文章

專題

金管會於個資法實施後執行情況之觀察

1995年8月1日初次公布之電腦處理個人資料保護法,在2010年5月26日大幅修正,並更名為個人資料保護法(以下稱”個資法”)後,於2012年10月1日正式施行。然而,因為其中第6條規範特種資料之收集、處理、利用,與第54條原規定修法前非由當事人提供之個人資料,應於新法施行後一年內完成告知,因為爭議太大,而將該二條文暫緩施行;2015年12月30日個資法終於再次修正後,而得以完整實施。

台灣之個資法並未規範單一的個資法主管機關,除了法務部負責訂定特定目的及個人資料類別,亦為解釋個人資料保護法之機關之外,是由中央目的事業主管機關或直轄市、縣(市)政府來負責個人資料保護事務之管理及裁罰。由於目前除了金融監督管理委員會(”金管會”)之外,其他主管機關尚未有公布違法個資法裁罰案件之機制,因此甚難知悉或統計其是否確有因為違反個資法之裁罰案件。金管會為金融機構之主管機關,其網站上有就其所作成裁罰案件之定期公告事項,包括違反個資法之案件,研究金管會之該些裁罰案件,可以提供我們對於金融機關牴觸個資法的態樣,及金管會就金融機構違反個資法案件的處罰態度,提供一個參考的基礎,實值得觀察。

裁罰案件數量

金管會設有四個業務局,為銀行局、證券期貨局、保險局及檢查局。由金管會之公布資料顯示,個資法自2012年實施迄今四年多之期間,金管會總共曾有16件因違反個資法之裁罰案件。其中以2016年有5件保險局對保險公司,2件銀行局對銀行,總共7件之裁罰案件,為裁罰案件數最多之一年;而2015整年度則均無任何裁罰案件,為最少的一年。其他2012、2013、2014三個年度則平均一年約為2至3件。值得注意的是,今年(2017)迄今才3月份而已,已經有2件保險局對於保險公司違反個資法的裁罰案件發生,各是南山人壽保險股份有限公司將部分保戶保單資料不當郵寄予第三人,與三商美邦人壽保險股份有限公司以電子郵件洽詢業務相關事宜之頁面,於蒐集客戶個人資料時,違反個資法未向當事人明確告知法定應告知事項之事件。

雖然整體來說,金管會在個資法自2012年開始實施的整個過去4年多期間內,裁罰案件之總數量僅有16件,並不算多;但若觀察自2012至2015年間,違反個資法之裁罰案件總共僅有7件而已,而自2015年底修正後之個資法完整實施後的2016年度(7件),乃至2017年初迄今(2件),已經有9件裁罰案件以觀,金管會針對違反個資法的裁罰案件,顯然有增加的趨勢。此一事實究係表示金管會對於個資法的遵循事項,有加強督導查核之態度,抑或僅是金融機構違反個資法情事增多的偶然結果,不得而知。不過,值得注意的是,在個資法實施之前,金融機構之內控管理機制,與其他各個行業相較,一直本就是較為嚴格的,且金管會依違反內控機制而裁罰金融機構的事件,一向也是稽核較嚴格,處罰金額較高的;既然違反個資法的事實,通常也會同時違反內控管理機制,因此,至少可以說金管會是各行業之個資法主管機關中,對於個資法遵循事項,最為關切,較常祭以裁罰處分的一個。所以,可以預期金管會日後仍會對於個資法的違反案件,繼續積極稽核管理。而,金管會中又以保險局對保險公司的裁罰案件數量最多,銀行局次之,其他部門則目前尚未見有任何裁罰案件。

違反個資法態樣

綜觀金管會自2012年迄今2017年2月裁罰違法個資法的案件,金融機構違反個資法的態樣,歸納大約有以下數種。

一、個資外洩

此為目前裁罰案件中,發法生違反個資法最多見的態樣,亦即金融機構因為內控與稽核機制之設計或維護不佳,或處理業務過程失誤,導致客戶個人資料外洩。裁罰案例包括:2017年1月10日(以下指裁罰時間)南山人壽保險股份有限公司辦理保戶通知信函寄發作業時,因電腦系統執行錯誤程式,使部分保戶保單資料不當郵寄予第三人;2016年4月11日國泰世華商業銀行大安分行,受理客戶申請調閱薪資轉帳資料時,洩漏不屬該名客戶之其他客戶個人資料;及2013年8月22日中國信託商業銀行辦理網路銀行業務發生疏失,使一般網路使用者得以進入瀏覽,並取得該銀行內部目錄網頁所留存之客戶資料,導致客戶個人資料外洩。

二、未經客戶同意

金融機構未經客戶同意,將客戶個人資料提供給第三人使用,也是常見的違法裁罰態樣。案例包括:2016年6月29日兆豐國際商業銀行未經客戶同意,將其基本資料提供予兆豐產物保險股份有限公司進行電話行銷;2013年10月4日南山人壽業務員未經保戶書面同意,逕將客戶個人資料提供予第三人,代向保戶說明保單問題;2013年7月10日彰化商業銀行股份有限公司行員未徵提客戶書面同意,逕予查詢客戶聯徵中心信用資料。

三、個人資料檔案安全維護作業不周全

此態樣案例包括:2016年11月16日保誠人壽保險股份有限公司辦理104年度個人資料盤點作業有未落實,致未依保存期限刪除個人資料;2016年11月11日三商美邦人壽保險股份有限公司辦理資訊作業,因為整體個人資料保護措施未臻周延,且欠缺有效內控機制,而被裁罰;以及2016年9月8日,富邦人壽保險股份有限公司客訴人員未採行適當之安全措施,未以加密處理方式,將保戶Call-in卡申請書影本郵寄至個人電子信箱。

四、未盡告知義務

個人資料法規定非公務機關向當事人蒐集個人資料時,應明確告知當事人一定的事項,2017年2月14日三商美邦人壽保險股份有限公司之官網,提供客戶以電子郵件洽詢業務相關事宜之頁面,但於蒐集客戶個人資料時,並未向當事人明確告知法定應告知事項,因而受到裁罰。

五、未即時通報個資外洩事件

前述2017年南山人壽保險股份有限公司辦理保戶通知信函寄發作業時,因電腦系統執行錯誤程式,使部分保戶保單資料不當郵寄予第三人,南山人壽除了個資外洩外,亦因其通報時程延遲,致被認定內部重大偶發事件之通報作業未臻周延,核有礙公司健全經營之虞而被裁罰。

裁罰內容

根據個資法之規定,非公務機關違反個資法,得由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣(下同)2萬元以上50萬元以下罰鍰。此處罰標準若與違反金融機關內控相關法令之標準比較,顯然輕微許多。既然違反個資法之事實,通常均亦違反內控相關法令,金管會在裁罰違反個資法事件時,顯然多半傾向依照違反金融機關內控法令之罰則,處罰違法之金融機關,至於違反個資法之部分,幾乎多半均僅核處以限期改正而已。

目前所有裁罰案件中,金管會單純依照違反個資法而處罰的案件,僅有三件,即1) 2016年兆豐國際商業銀行未經客戶同意,將其基本資料提供予兆豐產物保險股份有限公司進行電話行銷;2) 2013年南山人壽業務員未經保戶書面同意,逕將客戶個人資料提供予第三人,代向保戶說明保單問題;與3) 2013年彰化商業銀行股份有限公司行員未徵得客戶書面同意,逕予查詢客戶聯徵中心信用資料之三個案件。上述違反個資法之三個公司各被處以5萬元,2萬元與5萬元之罰鍰。而此三個案件均為未經客戶同意,將客戶個人資料提供第三人使用之態樣。

其他金管會除了依違反內控相關法令之外,也兼依違反個資法處罰之案件,就違反個資法部分,金管會大多均僅處罰限期一個月內改正,較少情節較嚴重者也有核處在7日或10日內改正者;而違反內控法令的處罰部分,則一般大部分均處罰60萬元罰鍰。僅有情節較嚴重之三個案件,各為2016年保誠人壽保險未依保存期限刪除個人資料之案件,被處罰120萬元,與另外兩件個資外洩之案件,即1) 2014年國泰世華商業銀行離職員工,將客戶個人資料下載至私人外接儲存裝置案件,處罰300萬元,與2) 2013年中國信託商業銀行辦理網路銀行業務發生疏失,導致客戶個人資料外洩,被處罰400萬元。這三個案件是個資法實施以來,金管會裁罰金額最高的案件,但是這些罰鍰均不是依據違法個資法而處罰的,而是依據違反內控法令而做的處罰。甚至其中除了2016年保誠人壽保險,未依保存期限刪除個人資料乙案,有兼依違法個資法核處限期一個月內改正之裁罰外,其他兩件2014年國泰世華商業銀行,與2013年中國信託商業銀行之2件個資外洩案件,金管會均僅依違反內控相關法令處罰而已,而並未同時依違反個資法予以任何處罰。

結語

由上述金管會自個資法實施迄今之裁罰案件的處罰數量,以及裁罰內容觀察,似乎個資法在金融機構的稽核控管上,其所能發生之效力,明顯低於金融機構之內控相關法令。例如:依據個資法能課以處罰之罰鍰金額,最高僅為50萬元而已,嚇阻效力顯然不夠。因此金管會多半選擇以違反內控機制開罰,而不依賴個資法之處罰規定,是有原因道理的。則,個資法究竟會不會只是沒有牙齒的老虎?至少在主管機關的行政裁罰部分,看起來似乎是這樣的。

如果您想知道更多有關台灣資料保護或隱私權法規事宜,請聯絡陳慧玲律師,電子郵件為hchen@winklerpartners.com,或電話+886 223112345 分機555。

