題，實有必要探討以及釐清，謹就兩個層面的問題概述如下： 　　關於第一個層次網路中立（Net Neutrality）的議題，從相關案例實務判決觀察，2014年2月，美國有線寬頻業者Comcast即以頻寬有限資源，以及確保網路流量充足的理由，說服Netflix服務營運商，同意因此付費給Comcast，而雙方所進行之合作，也引起所謂網路中立性的爭議課題。今（2015）年2月，FCC於最新通過的Open Internet Order，有別於過往命令僅能有限度地適用於行動網路服務業者（mobile broadband），新的命令將能全面性地適用於固網以及行動網路業者，反應近年來在無線寬頻網路科技之快速進展，將擴張保護消費者近取網際網路的方式。 　　其次，觀察目前美國境內OTT的業者，包括Now TV、Netflix、Ditto TV、Whereever TV、Hulu、Emagine、myTV等，均有建置整合平台，俾利提供消費者新型態的商業服務，從知名Netflix公司所建構的平台政策，相關重要的規範課題包含資料的蒐集、處理與利用，也提到對於安全性的重視與兒少保護等。在相關隱私權議題面向，其指出，由於使用者得通過不同的媒介透過網際網路近取相關服務，誠是些來源皆有各自獨立之隱私權聲明、注意事項與使用規約，除了提醒用戶應盡相關的注意義務外，相關衍生的責任亦會予以劃清。 參、簡評 　　從上述可得知，創新應用服務（OTT）整體之發展，係與網際網路（Internet）相關推動工作係一體的，因此，我國未來如欲推動OTT相關創新服務，相關網際網路所衍生的議題，例如網路中立等，勢必將成為重要的法制層面所亟需探究之課題。 　　在我國，如同美國聯邦通訊委員會（FCC）角色之行政主管機關係國家通訊傳播委員會（NCC），在主管的法令中，目前依據電信法相關規範，電信事業應公平提供服務，除另有規定外，不得為差別處理（第21條）;無正當理由，第一類電信事業市場主導者不得對其他電信事業或用戶給予差別待遇，抑或不得為其他濫用市場地位或經主管機關認定之不公平競爭行為（第26-1條）。 　　相關法律條文規範是否可因此援引作為討論創新應用服務（OTT）之法源基礎，復如何調和第一類電信事業市場主導者與新興應用服務科技業者之關係，仍存在著灰色地帶。從鼓勵產業創新之觀點出發，謹初步建議從正面的立場，鼓勵相關創新應用發展，宜避免逕就OTT服務過度管制。

　　在2013年的國際資訊安全會議（RSA Conference）上，資安專家紛紛表示，將Big Data技術應用於資訊安全分析的項目上，確實可以幫助企業建立更佳的情勢判斷能力，但在實際執行過程中是一大挑戰。 　　資安廠商如RSA和賽門鐵克公司，在會議上表示目前的策略是透過新的數據匯集、比對和分析協助企業篩選、過濾結構化和未結構化資料的威脅指標，這是傳統的特徵偵測（signature-based）安全工具無法做到的。 　　不像傳統的安全手段著重於阻斷攻擊，新的技術強調偵測並立即回應違犯行為，也就是提前遏止任何違犯行為，協助企業作全面性的偵測而不擔心有所遺漏。 　　由於越來越多的美國政府機關和民間企業遭受到針對性和持續性的攻擊，巨量資料技術的應用需求激增。企業內部都累積著大量的數據和多元的數據種類，而需要動新技術來保護這些數據資料免於惡意人士或對手的竊取或其他侵害行為。企業應該要因應實際面臨的威脅和所獲悉的威脅情報來建立安全模型，取代部署特定產品和外圍系統的防禦。 　　美國無論是政府機關或民間企業都被捲入了不對稱戰爭-對手是武器精良、準備充分並有嚴密組織的網路敵人。 　　「駭客只需要攻擊成功一次，但我們必須每次都是成功的」賽門鐵克的總裁deSouza表示。「因此與其專注的在阻擋所有威脅，更好的辦法是使用巨量資料技術偵測侵入行為並消解之」。而在會議中資安專家都肯認至少從理論上來說，以巨量資料技術強化資訊安全是很好的想法。 　　不過另有其他的說法，金融服務企業LSQ的首席安全及法務主管皮爾遜認為，許多人的電腦紀錄檔和所有的電子裝置都早就被侵入滲透了，這才是問題所在。他表示，目前現存的SIEM（安全性資訊及事件管理）工具可以讓企業聚集來自許多個安全設備的巨量登錄數據整合在同一系統內，但真正的問題是，SIEM工具必須要有能力分析數據並找出關聯性，如此才能偵測到駭客入侵的前兆證據和真實的入侵行為，這和彙整數據是不同的兩件事。許多企業所面臨的問題不是缺乏數據資料，而是要如何為資訊安全的目的建立關聯規則和應用方式，以有效率的方式找出有用的巨量數據並進行分析，和留下可供進行訴訟使用的證據。

歐盟資料保護委員會（European Data Protection Board, EDPB）於2023年12月13日回覆歐盟執行委員會（European Commission, EC）有關Cookie協議原則草案（Cookie Draft Pledge Principles）之諮詢。該草案旨在處理「Cookie疲勞」（Cookie fatigue）所造成的隱私權保護不周全之處。 在電子通訊隱私指令（ePrivacy Directive）以及GDPR規範下，由於現行同意機制複雜，造成用戶對Cookie感到疲勞，進而放棄主張隱私偏好。 為了避免「Cookie疲勞」，EDPB提出以下原則和建議，大致可以分為三點： 一、簡化Cookie不必要的資訊 1.基本運作所需之Cookie（essential cookies）無需用戶同意，故不必呈現於同意選項，以減少用戶需閱讀和理解的資訊。 2.關於接受或拒絕Cookie追蹤的後果，應以簡潔、清楚、易於選擇的方式呈現。 3.一旦用戶拒絕Cookie追蹤，一年內不得再次要求同意。 二、確保資訊透明 1.若網站或應用程式的內容涉及廣告時，應在用戶首次訪問時進行說明。 2.不僅是同意追蹤的Cookie，用於選擇廣告模式的Cookie，仍需單獨同意。 三、維持有效同意 1.應同時顯示「接受」和「拒絕」按鈕，提供用戶拒絕Cookie追蹤的選項。 2.在提供Cookie追蹤選項時，除了接受全部的廣告追蹤或付費服務外，應提供用戶另一種較不侵犯隱私的廣告形式。 3.鼓勵應用程式提前記錄用戶的Cookie偏好，但強調在用戶表達同意時必須謹慎處理，預先勾選的「同意」不構成有效同意。 EC表示，該草案目的在於簡化用戶對Cookie和個人化廣告選擇的管理，雖然為了避免Cookie疲勞而簡化資訊，仍應確保用戶對於同意Cookie追蹤，是自願、具體、知情且明確的同意。將於後續參考EDPB之建議，並與利害關係人進行討論後，制定相關法規。