2016年個資法全面完整修正施行

陳慧玲律師

個資法修正沿革

台灣自1995年8月1日初次公布之電腦處理個人資料保護法後,在2010年5月26日第一次公布重大的修正,並更名為個人資料保護法(以下稱 ”個資法” )。惟,2010年公布之個資法,卻遲至2012年10月1日才正式施行,而其中爭議甚大的兩個條款,即第6及54條規定,因行政院考慮社會各方認為該二條規定太嚴格,爭議很大,若貿然施行對民眾及社會衝擊太大,所以決定暫緩施行。其中第6條規範特種資料之收集、處理、利用,而第54條原規定修法前非由第三人提供之個人資料,應於新法施行後一年內完成告知。

2012年個資法施行之後,行政院及數位立法委員均提出包括第6及54條之個資法新修正草案,經過兩年立法程序,終於在2015年12月31日公布再修正之第6及54條,同時亦修正了其他幾個條文。此次2015年之修正重點包括:確定特種資料之蒐集、處理、利用的原則與例外,當事人同意的方式除了特種資料之外,不再侷限於書面形式,非不法意圖違法使用個資之除罪化,及放寬對新法施行前間接蒐集個資之告知期間。

2015修正的個資法,及法務部於2016年3月2日公布修正之個人資料保護法施行細則,均經行政院指定於2016年3月15日施行。

特種資料正式施行

一、追加病歷為特種資料

在2010年修正之個資法中已經有關於特種資料之規範。當時規定之特種資料內容包括:醫療、基因、性生活、健康檢查及犯罪前科五類個人資料。此次2015年之新修正,除了保留原來規範的五類內容之外,又追加了”病歷”為一種特種資料。其實在2010通過的個資法中,本來就已經有將”醫療”的個人資料列為特種資料之一,但2015年修正之立法理由說明:為了避免對於病歷是否屬於醫療的特種個人資料有所爭執,決定將之明文列入第6條關於特種資料的規定之中,名列為特種資料的一種。

台灣在2015 年修正個資法之立法理由中,說明此其修正係參考歐盟2012年”一般資料保護規則”草案第9條規定(the 2012 EU Proposal for General Data Protection Regulation)、德國聯邦個人資料保護法 ((the German Federal Data Protection Act) 第13條,及奧地利聯邦個人資料保護法 (the Austrian Federal Act concerning the Protection of Personal Data (DSG 2000) 第9條等外國立法例,肯認特種資料之蒐集、處理或利用,應較一般個人資料更為嚴格,須符合特定之要件,始得為之,以加強保護個人之隱私權益,因而特別參照該外國立法例,規範特種資料之蒐集、處理或利用。

然而,與其稱所參考之歐盟等外國立法例相較,台灣的個資法並沒有將在該外國立法例中,規範為特種資料的種族 (racial or ethnic origin)、政治 (political opinions)、宗教思想信仰 (religious or philosophical beliefs)、工會會員資格 (trade-union membership) 等個人資料類別,列為特種資料。個資法的立法理由中說明,目前規定的特種資料的類型,係在經審酌我國國情與民眾之認知後決定,因此個資法顯然明確有意不將在歐盟等立法例中的其他類型特種資料納入,而僅認列此有關醫療、基因、性生活、健康檢查及犯罪前科五類個人資料為特種資料。因此,該些外國立法例中關於種族、政治、宗教思想信仰、工會會員資格等個人資料,在我國個資法中,僅屬於一般的個人資料而已。

二、原則與例外

2015年新修正之個資法第6條規定,有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,原則上不得蒐集、處理或利用,僅在例外情形下得以為之。

2010年修正時規定個資法規定得以收集、處理、利用特種個資的例外情形,包括以下:

一、法律明文規定;

二、公務機關執行法定職務或非公務機關履行法定義務所必要;

三、當事人自行公開或其他已合法公開之個人資料;

四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料。

但在此次2015年12月31日修正時,追加了兩項例外情形:

五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內;

六、經當事人書面同意。

針對第四款公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計 或學術研究而有必要之情形,則增加必須資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人為限。

觀察個資法規定之此些例外情形,可謂大約係在歐盟2012年一般資料保護規則草案、德國聯邦個人資料保護法,及奧地利聯邦個人資料保護法等立法例的規定範疇之內,但仍有一些不同。以下簡要說明較重要之幾點觀察。

1.     當事人同意

不論係在歐盟1995年資料保護指令 (95/46/EC),或2012年一般資料保護規則規範中,當事人的同意均是例外得使用特種資料的情形之一,雖其亦規定各會員國可以自行規範是否要禁止當事人同意作為例外的情形,但德國聯邦個人資料保護法,及奧地利聯邦個人資料保護法,亦均將當事人同意列為例外情形之一,因此台灣個資法針對特種資料立法之初,即將當事人同意排除在例外得使用特種資料的情形之一,亦即縱使在取得當事人同意的情形下,只要不符合其他的例外規定,仍不能使用特種資料,因此曾被喻為”全世界最嚴格的個資法”(天下第514期)。如此的規定果然引來許多爭議,多數認為過於嚴苛,不切實際,行政院因此決定暫停實施該條文。

此次2015年修正時,終於將當事人同意列入成為可以蒐集、處理、利用特種資料的例外情形之一,而與歐盟等外國立法例趨於一致。立法院之審查理由說明,司法院釋字六○三號解釋揭示憲法保障「個人自主控制個人資料之資訊隱私權」,無論一般或特種個人資料,個人資料當事人同意權本屬憲法所保障之基本權。若完全摒除經當事人書面同意之情形,將造成嚴重限制憲法所保障之基本權。因此增列為例外事由之一。

惟特別須注意者為,雖然此次2015年個資法的修正,已經放寬了當事人同意的方式,不再以書面為限,然而,就特種資料得為例外使用的當事人之同意,則仍然規定必須是以書面為限,立法院審查會說明:相對於一般個資,特種資料之性質更具敏感性,為求慎重,予以較嚴格之規定。另外,即使當事人同意的情況下,若有逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,仍不得收集、處理、利用。

2.     已經公開之特種資料

個資法規定當事人自行公開或其他已合法公開之個人特種資料,例外得為處理、利用;此一規定與歐盟、德國法,及奧地利法相較,顯為寬鬆。因為歐盟等立法,均僅規定由當事人自行公開之特種資料,才能處理、利用,但個資法尚包括除了當事人自行公開以外的,其他已合法公開之個人特種資料,亦可處理、利用。所謂其他已合法公開之情形,指依法律或法律具體明確授權之法規命令所公示、公告或以其他合法方式公開之個人資料。

3.     公共利益、當事人利益,或第三人之利益

歐盟等立法均有將維護公共利益之必要、維護當事人本身之重大利益,或為防止他人權益之重大危害,列為得以使用特種資料的例外之一;惟個資法雖在就一般性個人資料之搜、處理、利用,有此些例外規定,但針對特種資料,則無此例外規定。

其實,在行政院提案的修正草案中,有將”為維護公共利益所必要”,列為蒐集、處理或利用特種個人資料的例外事由之一,其舉例謂: “依學生健康檢查實施辦法第七條第一項第三款規定:「學校對罹患特殊疾病學生……應妥適安排其參與之活動。」當舉辦校外活動,配合學校辦理活動之公務或非公務機關,於擬訂配合處理措施時,須瞭解該生之醫療或健康檢查資料,以為妥適因應;又為查證公職選舉候選人是否有受消極資格限制,而提供(利用)犯罪前科資料,或為人事行政管理及相關金融業務要求受僱人員提供犯罪前科資料,若無維護公益之條款,將無法適時提供上開資料,反使公眾權益受到影響"。惟,最終之修正條文仍未採納行政院之提案,而改以 “為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內”之情形,作為例外事由。可能立法者認為行政院所舉之案例情形,其實用“為協助公務機關執行法定職務或非公務機關履行法定義務” ,即可達成目標,而未必需要以追加一個抽象不確定之”公共利益”概念,做為例外事由。可見台灣個資法相較於歐盟等之立法例,仍屬較為嚴格。

4.     法律訴訟

歐盟等立法有規定為法律訴訟所必要時,得例外使用特種資料;個資法並無此一例外規定。

5.     犯罪資料

歐盟規定犯罪資料僅能由公務機關,或非公務機關為了符合公共利益而履行法定義務時,才能使用。而犯罪紀錄嚴格地僅能由公務機關持有。個資法則並未如歐盟的規範,將犯罪前科特種資料的處理之方式,與其他特種資料加以分別。因此犯罪前科於其他特種資料一般,適用相同的例外規定。

書面同意的形式

2015年修正前之個資法,對於所有當事人同意之方式,嚴格限制一律必須以書面為之。2015年修法後除了特種資料外,已經不再侷限以書面為限;而且新法又增加公務機關或非公務機關明確告知當事人應告知事項時,當事人如未表示拒絕,並已提供其個人資料者,推定當事人表示同意之規定。過去依據個資法規定,取得當事人的書面同意,一直是很重要的義務之一,現在這個修正使得當事人的同意不僅不再以書面為限,甚至可以依推定的方式為之,可謂使當事人同意之方式鬆綁了許多。

但,為配合書面同意形式的放寬,2015年修法也增訂了蒐集者就經當事人同意之事實,應負舉證責任之規定,以平衡當事人間之權益。

無不法意圖之除罪化

2015年修法前個資法規定不論意圖為何,只要有違法收集、處理、利用個資的行為,均構成刑事犯罪;2015年修法後僅將意圖為自己或第三人不法之利益,或損害他人之利益者,列為刑事犯罪。立法理由認為無不法意圖者違反個資法者,應以民事損害賠償與行政罰等救濟為已足,不必課以刑事責任,以免過苛。因此修法僅對有不法意圖者,處以刑事責任。

此一修法之緣由,亦有可能是因為自2012年新的個資法施行以來,大部分在法院涉訟的案件,多以尋常百姓、升斗小民的世俗爭怨為多,例如:大廈管委會不當公布住戶資訊、在社交媒體上的不當揭露他人資料……等,其違法的惡質性似乎並不那麼重大,若動輒以刑事罰則處理,並不妥當,故將之調整為現行的規範,以期衡平。

施行前取得之資料告知期間之放寬

2010年公布個資法後,原本不受個資法規範從事個資蒐集、處理、利用者,修法後均將一律適用個資法,因此對於在個資法施行前已取得非由當事人提供的個資,雖非違法,惟因當事人均不知資料被蒐集之情形,若未告知而繼續利用,將有害當事人權益。因此,2010年修正之個資法規定應於該法施行後一年之內,完成告知,否則即為違法。惟,此法公布後,衝擊許多必須處理大量個資之行業,紛紛主張一年的期限過短,無法完成告知義務,行政院因而暫緩施行該條規定。

2015年修法將告知義務之完成,修改為蒐集者於本次修法施行後為處理、利用時,在處理或利用前,再行告知即可。

2015修法之影響

2010年修訂的個資法可謂是在台灣在個人資料保護的歷史上,首次完整地將個資保護的義務人,推展到各行各業,全面的立法;惟,在2012年施行時,並未能將特種資料的規範付諸施行。因此,等於台灣的個資法一直並無特種資料之規範可言。直到2015年修法施行後,才可說台灣終於開始針對特種資料予以特別保護,全面的立法也才真正全盤的施行了,這應該是值得肯定的發展。

特種資料得以收集、處理、利用的例外情形與歐盟等立法例相比,細節上雖有寬鬆不一致之情形,但大體說來,台灣個資法的例外情形規定並不算寬鬆,也許這意味立法者刻意宣示尊重保護特種資料的立場;然而我們卻未能在立法的修正理由中,看到其具體說明為何其不採與歐盟、德國、或奧地利法的某些規定,因此無法了解其考慮的緣由。成文法有限的條文文字,必須仰賴法院在審理實際案件時,加以解釋而適用之,而立法者之立法理由向來都是解釋法律十分重要的參考之一。我們可以預期未來法院在審理案件時,可能認為台灣個資法既然係參考歐盟等外國立法例,而立法者又有意使之與該些立法例有所區別,則應未必能全盤參考歐盟等之法院先例。至於實施新法後,權責機構與執法機關是否能夠在各項政策配合及執行措施上,戮力實現個資法避免人格權受侵害,並促進個人資料之合理利用的目標,也是另一項挑戰與期待。

台灣首樁被遺忘權訴訟

台灣Google被訴

施先生為多年前爆發職棒米迪亞暴龍隊打假球案之球團老闆。當年施先生因該事件被起訴詐欺等罪,雖然後來獲判無罪確定,但多年來在網路上仍能搜尋到施先生涉及假球案之資訊。施先生因此在2014年間,訴請台灣Google將與該案相關之連結及內容移除。台灣台北地方法院2015年1月間,就本案判決施先生敗訴,全案目前在據稱在上訴中。此一案件涉及目前在全球十分熱門的個人隱私權中的「被遺忘權」議題,因此受到相當矚目。(103訴2976)

可惜台北地院就本件施先生的案件,並未針對當事人是否享有「被遺忘權」之爭點予以判斷,因為法院認定被告台灣Google並非經營搜尋引擎網站 (Google Search) 之美國公司Google Inc.,而是Google集團中另一家美商Goog1e International LLC之在台分公司。而且法院亦認定在臺灣地區固可使用Google Search,然並不能推論此搜尋引擎資料之搜集及整理均在我國境內為之,自不能以在臺灣地區可使用Google搜尋引擎,推認經我國核准認許之臺灣Googel即有管理Google搜尋引擎之權能。Google搜尋引擎業務既由另一家Google Inc .經營,足見台灣Google並未管領負責Google搜尋引擎業務,因此施先生對台灣Google顯然沒有權利主張,因而駁回施先生的訴訟。

被遺忘權

被遺忘權(right to be forgotten),是在個人隱私權概念中的一種,亦即人們有權利要求移除有關自己不正確的,過時的,不完整,通常也是負面的的個人資訊搜尋連結。但是這個權利的實踐,可能因為與言論自由之間產生衝突,也有可能產生對網際網路內容審查的疑慮,因此有許多的爭議,且就其如何實施的許多細節仍不夠明確。

歐盟Google

歐盟法院2014年5月在一件隱私權訴訟中判決Google 敗訴,認定當事人有權要求Google刪除與其多年前債務紀錄相關報導的搜尋連結。歐盟法院表示,歐盟法令旨在保障個人的基本隱私權利,除了在收集利用之時,應謹守一定規範外,當事人也應該擁有「被遺忘的權利」(right to be forgotten)。亦即,若以當事人身分進行搜尋,搜尋結果出現指向包含該當事人不完整、與處理目的不相關、過時的,而非因根據法律規定必須保存的個人身分資訊搜尋結果時,該當事人可向搜尋引擎公司要求刪除搜尋結果的連結。歐盟判決指出,這項判決結果將適用於所有歐盟國家。

歐盟對Google的判決不僅對所有搜尋引擎公司產生了莫大的影響,也引起個人隱私權與言論及資訊自由的保護之間,相互衝突與矛盾的討論。

一個人若有權利要求蒐尋引擎公司移除關於他個人的搜尋連結,他人就無法再透過網路的連結找到那些被刪除的結果。但是被刪除的內容不少可能與公共利益相關,例如:對政治人物的評論,非法行為的調查追蹤、醜聞的揭露,或刑事犯多年前的犯罪報導等,若是無條件地一律賦予當事人被遺忘權,則人民知的權利將被侵蝕,媒體的報導效果亦將減低;縱非無條件可以主張刪除時,應該如何評價以玆建立標準,恐怕必須綜合許多考量,權衡各種衝突的利益,才能決定。

有支持歐盟判決者指出,既然只是刪除搜尋的連結而已,而資訊及報導內容還在,那麼應該並沒有損害言論及資訊自由。但是,缺少了網路搜尋的利器,就必須透過傳統翻閱報章雜誌、付費資料庫等方式搜尋資訊,此雖非不可能,但卻費時費力,也增加許多負擔。更何況,如果在政府公開資訊及市場資料公開制度成熟良好的國家,可能影響還相對有限,但在許多尚未建立制度的國家,恐怕不利的影響將很深遠。例如:香港就有反對通過被遺忘權立法的強大聲浪,因為害怕該被遺忘權將成為政商權貴逃避媒體和鄉民監督的利器。

台灣可能立法納入被遺忘權嗎?

臺灣最早於1995公布實施之電腦處理個人資料保護法,係參考經濟合作暨發展組織(Organization for Economic Cooperation and Development,OECD)於1980年9月通過之管理保護個人隱私及跨國界流通個人資料之指導綱領,以及歐洲理事會(Council of Europe)於1981年完成保護個人資料自動化處理公約之8項原則,所制訂而成。2012年新修正實施的新個人資料保護法修法理由中,亦再次說明其係參考上述8項原則,而實際條文均多參考歐盟之制度而訂定。在2012年新個資法實施當時,法務部曾表示,其已函請外交部代為蒐集歐盟相關草案修法進度,以掌握歐盟有關個人資料保護法制之的法趨勢,做為未來個資法修法的參考,更針對被遺忘權之議題積極表示,未來將視歐盟執行成效,研議將其納入下階段個資法修法內容。

而今,台灣首樁被遺忘權之訴訟發生之際,個資法尚未修法納入被遺忘權之規定。雖然現行個資法中有刪除權的規定,但該刪除權可能應解釋為僅限於該資料超越原蒐集個人資料之特定目的必要範圍或期限之情形,方有適用,因此恐怕在本件訴訟並不能採為請求的權力基礎。惟本件訴訟原告之訴因為被告當事人不適格的程序問題而被駁回,法院並未做實體審理,因此無法知悉台灣法院對此一重大議題之意見,誠屬可惜。

其實,在2014年的歐盟Google一案中,原在西班牙起訴之西班牙原告,除了Google Inc. 之外,同時也告了與台灣Google地位相同之西班牙Google,歐盟法院針對相同的被告當事人適格之爭議,採取了與台灣法院截然不同的見解。歐盟法院認定雖然並未有足夠的證據證明西班牙Google 有直接從事搜尋引擎之業務,但西班牙Google既然負責在西班牙領域內,為Google負責推銷及廣告Google Search業務,此一事實已經足夠證明西班牙Google與Google集團中之Google Search業務乃緊密結合,西班牙Google 可以說是Google Search在西班牙之商業代表(commercial agent),因而認定西班牙Google亦應負責。

反觀縱然台灣Google登記之營業項目有包括資訊軟體、資料處理、電子資訊供應等項目,台灣法院並不認為有詳細調查Taiwan Google是否有實際參與經營Google Search業務之必要,僅單純因為台灣Google是集團中另一家公司之分公司,就認定台灣Google沒有從事搜尋引擎業務,亦不能推認其有經Google Inc .授權,而具有管理Google搜尋引擎之權能。這是單純對於當事人適格法律採取較嚴格的見解而已,還是因為台灣法院傾向不承認被遺忘權,而採取的態度,實不可知。台灣是否會承認被遺忘權,仍需視法院判決或未來修法是否會將之納入規範而定。

NCC是否將對違反個資法之電信業者開罰?

繼今(2014)年9月美國聯邦通訊委員會(The US Federal Communications Commission, FCC)就美國大電信業者, Verizon, 違法使用顧客個人資料行銷,而對其罰款超過 700萬美元之後,FCC又於2014年10月24日,公告將對 TerraCom 及其關係企業 YourTel America 開罰1000萬美金,此為 FCC史上最高額之罰款。

TerraCom 及其關係企業 YourTel America 被指稱因未盡個人資料保護之安全措施,將個人社會安全號碼、姓名、地址及其他敏感性資料,儲存於未經妥適安全保護之伺服器中,違反保護個資保護之法令,而遭處罰。

依我國個人資料保護法規定,電信業者違反個人資料保護法者,由其中央目的事業主管機關裁罰處分。國家通訊傳播委員會(NCC)迄今尚未有對電信業者,就違反個資保護法令處罰之先例。

即使日前台灣大哥大公司開發M+ Messenger app通訊軟體,交由關係企業酷樂公司推廣,遭民眾主張違反個資法,台北地方法院認定台哥大違法利用資料庫內容,也侵害到了使用者的人格權,應與酷樂公司連帶賠償新台幣五百元。但並未見 NCC 對此案表示任何意見。

NCC 尚未開罰之原因,據悉可能是因為其尚未建制完成違反個資保護之裁罰作業相關規範。由於美國FCC之舉措,向來為世界各國電信業者與主管機關所關注,NCC會否因望FCC之項背,而將加緊腳步,完成違反個資法之裁罰規範依據,並對違法之電信業者祭出重罰,有待密切注意觀察。

個資法施行一年之訴訟案例觀察英文發表

台灣《個人資料保護法》自2010年公布修正全文後,終於在2012年10月1日生效。本所合夥人陳慧玲律師就該法施行一年以來在台灣所提起相關之訴訟,擇其重要者進行剖析,並以英文發表於第127期《Privacy Laws & Business International Report》*。該文對於《個資法》施行以來之民刑事訴訟、該法施行情況,以及在台灣因違反《個資法》而提起集體訴訟之可能性,均有深入探討。

*Privacy Laws & Business為國際著名之資料保護及隱私顧問諮詢機構,定期發表各國隱私法規相關報告及文章。

該篇英文分析全文可於此處下載

新通用頂級域名爭議解決新機制

隨著新通用頂級網域名稱(New generic Top Level Domain Names,下稱:新通用頂級域名)即將現在網際網路世界,域名最末段的字串將不再只是com、.net、.gov等既有的原通用頂級域名,更可能會出現:.游戏、.app、.book、.商城、.食品、.公司等新通用頂級域名。

隨著網域名稱變化日趨複雜,商標權人必將面臨更為複雜的域名搶註的問題(Cyber-Squatting)。如何能夠有更為快速、完善的域名爭議解決機制,成為新通用頂級域名時代的重要課題。為此「網際網路名稱與號碼指配組織」(The Internet Corporation for Assigned Names and Numbers, 以下稱:ICANN)除了開放新通用頂級域名的註冊外,同時設立了「商標信息交換機構」及「統一快速暫停系統」(Uniform Rapid Suspension System, 通稱“URS”),以作為解決惡意註冊域名問題更有效的紛爭解決機制,來保障商標權人的權益(關於商標信息交換機構介紹,請點閱此處)。

統一快速暫停系統(Uniform Rapid Suspension System, 通稱“URS”)

-背景

URS是ICANN為了因應新通用頂級域名施行的新措施,同樣用來保障商標權人免於網路搶註的侵犯,但企求成為補充現行原有的「統一域名爭議解決政策」機制(Uniform Domain Name Disputed Resolution Policy,以下稱:“UDRP”,有關UDRP之介紹,請參閱此處),而更為快速、經濟的網域名稱爭議解決機制。一旦新通用頂級域名上路後,若他人在新通用頂級域名下註冊的域名侵犯商標權時,便可透過URS請求暫停該域名之使用。然而在2013年1月1日以前已生效的原通用頂級域名下的域名,並不適用URS,而仍應回歸UDRP處理之。

商標權人如欲主張域名傷害商標權而應予暫停者,應向URS的域名爭議解決機構提起投訴。根據ICANN所發布的最新消息,接受投訴的機構有亞洲域名爭議解決中心(Asian Domain Name Dispute Resolution Centre)及美國國家仲裁協會(National Arbitration Forum)。URS的爭議處理機制完全採獨任審查員方式進行。

投訴書均應以電子檔案形式提出。投訴費用為美金375元起,依爭議域名數量計費。此費用較UDRP之投訴費(美金1,300元起)為低。相對於現行UDRP中投訴費用原則上完全由投訴人負擔,在URS案件中,若投訴人一次對同一個被投訴人投訴15個以上爭議域名者,則採取敗訴方付費制度。亦即被投訴人在此類案件提出答辯時,必須同時繳納答辯費(金額不超過投訴人所繳納的投訴費),而勝訴的一方將可取得該答辯費用。若被投訴人未繳納應繳之費用,其答辯將被視為從未提出。

-案件處理時程

URS作為比現行UDRP更為經濟快速的爭議處理程序,其案件處理時程,約莫為收受投訴後一個月左右的時間作出裁決。同時須特別注意的是,因URS強調爭議迅速解決的本質,故若投訴人的投訴有任何不符合形式要件者(如未繳納費用、未依規定格式提出投訴書等),都將被直接駁回而無補正的機會。只要投訴人未被認定係濫用此投訴機制者,URS並未限制投訴人不得再行提起投訴。

-程序的語言

URS的投訴書應以英文提出,被投訴人則可以選擇以英文答辯或以自己註冊地址所在地的通用語言為答辯。審查員則有全權得以決定以何種語言撰寫裁決書。

-投訴人必須證明的三個要件

投訴人若欲取得有利於己的裁決,則必須證明以下三個要件:

  1. 爭議域名與受保護的文字標識相同或混淆性相似。若該文字標示是有效註冊的商標,則必須提出使用證明。若使用證明曾經由商標信息交換機構確認過者,得提交一份聲明及一份目前用於商業用途的樣本即可。
  2. 被投訴人對爭議域名不享有合法權益。
  3. 被投訴人對爭議域名的註冊和使用具有惡意。

這三個要件與現行UDRP的三個要件大致相同,其中特別新增投訴人若是依據已註冊的商標提出投訴者,則必須提出使用證據的要求。

在舉證責任方面,投訴人必須舉證證明上列三個要件均成立。然而URS是比現行UDRP更為快速的域名爭議解決機制,因此投訴人負有比在UDRP程序中,更高的舉證責任。現行UDRP要求投訴人舉證到「證據優勢」(preponderance of the evidence)的程度即足,亦即依據投訴人所提出的證據可以證明投訴人所主張的事實為真的可能性大於非真實的可能性即可;但URS則要求投訴人必須舉出「清晰可信」的證據才足夠(clear and convincing evidence)。

同時URS特別指明為獲利而買賣域名及為投資目的而大量持有域名,只要不是主要為了高價出售給商標權人或其競爭對手,並不當然屬於惡意註冊;使用爭議域名是否屬於惡意,審查員仍必須依案件具體事證判斷。若依案件事證判斷關於被投訴人是否惡意註冊、使用爭議域名,仍存有未臻明確的爭點時,審查員即應駁回投訴人之投訴。

-救濟內容

投訴人透過URS僅能請求暫停被投訴人使用爭議域名,而不能請求將爭議域名轉讓給投訴人或註銷之。一旦審查員決定暫停該爭議域名,被投訴人對該爭議域名的使用權限將立即遭到暫停至該域名註冊期限到期為止,遭暫停的域名將連結至爭議解決機構統一製作的網頁,並顯示該域名已遭URS暫停之事實。投訴人可以在遭暫停的域名到期後,再另行付費延長一年的暫停期間。

-上訴程序

URS相較於UDRP更新增了上訴程序的規定,任何在URS第一次爭議解決程序中敗訴的一方,都可以在URS裁決後的14天內,提起上訴。上訴程序的規則及程序規定則由爭議解決機構進一步制定(美國國家仲裁協會發布的相關補充規則,請參見此處)。

-禁止濫用投訴

正因為URS是比現行UDRP更為快速、便宜的投訴程序,故有進一步禁止濫用投訴的必要。URS明文規定意圖妨礙他人商業營運、增加他人商業成本等不當投訴、提出不受任何現行法律或URS保障的主張、或缺乏證據支持的爭點,都可以被審查員認定為濫用投訴。重大虛偽不實的陳述也在URS禁止之列。若投訴人被發現已第二次濫用投訴或第一次被發現有重大虛偽不實陳述,自發現時起投訴人一年內不得提出任何URS投訴。若投訴人第二次被發現為重大虛偽不實陳述,投訴人將永久不得提出URS投訴。

商標權人應如何選擇爭議解決機制

首先商標權人仍應先確定爭議域名的通用頂級域名為2013年1月1日以後生效的新通用頂級域名,方可選擇URS。再者,商標權人若希望取得爭議域名所有權者,則必須選擇現行UDRP尋求救濟。但若商標權人面對的是大量惡意註冊,卻又不想取得一大批無用的域名時,則可考量以URS尋求救濟,凍結大批惡意註冊的網域,同時亦無需負擔該等域名將來的註冊費用問題。

統一域名爭議解決政策-世界上最常用之域名爭議解決機制

網域名稱(下稱:域名)具有在虛擬的網路世界反映企業商標、商譽的功能,自然也會成為他人仿襲攀附的對象,特別是域名搶註的問題(Cyber-Squatting)。在現行的通用頂級域名領域中(如.com、.gov等),如果有他人惡意註冊、使用與商標權人的文字商標相似的域名時,受影響的商標權人可以依據「網際網路名稱與號碼指配組織」(The Internet Corporation for Assigned Names and Numbers, 以下稱:ICANN)發布的「統一域名爭議解決政策」(Uniform Domain Name Disputed Resolution Policy, 以下稱:“UDRP”),向域名爭議解決機構提起投訴,以註銷或取得該域名。雖然大多數的國家頂級域名(country code Top Level Domain Names,如我國的.tw),各自有獨立不同的域名爭議解決機制,然而目前UDRP仍是世界上最常被用來處理域名爭議的紛爭解決機制。

隨著網路世界的發展,今年底起網域名稱字尾的「.com」、「.gov」(也就是「頂級域名」),將開始出現「.游戏」、「.app」等不同的字尾,這些新的字尾被稱為新通用頂級網域名稱(New generic Top Level Domain Names,下稱:新通用頂級域名)。在新通用頂級域名出現之後,商標權人雖然有其他新的管道來處理域名爭議問題(如「統一快速暫停系統」),商標權人面對他人濫行註冊的各種域名時,仍可透過UDRP來處理域名搶註、域名爭議的問題。因此,為保護自己的商標權在網路世界不受侵犯,商標權人應對此一世界上最常用之網域名稱紛爭解決機制有所認識。

至於註冊在.tw或.jp等國家頂級域名底下的域名則另外適用其他爭議解決機制,礙於篇幅,則不在本次介紹的範圍(如註冊在.tw底下的域名爭議,則依「財團法人台灣網路資訊中心網域名稱爭議處理辦法」處理)。

統一域名爭議解決政策(Uniform Domain Name Disputed Resolution Policy)

-背景

統一域名爭議解決政策自1999年ICANN核准實施迄今已有十多年的歷史,目前適用於註冊在通用頂級域名(如.com、.net、.org)底下的域名,也適用在註冊於少數國家頂級域名(如.nu、.tv、.ws、.co),下的域名。新通用頂級域名上路後,UDRP也將繼續適用在新通用頂級域名下的各個域名。

商標權人如欲主張域名侵犯商標權而應予註銷或轉讓給商標權人者,依據UDRP規定應向域名爭議解決機構提起投訴。目前接受UDRP爭議投訴的機構有:世界智慧財產權組織仲裁與調解中心(WIPO Arbitration and Mediation Center)、亞洲域名爭議解決中心(Asian Domain Name Dispute Resolution Centre)、美國國家仲裁協會(National Arbitration Forum)及捷克仲裁法院網路爭議仲裁中心(The Czech Arbitration Court Arbitration Center for Internet Disputes)。投訴人的投訴將由上列各個域名爭議機構交由具處理域名爭議專長的獨任行政專家組裁決投訴是否成立,投訴人亦可選擇交由三人專家組進行裁決。

投訴書均應以電子檔案形式提出。投訴費用為美金1,300元起,依各爭議解決機構、一次投訴的域名數量、選擇一人或三人專家裁決不同,以決定具體投訴費用之金額。

-案件處理時程

以世界智慧財產權組織仲裁與調解中心運作為例,從投訴人遞交投訴書起,至收到專家組裁決為止,若無其他程序應補正事項,或案件事實並非特別複雜者,大約歷時2至3個月左右。

-爭議程序中使用的語言

依據統一域名爭議解決政策規則(Rules for Uniform Domain Name Dispute Resolution Policy)規定,爭議程序的語言原則上為爭議域名註冊協議所使用的語言,然而審查的專家也可以參考案件相關事實,裁決使用投訴人或被投訴人所請求使用的語言。例如,註冊協議為中文,然而證據顯示被投訴人顯然具有理解英文的能力時,專家可裁決爭議程序以英文進行。

-投訴人必須證明的三個要件

投訴人若欲取得有利於己的裁決,則必須舉證證明以下三個要件:

  1. 被投訴人的爭議域名與投訴人享有權利的商品商標或服務商標相同或混淆性相似。
  2. 被投訴人對爭議域名不享有權利或合法利益。
  3. 被投訴人對爭議域名的註冊和使用具有惡意。

-第一個要件:域名與商標文字相同或混淆性相似

在判斷第一個要件時,僅是單純比較爭議域名字串與商標文字是否相同或相似。如果爭議域名整體以投訴人的商標文字為主要識別部分,原則上即屬混淆性相似。爭議域名如有蓄意錯拼投訴人的商標文字、或在商標文字外包含其他不具有識別性的描述性或通用性文字(如:best、shop等),通常仍被認為屬於混淆性相似。縱使是加上.com、.net、.org等原頂級通用域名,也不會被認為足以排除爭議域名與商標間使人混淆的事實。

-第二個要件:被投訴人對爭議域名沒有權利或合法利益

在判斷第二個要件時,因為被投訴人對於爭議域名是否享有權利或合法利益,通常對投訴人而言是難以證明,而為被投訴人最清楚知悉。因此,通常只要投訴人能夠提出一定的初步證據(prima facie case)顯示被投訴人對爭議域名不享有權利或合法利益,此時專家組就會認定被投訴人負有提出證據的義務(burden of production),來支持被投訴人對爭議域名具有權利或合法利益。

投訴人可以提出的初步證據包含商標註冊證明文件,並主張被投訴人與投訴人之間並未存在任何從屬、認可、授權、背書或經銷的關係、也從未授權被投訴人得以使用商標文字來註冊域名。

投訴人也可以提出初步證據或說明,主張被投訴人使用爭議域名並非善意提供商品或服務(例如:爭議域名被用來作詐騙網站之用)、被投訴人不可能因為爭議域名而廣為人知(例如:被投訴人的姓名或網頁上自稱的名號與爭議域名毫無關連)、或被投訴人使用爭議域名屬商業性使用,或者顯然係為了誤導消費者而設立的。投訴人若能舉出上開各項證據或主張,專家組通常會認定投訴人已經提出了足夠的初步證據,而提出證據的責任應轉移到被投訴人方。

UDRP第4條(c)項則規定了三種被投訴人可以證實被投訴人對爭議域名享有權利或合法利益的方法:

  1. 被投訴人在接到有關爭議通知之前,被投訴人已經或可以證明準備在善意提供商品或服務中使用爭議域名或與爭議域名相對應的名稱。
  2. 被投訴人(作為個人、企業或其他組織)雖未獲得商品商標或服務商標,但已因爭議域名而廣為人知。
  3. 被投訴人對於爭議域名的使用屬於合法的非商業性使用或合理使用,無意為謀取商業利益而以誤導的方式轉移消費者的注意力或損害爭議商品商標或服務商標的聲譽。

被投訴人可能主張自己是受授權使用商標文字之人,又或者是合法銷售商標權人的商品。然而被投訴人必須提出相關授權證明文件或合法銷售的資料。甚且縱使被投訴人係經合法授權的銷售人,被投訴人必須有確實販賣該商品的事實,也必須僅販售該商標的商品,否則無異以商標文字誘導消費者購買其他商品。

因此,被投訴人必須在網頁上清楚地標示其網站與投訴人間之關係;最後被投訴人也不應該大量註冊與商標文字相同或相似的域名,導致商標權人無法在網際網路世界中,妥善地呈現自己的商標。否則縱使被投訴人與投訴人間具有合法的授權或銷售關係,被投訴人仍可能被認定對爭議域名欠缺權利或合法利益。

-第三個要件:被投訴人惡意註冊及使用爭議域名

UDRP提供了幾個例示,說明被投訴人可以被認定為惡意註冊、使用爭議域名的情況,例如:被投訴人註冊爭議域名目的是為了出售給商標權人或其競爭對手來獲取利益、為了阻止商標權人註冊與其商標相對應的域名、為了破壞競爭對手的業務、或者故意混淆網路使用者誤認被投訴人的域名或網頁與投訴人商標間具有一定的授權、從屬、贊助或任何業務關係,以謀取商業利益。

投訴人要證明被投訴人係惡意註冊,可以從投訴人本身商標的知名程度、被投訴人是否明知或可得而知投訴人商標、被投訴人註冊的域名本身顯然攀附投訴人商標聲譽、被投訴人大量註冊與同一商標相同或相似的網域名稱等方向舉證,並形塑其主張。同時,若被投訴人的網頁上甚至直接使用投訴人的商標,或者刻意捏造自己就是投訴人所授權經營網頁的形象,也都可能被專家組認定為被投訴人惡意註冊爭議域名的證據。

投訴人要證明被投訴人惡意使用爭議域名,最常見也比較容易證明的方式,是提出資料證明被投訴人使用爭議域名的方法,是為了製造被投訴人與投訴人商標間具有一定關係的假象,來銷售自己的服務或商品。若網頁內容明顯涉及網路釣魚,用來騙取網路使用者的資料者,更屬於惡意使用爭議域名的情況。

-救濟內容

UDRP提供商標權人透過投訴可以請求專家組裁決將爭議域名註銷或轉讓給投訴人。一旦專家組裁決爭議域名註銷或轉讓給投訴人後,被投訴人可在十個工作天向有管轄權的法院(通常是受理註冊機構(Registrar)所在地的法院或被投訴人註冊域名時註冊地址的管轄法院)提起訴訟並通知爭議解決機構,否則受理註冊機構將直接執行專家組裁決。

美國就行動軟體應用程式(App)之隱私保護

壹、行動軟體應用程式之蓬勃發展及其隱憂

隨著全球智慧型手機及平板電腦之普及率持續攀升,搭載於該等行動裝置之各式功能型態的行動軟體應用程式(APP)也應勢而生。行動裝置劃時代地影響了行動裝置使用者的生活各層面,使用者以行動裝置接收郵件、閱讀新聞、使用地圖系統尋路、造訪社交網站與親友連絡等各項活動,使行動裝置逐漸成為最直接精準接觸終端消費者之媒介之一,連帶地牽動全球行動軟體應用程式產業鏈整體之飛軒上揚。

然而,行動通訊設備亦對於隱私權之保護,產生了極為特殊地挑戰,究其原因有三。其一,行動裝置頻繁地參與使用者之各項活動,使得行動裝置儲存了大量的個人資訊及其他敏感資訊,例如通訊錄、銀行帳戶、行事曆資訊、個人影音照片及GPS地理紀錄等;其二,此等儲存於行動裝置內之資訊,皆有可能於各個使用階段,被儲存或分享予不確定之第三人,例如:平台系統提供者(Amazon、Apple、Google等)、無線網路提供者(百貨公司或咖啡店提供之Wifi服務)、電信通訊業者、行動軟體應用程式開發者,甚或廣告通路商。使用者若有隱私受侵害之疑慮,甚至難以得知應向何人請求;其三,行動通訊設備本身的螢幕畫面通常較小,如何在此方寸之地妥適傳達足夠之資訊,亦是一大挑戰。

貳、美國對於行動軟體應用程式與隱私權保護議題之行動

一、聯邦層級之行動

在聯邦層級部分,美國聯邦貿易委員會(Federal Trade Commission,下稱“FTC”)FTC關注此議題甚久。為此其自2000年起舉辦了為數眾多的研討會及各類相關活動,並特設一行動科技單位(Mobile Technology Unit),專門進行對於行動通訊設備與隱私權之相關研究及調查,並對於有關行動通訊方面之欺瞞或不公平之情事,為監督及裁罰。FTC亦持續積極教育行動通訊使用者及各方相關業者,有關行動軟體應用程式與隱私權保護之相關事項,例如:為教育行動裝置使用者所發布之「FTC教您小訣竅:聰明地使用Wi-Fi網路」(FTC offers Tips on Wise Use of Wi-Fi Networks)、為教育行動軟體應用程式開發者所發布之「行動軟體應用程式開發者:從防護措施開始」(Mobile App Developers: Start with Security),期藉由推廣教育開始,保障隱私權於其開端。

二、州層級

1.平台系統提供者簽訂之聯合原則宣言

在美國州層級方面,美國Attorney General California Department of Justice(以下稱“Attorney General”) 為落實對於行動軟體應用程式使用者隱私權之保障,於2012年與主要的平台系統提供者(包括:Amazon、Apple、Google、Hewlett-Packard、Microsoft、Research in Motion 及Facebook)簽訂一「聯合原則宣言」(Joint Statement of Principle),旨在促進對於隱私權在行動通訊軟體層面之保護,以及落實加州相關隱私權保護之法令遵循。據此,平台系統提供者宣言承諾,將於其平台提供顯著的隱私權條款,並設置舉報管道,讓使用者對於未盡隱私權保護之行動通訊應用軟體,得藉此管道舉報並獲得回應;平台系統提供者更保證與Attorney General一起致力於行動裝置隱私之最適踐行。此聯合原則宣言亦確實收其成效,蓋自2012年10月起,簽訂上開宣言之主要平台系統提供者,皆已將上開承諾落實於其平台系統。

2.隱私執行及保障單位之設立

2012年6月, Attorney General 設立了專門之「隱私執行及保障單位」(Privacy Enforcement and Protection Union),其目標為保障由加州憲法所賦予的不可剝奪的隱私權,其職權為執行州與聯邦相關之隱私法規;以及擬訂計畫教育使用者與相關業界,有關隱私權之保障及其最適踐行方式,包括:

(1)透明化的資料使用方式(transparency about data practices);

(2)資料收集及留存之限制(limits on the collection and retention of data);

(3)使用者之有意義的選擇權利(meaningful choices for users);及

(4)所有相關業者提供安全及可靠之隱私保護 (security and accountability of all industry actors for privacy)。

3.持續之教育與推廣: 「隱私帶著走:行動通訊生態建言」(“Privacy On the Go: Recommendations for the Mobile Ecosystem”)

Attorney General另於今年初發布一「隱私帶著走:行動通訊生態建言(Privacy On the Go: Recommendations for the Mobile Ecosystem)」,旨在鼓勵行動軟體應用程式開發者及其他相關業者,在設計程式之初始階段即將隱私權之保護納入考量,並提供相關之建言,詳後述之。

參、行動軟體應用程式開發業者之法律責任風險控管

誠如上述,行動軟體應用程式與隱私權保護涉及之相關對象甚廣,除行動裝置使用者外,尚包括平台系統提供者、行動軟體應用程式開發者、及其他第三人如廣告通路商及行動裝置硬體業者,各方皆有落實及積極保障隱私權維護之著力點,及其應盡之相關法令遵循。本文以下僅先就行動軟體應用程式開發者著墨,討論其應遵循之措施,以踐行對使用者之隱私權保障,並降低其相關法律責任之風險。

一、FTC提供之基本原則

有關於隱私之保護的相關法規雖為數眾多,且鑒於行動軟體應用程式之無國界性,行動軟體應用程式開發業者於實際執行面上,難免擔憂有掛一漏萬之遺憾。實則,有關此點應得以FTC發布之「公平資訊踐行原則」(Fair Information Practice Principles ,FIPPs)為基準,蓋此原則廣被接受並成為許多隱私法規之基石,例如美國「1974聯邦隱私法」(the Federal Privacy Act of 1974)、「1977加州資訊踐行法」(California Information Practices Act of 1977)。「公平資訊踐行原則」的五大保護個人隱私及資料之核心原則為:  (1) 通知及認識(Notice/Awareness); (2)選擇及同意( Choice/Consent); (3) 管道及參與 (Access/Participation); (4) 誠信與安全(Integrity/Security);以及 (5)執行與補償 (Enforcement/Redress)。行動軟體應用程式開發者得以此五大原則,做為其對於踐行隱私權及個人資料保護之法令遵循之基本指標。

二、FTC相關案例分享

1.違反真實廣告原則(Truth in Advertising)之案例

(1)基本原則

行動軟體應用程式(APP)之簡介及描述應力求真實,若宣稱該程式有任何功能或效用,應有充分且可靠之證據足以印證該功能或效用,不得誇大不實。

(2)案例內容

曾有一行動軟體應用程式開發業者,發行名為AcneApp以及Acne Pwner 的行動軟體應用程式,宣稱啟動該程式後,由行動裝置螢幕散發之彩色光束具有治療青春痘之效用,FTC質疑其是否有違反相關美國聯邦貿易法規,雖該行動軟體應用程式業者宣稱:該行動軟體應用程式係由皮膚科醫師研發,並另有英國皮膚期刊文章為證,FTC仍以該行動軟體應用程式有欺瞞使用者,及不實宣稱該程式之積極功效為理由,認其違反美國聯邦貿易法規。

2. 違反透明原則(Transparency)之案例

(1)基本原則

行動軟體應用程式業者就執行該應用程式相關之重要事項,應以明確顯著之方式使使用者理解及控管,例如:該程式將會蒐集何等資料、此等資料將如何使用、該等資料將會保留多久、何者將會接觸到此等資料,以及行動軟體應用程式業者將給予使用者何種控管該等資料之選擇。在實際踐行上,行動軟體應用程式業者應使使用者者於下載前,以及下載後之任何階段,皆可閱覽該隱私權政策;有關資料之蒐集,除避免蒐集敏感性資料外,行動軟體應用程式應把握一基本原則,即僅蒐集最低限度之資料,且蒐集之資料應與執行該程式具有功能性之關聯,保留該等資料之期間,應不超過發揮該行動軟體應用程式功能所需之時間;此外,應提供使用者控管及拒絕行動軟體應用程式,使用或蒐集其資料之機會及選擇,並解釋拒絕同意行動軟體應用程式蒐集或使用該等資料之效果。

(2)案例內容

2011年,曾有一行動軟體應用程式開發業者發行名為FrostWire for Android的行動軟體應用程式,該應用程式提供其使用者點對點之檔案共享服務,分享之範圍包括使用者於行動裝置內儲存之影音照片、文件以及音樂等等資料,一經下載,使用者之檔案資料等,將有可能與所有該應用程式使用者分享及共用,惟該應用程式竟未於使用者之檔案遭分享時,告知使用者,亦未提供使用者拒絕分享檔案之選項。FTC認為該應用程式有不公平及欺瞞使用者之行為,該等行為違反了美國聯邦貿易委員會法案,為此對之向美國地方法院提起民事訴訟,此案最後以和解告終。該行動軟體應用程式開發者,就有關「隱私權透明原則」部分,承諾將於使用者下載該應用程式前,明確並顯著地揭露使用者何等檔案將與何等人分享,下載後,並明確及顯著地提供與告知使用者如何停止檔案分享之功能。

.隱私及個人資料之保護建議之踐行方式

Attorney General於其發布之上開「隱私帶著走:行動通訊生態建言」(Privacy On the Go: Recommendations for the Mobile Ecosystem),提供行動軟體應用程式開發者有關於行動軟體應用程式開發階段,納入有關隱私保護之建言及推薦作法,包括:

1. 隱私權保護政策之提供

規劃行動軟體應用程式之隱私權政策,並使使用者於下載前即得於行動軟體應用程式之平台系統閱讀之。

2. 即時揭露

使用者下載完成後,若該行動軟體應用程式將進行涉及敏感資訊之蒐集、使用或其他未預期之處理應用,應提供即時及明顯之告知,吸引使用者之注意,並提供其選擇接受或拒絕之選項,未獲得明確同意前,該行動軟體應用程式應不得進行該等特殊事項之處理應用。考量行動通訊設備之螢幕尺寸,行動軟體應用程式開發者,應使上開之即時揭露以精簡之文字或圖示為之,便於使用者閱讀及使用。

3. 相關業者間之協調及溝通:

誠如上述,行動軟體應用程式所牽涉之對象甚多,包括平台系統提供者、無線網路提供者、電信通訊業者、行動軟體應用程式開發者,及廣告通路商,盼望透過相關業者間之協調溝通及理解,共同致力在行動通訊設備之層面,更加妥適踐行隱私權及個人資料保護。

肆、小結

在行動通訊設備帶給使用者日新月異的功能服務,及便利使用者生活各層面之同時,行動通訊設備亦對隱私之保障產生了前所未有之新型挑戰及隱憂,相關產業雖努力就各層面致力於使用者之權利保障及損害防範,而建構了上開諸多之各項研究結果、建言書及法令,惟面對科技快速推陳出新的今日,在行動通訊生態圈之相關各界,仍應積極致力於相關最適規範及配套措施等之產生及踐行,期許法律及權利保障與科技同時脈動,相輔相成,不致偏頗或相互阻礙。

投保中心為公司提起的代表訴訟

董事有忠實義務

董事為公司之負責人,除非法律或公司章程另有明文規定,董事會為公司業務之決策與執行機關。公司法第23條規定,公司負責人應忠實執行業務並盡善良管理人之注意義務,如有違反致公司受有損害者,負損害賠償責任。同法第214條規定,繼續一年以上,持有已發行股份總數百分之三以上之股東,得以書面請求監察人為公司對董事提起訴訟。監察人自有前項之請求日起,三十日內不提起訴訟時,前項之股東,得為公司提起訴訟,此為股東代表訴訟。

公司法規定代表訴訟門檻過高

股東提起代表訴訟時,既須有繼續一年以上,持有已發行股份總數百分之三以上之股東之門檻限制,公司法亦有規定法院因被告之申請,得命起訴之股東,提供相當之擔保,再者,如因敗訴,致公司受有損害,起訴之股東,對於公司須負賠償之責,因而過去在台灣要提起股東代表訴訟,實際上是十分的困難,所以甚少見到較到此種訴訟。

根據觀察,大部分董監或其他負責人有違法行為致損害公司時,多半係透過刑事訴追來解決。但是,即使董監負責人違法行為構成刑法之背信罪,卻因為股東個人並非背信罪之直接受害人,股東無法提起背信罪之自訴或告訴,而僅能依賴檢調系統之調查與舉發,來制裁違法之董監負責人,再透過相關規定及附帶民事訴訟制度,追償違法董監負責人之不法利益。因而似乎對於鼓勵股東自發地主張權益,並未能發揮代表訴訟原定的效益。

投保中心2009年起得為公司提起代表訴訟

為加強公司治理機制,並使股東代表訴訟更有效地發揮功能,以保障股東權益,證券投資人及期貨交易人保護法(投保法)於2009年5月20日修正時增訂第10條之1 ,明定財團法人證券投資人及期貨交易人保護中心(投保中心)於發現上市或上櫃公司之董事或監察人執行業務,有重大損害公司之行為或違反法令或章程之重大事項時,得在請求公司之監察人為公司對董事提起訴訟之日起三十日內,公司不提起訴訟時,為公司提起訴訟。

投保中心提起代表訴訟之門檻較低

投保中心為公司提起代表訴訟時,除了不受前述公司法第二百十四條有關代表訴訟之股東,需繼續一年以上,持有已發行股份總數百分之三以上之門檻,及起訴時法院得命其提出擔保等之限制外,在訴訟費用繳交上,亦有相當之優惠。投保法規定,投保中心為公司提起代表訴訟時,其訴訟標的金額超過新臺幣三千萬元之部分,可以暫免繳裁判費。

關於投保中心的股東代表訴訟,學說上對於投保法雖規定投保中心提起的代表訴訟,不受公司法第二百十四條有關持有股份門檻之限制,但是投保中心是否至少應該具有股東之身分,才符合股東代表訴訟的當事人資格乙節,仍有學者討論認為立法規定不夠清楚。惟實務上,投保中心通常在提起訴訟前,皆至少會事先取得一股的股份,以避免爭議。

此一新法的增訂,可謂為台灣的公司治理機制與股東代表訴訟,立下了一個新的里程碑。因為上開相關優惠的規定,使投保中心可以在較有利的條件下,以保護監督者之角色,提起股東代表訴訟,依其所自許地「進行保障股東權益的相關措施,藉此督促公司管理階層善盡忠實義務,最終達到保護證券投資人及期貨交易人權益,及促進證券期貨市場健全發展之目的」。在該代表訴訟制度實施將滿四年之際,關於投保中心在此領域之建樹,令人關切。

投保中心代表訴訟之案例

依據投保中心2013年3月13日發布之 101 年度業務執行績效報告,截至2012年度底,投保中心共計提起了 18 件代表訴訟。由於投保中心並未在其中心網站,如其就其提起之所有證券團體訴訟,製作維持並定期公告之「團體訴訟案件彙總表」一般地,就其提起之代表訴訟亦製作並公告相關統計表列,使得一般人對於投保中心近四年來究竟提起了哪些代表訴訟,以及該些訴訟之進度成果如何,不得而知。

若由投保中心之歷年年報觀察,其中記載投保中心曾對亨豐科技股份有限公司(原名聯豪科技股份有限公司)之財報不實案、高盛電子科技股份有限公司(原名碼斯特科技股份)之董事非常規交易案、群益金鼎證券股份有限公司之董事不利益交易案、元大京華證券股份有限公司前董事涉嫌違反洗錢防制法及不利益交易案、亞洲化學股份有限公司董事侵占公司資產案、飛寶動能股份有限公司財報不實案、協益電子股份有限公司董事掏空資產案、英誌企業股份有限公司董事挪用侵占資產案、普揚聯合科技股份有限公司(更名為圓方創新股份有限公司)董事挪用資產案、大同公司與大同大學間不動產爭議等事件,決議提起代表訴訟。惟,在做成該些決議後,投保中心是否確有提起訴訟,或後續其如何處理,則無法由其中心網站上觀察得知。

若由公開資料中得以搜尋到的結果以觀,目前仍僅有極少數之法院案例可供參考。例如:在亞洲化學2010年對其違背義務的董監事提起請求損害賠償訴訟中,投保中心並非提起代表訴訟之當事人,而係參加該訴訟。該件訴訟經台灣台北地方法院於2012年9月28日判決亞洲化學之被告董、監事,不顧亞洲化學遭遇財務缺口困境,仍以明顯高於市場行情之價格,購買公司並無需求高達3.45億之土地,令公司負擔不必要之支出,致造成公司受有鉅大損害,應對亞洲化學負損害賠償責任(99重訴字439號判決)。本件訴訟仍在高院上訴中。

另一案件則為協益電子股份有限公司(協益電子)之董事長兼總經理吳俊良,與協益電子之員工共謀設立虛擬之紙上公司,再虛構業務,使協益電子等關係企業支付款項給其虛設之公司,及依其他不法行為,侵占協益電子公司等之銀行存款資產,致協益電子之投資權益及財產受損。案經國泰世華商銀依洗錢防制法向法務部調查局洗錢防制中心申報疑似洗錢交易,由該中心分析情資後轉由法務部調查局臺北市調查處移送臺灣板橋地方法院檢察署檢察官,暨行政院金融監督管理委員會告發本件協益電子等受損案件,訴請同署檢察官偵查起訴,並於2011年8月31日由台灣新北地方法院判決吳俊良犯證券交易法第一百七十一條第二項之背信罪(99金重訴3號判決)。

因此,本件投保中心亦未在第一時間對於違法之董事提起代表訴訟。本件據協益電子公告之資訊顯示:投保中心係在違法董事被刑事追訴後,才提起刑事附帶民事;最後投保中心與違法之董事就附帶民事損害賠償部分,於2013年4月16日以前述刑事第一審判決認定協益電子及三家子公司所受之損害金額新台幣542,499,792元及美金23,083,853元為據,成立和解。

其他投保中心所稱已決議對公司提起代表訴訟之案件,或許因為尚在第一審審理中,故未有判決結果可供搜尋,抑或因為公司與董監負責人間已有私下處理和解之情事,因而無法得知其實際發展情形。此對於欲了解研究台灣股東代表訴訟之發展狀況,十分困難。

觀察與相關議題

根據以上的公開資料搜尋結果,目前台灣的股東代表訴訟案例似乎仍然不多,而2009年以來欲藉修改投保法加強之股東代表訴訟機制,亦尚未臻健全。

而在國外股東代表訴訟案例中,最常見被訴董監的抗辯事由之一的「商業判斷原則」(Business Judgment Rule),雖在我國其他董監被告違背公司負責人注意義務之案例中,曾被提出作為抗辯理由,法院也有過採駁之不同見解,但此原則目前尚未見在前述股東代表訴訟中,被提出來做為答辯。預期該「商業判斷原則」之適用有可能因為股東代表訴訟的發展,而在台灣更廣泛地被討論及挑戰。

再者,股東代表訴訟之依據既為公司法第23條規定,亦即係在公司之董監負責人違背忠實及善良管理人之注意義務,致公司受有損害者,而應對公司負擔損害賠償責任,公司自應不得就該賠償責任內容補償該違背職務之董監負責人,否則即為違法法令或善良風俗。若公司有為其董監負責人購買董監事責任保險者,董監事違背法令之行為,通常亦均屬於除外不保事項,而不在承保範圍內,而須自負其責。因此,董監負責人實需謹守誠信,克盡忠實及善良管理人義務,方為正辦。

App平台業者如何降低侵害智慧財產權風險:以Google Play為例

隨著智慧型手機與平板電腦的普及,在目前的行動通訊領域中,App(Mobile application)應用程式儼然已成為最流行的詞彙,不論是電信業者、手機製造商或者是作業系統商,都紛紛開始提供平台讓使用者可以透過手機下載使用各項應用服務程式。然而在這股App市場淘金熱中,亦伴隨相關的智慧財產權議題,以下即探討App平台業者可透過何種制度設計,降低侵害智慧財產權之風險。

一、減低風險之機制:

(一)              開發者合約

開發者合約(developer agreement)是App平台業者必備的基礎合約之一。除了規模較大的應用程式開發商外,在許多個人開發者相繼投入App市場後,平台業者需面對的是數以萬計的開發者。擬定一份完善的開發者合約,對於平台業者而言,不僅可以明確規範與程式開發者間的權利義務關係,更可降低侵害第三人智慧財產權的風險。

由於開發者合約一般係由App平台業者自行擬定,平台業者具有高度的議約權。目前全球兩大App平台Apple App Store以及Google Play,即各自有其制式的開發者合約。這類合約除了規範開發者如何制定其App應用程式價格(付費或免費)、如何從平台業者手中收到發佈程式而取得的費用外,在智慧財產權方面,App平台業者需重視的,即為「授權及擔保條款」。以台灣來說,因著作權法第三十七條第一項規定:「著作財產權人得授權他人利用著作,其授權利用之地域、時間、內容、利用方法或其他事項,依當事人之約定;其約定不明之部分,推定為未授權。」所以,App平台業者最好將與應用程式開發者彼此約定之授權事項清楚載明在合約中,尤鑑於網路平台早已不受限於國家或地區性的疆界,對於平台業者而言,應由開發者端取得「全球性、非專屬、免權利金的授權」,使平台業者可以基於與App平台經營行銷相關的管理及展示目的,複製、執行、顯示與使用開發者所開發之App應用程式。

常見的擔保條款,即係要求開發者聲明並保證其對所開發並提交發佈的App內容的全部智慧財產權,包括專利、商標、營業秘密、著作權或其他專屬權利均有完整合法的權利。如果開發者於App應用程式中使用了第三方內容,應聲明並擔保其有權在平台中發佈第三方內容。簡而言之,即要求開發者承諾,除非開發者確實為App應用程式內容中之智慧財產權或其他專屬權利之擁有者或已取得權利擁有者合法授權,否則不會將相關內容提交並發佈至平台上。

(二)             服務條款

另一常見的合約是App平台業者與使用者間簽訂的服務條款(terms of service)。這類合約主要提供關於該平台內容的相關資訊、說明平台業者對使用者的行為會有哪些限制,以及使用者使用服務時被允許及不被允許進行的行為。通常於條款開頭即開宗明義規定,一旦使用者使用平台業者提供的產品、軟體、服務或網站等,即表示其同意遵守業者所制定出的服務條款。與上述的開發者合約類似,平台業者可自行擬定與使用者間簽訂的服務條款,因此可明確規範使用者的守法義務及承諾。以台灣的網路平台業者為例,常見的概括性條款如承諾「絕不為任何非法目的或以任何非法方式使用本服務,並承諾遵守中華民國相關法規及一切使用網際網路之國際慣例」,惟此處所稱使用網際網路之國際慣例為何,是否應於其他條款明確定義,尚有討論空間。基於網路的無國界性,同時會規範若係中華民國以外之使用者,同意遵守所屬國家或地域之法令,並保證不得利用本服務從事侵害他人權益或違法之行為。

App平台業者的角色,主要係提供一雙向平台,一端由App開發商研發並提交、發佈應用程式至平台,另一端則提供使用者/消費者可下載應用程式的管道。因此,平台業者除了應在開發者合約中加入保障智慧財產權之條款外,更應該在服務條款中,向使用者/消費者清楚表明App平台上所提供之應用程式,其智慧財產權不會因為使用者購買或下載特定應用程式後,即移轉至使用者身上,使用者應同意除非經權利人另行許可,自己不會,也不得允許第三方進行複製、販售、授權、散佈、傳輸、修改、翻譯、產生衍生著作等行為。

(三)             謹慎監控

除了以上述的合約訂定方式,明確規範智慧財產權相關的歸屬及保障制度外,App平台業者,亦可以謹慎的監控方式(careful screening),負責對APP內容及安全性提供有效的監管。這類監管,係由平台業者投入資金和人力,來對開發者提交的應用程式進行審核。亦即,可藉由在開發者合約中明定,開發者同意其完成App應用程式後,需先經過平台業者的事前審核,確認內容的合法性,例如是否包含暴力或色情等不當內容。

目前兩大App平台App Store及Google Play對於這類審查制度的態度不盡相同。所有在App Store中出售的App應用程式,在成功發佈之前都必須通過蘋果公司的審查,蘋果公司會提供開發者一份《iTunes Connect開發者指南》,裡面包含的內容有App Store上的程式與帳號管理,及新增應用程式至App Store的程序等,開發者填寫好並同時上傳程式後,即完成程式審核所需的準備工作,之後則需自行上iTunes Connect查詢軟體審查的結果。

相較於App Store,Google Play的審查政策則寬鬆許多,他們不會事前審核開發者的身分及軟體的內容,一般應用程式或開發者在未收到投訴/檢舉之前不需要經過任何審查,開發者當天上傳程式,在數小時之內就可將應用程式上架提供下載。在此政策下,Google Play平台相對較容易存在惡意程式,而針對外界對於其應用程式安全性的質疑,Google Play在2012年2月正式推出了一個稱為「Bouncer」的安全服務:當有新的應用程式上傳時,Bouncer將立即根據已知的惡意軟體、間諜程式和木馬病毒啟動分析,此服務同時會自動掃描已存在平台的現有應用程式及程式開發者的帳戶。不同於App Store對於應用程式內容及安全性嚴格的事前審查制度,Google Play是在應用程式發佈後,採取技術方式進行對程式安全性的取締行為,另外配套以下段說明的建立侵權申訴管道方式來保障智慧財產權人的權利。

(四)             建立申訴侵權管道/提供可直接聯絡開發人員的選項

針對智慧財產權的保障,建議App平台業者提供可直接聯絡開發人員的選項,例如在App應用程式的介紹頁面,即可設置「傳送電子郵件給開發人員」的選項,讓權利人在發現有侵權情形時,可優先選擇直接與開發業者聯繫,有時無須平台業者的介入,權利人與開發者即可就侵權問題協商解決爭議。除上述方式外,App平台業者同時應制定明確的檢舉及申訴機制,當權利人發現平台上出現侵害其智慧財產權之內容時,即可透過申訴方式,通知平台業者,要求業者立即將侵權的資料移除。對權利人而言,此種檢舉問題內容或侵犯著作權/商標權情形,往往是最直接而有效率的方式。Google在保障智慧財產權方面,即提供這類申訴機制,以下即以Google Play為例做相關簡介。

二、Google Play為例

(一)             Google Play開發人員計畫政策/ Google Play開發人員發佈協議 (Google Play Developer Program Policies/ Developer Distribution Agreement)

相對於Apple的App Store,Google採取相對透明的方式,在Google Play網站上清楚列出其所採取的Google Play 開發人員計畫政策,以及開發人員想要在Google Play平台上發佈應用程式需同意簽署之協議。在開發人員計畫政策中,Google Play條列出其對於應用程式內容所採取的政策:即所有應用程式,均須依據「內容分級規範」進行分級,明定禁止含有色情、暴力或仇恨言論的內容,並要求開發人員不得侵犯他人的智慧財產權 (包括專利、商標、商業機密、著作權及其他專屬權利),或鼓勵或誘引侵犯智慧財產權。

針對著作權的部份,Google Play更表明其政策是對於所有疑似侵犯著作權的明確通知做出回應,並在其網站提供符合美國《數位千禧年著作權法》的通知表單,當權利人認為Google Play中的某項活動或內容侵害其著作權時,可填寫表單申訴,當Google的法務單位收到表單後,將進行內部審閱,若其認定該項活動或內容確實侵害他人的著作權,Google採行的回應方式包括移除疑似侵權活動的內容,或停用相關內容(不僅限於提出申訴人所在之國家/地區的網頁,而是會及於Google全球的網站),以及/或終止訂閱者帳戶。

在Google Play開發人員發佈協議中,Google則與開發人員約定,若開發人員通知Google,或是Google自行發現並研判應用程式內容的任何部分或開發人員的「品牌特徵」(雙方不時各自擁有或取得授權的商標名稱、註冊商標、服務標章、標誌、網域名稱及其他獨特品牌特徵)侵犯任何第三方的智慧財產權或任何其他權利;違反任何適用法律,或是受到法院強制令限制;內含色情或猥褻內容,或是違反Google的代管政策或其他服務條款,Google可酌情將應用程式從平台中移除或重新分類。

(二)             Google Play商務與計劃政策/Google Play服務條款

此商務與計畫政策實質上即為本文前揭的平台業者與使用者間簽訂的服務條款(terms of service)之一種,Google同時另以細項的服務條款做具體規範,亦即一旦使用者使用了Google Play提供之服務,就表示其同意遵循此政策的規範。其中包括了要求使用者不得進行侵害他人智慧財產權之行為,若Google接獲侵權的明確通知,會做出回應,若判定使用者確實違反相關政策,將可能導致使用者無法再存取Google Play,或是Google帳號遭到刪除。

(三)             商標權人如何主張第三人侵權?–Google商標投訴表單

根據應用程式數據分析網站App Annie今年四月發佈的最新調查結果,Google Play在2013年第一季,下載次數及營收的成長率均超越蘋果的App Store。雖然目前蘋果App Store收入仍比Google Play高出2.6倍,但Google Play在第一季的下載總量已達到了App Store的90%。隨著下載量及營收的增加,Google Play平台上也出現一些惡意的程式開發商發佈有侵害他人商標權疑慮的低質量應用程式的情形。為了處理這類法律爭議,Google建立了一套完整申訴系統,讓商標權人得以提出申訴主張其權利:

首先,商標權人須先進入Google Play關於商標侵權行為的說明網頁。接著,商標權人須確認是否已準備好提出申訴所需要的相關資訊,包括商標所有人的姓名、聯絡人資訊、遭到侵權的商標資料,並指明有侵權問題的應用程式。同時附上兩項聲明:「本人確信,上述商標在 Google Play 應用程式中的使用行為,未獲商標所有人或其代理人授權,亦不符合法律所允許的使用方式。」「本人保證此通知書中的資訊正確無誤,且本人即是商標所有人或具備商標所有人之授權。」最後即可以一般郵件或是線上表單向Google Play提出申訴。

目前除了Google Play,其他全球主要App平台業者,如App Store、BlackBerry App World、Windows Phone Store等平台,也都有類似的申訴侵權管道。提出申訴時要注意的,除了須附上該平台所要求的相關資料外,若網站上有業者建議的聯絡方式:如直接填寫線上表單或是傳送email,此時比起將侵權投訴資料以一般郵件寄給「公司負責人」或「公司法務長」,依循網站上的指示向專職部門提出申請,往往是最有效率的方式。

而在提供遭到侵權的商標清單時,即使是在台灣提出申訴,若該商標在其他國家也有註冊,最好一併附上全球註冊清單,否則平台業者僅會針對申訴人提交的特定商標註冊資料做相關的侵權調查。

結論

隨著App市場的急速成長,App平台業者、應用程式開發者以及使用者三方所衍生的法律關係亦趨複雜,以平台業者的角度而言,在提供使用者/消費者琳瑯滿目的應用服務程式時,應同時思考如何以合約訂定、事前審核或事後監管的方式,來確保平台上應用程式的品質及合法性,以保障相關智慧財產權人之權益,並避免在創造亮麗營收之前,使企業陷入負面的法律爭端中。

 

月份