2019年亞太互聯網研究聯盟會議

2019年亞太互聯網研究聯盟會議(The APIRA International Conference 2019)將於今年12月來臺舉辦年度會議,藉由APIRA會員間以社會、經濟和文化三個面向,彼此分享各國互聯網調查統計數據,探討數化時代帶來的機會與挑戰。

  • 會議日期: Dec. 19 – 20, 2019 (Thursday and Friday)
  • 會議地點: Hilton Taipei Sinban
  • 活動網站:https://event.twnic.net.tw/apira2019

 

網路中介者處理著作權侵權申訴規範模式之比較 - 以歐盟、澳洲、日本為例

資料來源:國際通商法律事務所余若凡、高稹
文章編輯:NII產業發展協進會

本篇文章由TWNIC委託,主要整理包括歐盟、澳洲,以及日本有關網路著作權侵權處理之規範內涵,以及這些國家或經濟體的網路中介者於接獲著作權侵權申訴時所採取的程序或相關義務。

歐盟作法:多由法院直接發禁制令

歐盟針對著作權侵權之處理依據,主要包括《電子商務指令》(Electronic Commerce Directive, 2000/31/EC)第14條、前言(Recital)第45條,以及《資訊社會中著作權與相關權利之調和指令》(Directive 2001/29/EC of 22 May 2001 on the harmonisation of certain aspects of copyright and related rights in the information society)第8(3)條。

其中,《電子商務指令》第14條雖規定網路中介者(原文為online hosts)若無實際知悉非法行為或資訊,則毋須負責;但若已知悉,須盡速移除非法資訊,但並沒有說明如何進行通知當事人與移除資訊的步驟。不過,該法前言第45條提到,對網路中介者之責任限制,並不影響各會員國之禁制令,換言之,會員國得以法院或行政命令方式來應付侵權案件。

《資訊社會中著作權與相關權利之調和指令》第8(3)條則規定,會員國應確保權利人得對於提供第三人用來侵害著作權之服務中介者,聲請禁制令,使這些服務中介者對網路侵權行為採取行動。

歐盟在2019年推出《數位單一市場著作權指令》(Directive on Copyright in the Digital Single Market),第17條規定:若無著作權所有人之授權,網路中介者(原文為online content-sharing service provider)須對於提供予大眾受著作權保護之著作負責,但在此3種情形下免責:(a)已盡力試圖取得授權;(b)盡業界最大努力使著作權人有提供其相關資訊之著作無法被找到;(c)於收到著作權人通知後,盡速移除相關資訊。

在歐盟,大部分的國家是由法院來頒發禁制令,以2018年統計為例發出最多禁制令封鎖網站(頁)的國家是英國。以英國為例,對於著作權侵權案件成立與否的判斷是根據1988年的《版權、外觀設計和專利法》(Copyright, Designs, and Patent Act),依循過失主義原則,讓法院發出禁制令。然因此作法耗費的時間與金錢成本皆昂貴,英國於去年提出研擬透過行政命令方式,由著作權人提出申請後進行網站封鎖,不再透過法院。

另也有少數歐盟國家是由政府組織來發出禁制令,例如義大利與葡萄牙。以葡萄牙為例,對於著作權侵權案件成立與否的判斷是根據《Code of Copyright and Related Rights, Articles 210-G (1), 210-H (2), General Inspectorate of Cultural Activities (IGAC) Competence Legislation》,透過由政府、網路服務提供業者(Internet Service Providers, ISPs)及著作權人簽訂備忘錄方式進行。在此模式下,當著作權人提出申訴,「地方反盜版組織」(MAPINET)會蒐集相關證據,並將所蒐集到的證據提供給政府文化部,爾後由另一政府組織IGAC通知ISP去封鎖相關網站。

總言之,歐盟大部分國家針對著作權侵權問題,大部分透過法院發禁制令方式因應,少數則由政府組織發命令執行;而民眾直接對網路中介機構提出申訴時,則依業者內部政策處理。

澳洲作法:法院禁制令+業者依內部機制處理

澳洲針對著作權侵權處理的法律依據,可溯源於1968年的《著作權法》(Copyright Act)。該法第116AA-116AJ條即為ISP的免責條款,規定若電信服務業者(Carrier Service Provider)踐行一定程序,例如設立侵權處理內部政策、遵行通知取下政策等,可不負賠償責任。同法第116AG條,則賦予法院對電信服務業者下禁制令的權力,在有過失情況下,要求業者採取合理措施禁止連結至位於澳洲之外之侵權網路或終止特定之帳戶。 由於此機制耗時甚長,且無任何判決案例,2015年通過的《著作權修正(線上侵權)法案》(Copyright Amendment [Online Infringement]Bill2015)改變了作法;修正法案的第115A條,賦予法院對電信服務業者下禁制令的權力,在即使無過失情況下,仍可針對主要目的(primary purpose)為侵權的網站,直接要求電信服務業者採取合理措施,禁止連結至澳洲以外之侵權網路和終止特定之帳戶等。修正案通過後,始有權利人提出訴訟案,且有7個案件已在新規定下取得法院禁制令。

2018年再度修法,擴大了第115A條規定賦予法院下禁制令之權限,也降低申請的要件。修正部分包括不再僅限於網站以侵權為主要目的之情形,若該網站主要效果(primary effect)為侵權時,法院即可下禁制令;而下禁制令的對象也擴及網路搜尋引擎。

針對著作權侵權的處理,澳洲在2015年還有產業自律規範之倡議,該自律規範稱之為《通訊聯盟業界公約—著作權通知機制》(Communications Alliance Industry Code -Copyright Notice Scheme),由著作權人、電信業、ISP、網路業者,以及消費者團體共同參與制定。主要規範電信服務業者在接受著作權侵權申訴時應進行的通知程序,此通知包括「Adjudication」、「Warning」及「Final」等三級。當侵權網站於12個月內接獲3次侵權通知均未回覆,則電信服務業者可將該網站列入「Final Notice List」;權利人可要求業者提供該份資料,以對該網站進行法律相關程序。接獲通知之網站經營者亦得向該機制中之「Adjudication Panel」提起異議。

此自律規範中的專家小組(Panel)機制,主要是在網站經營者收到通知提出回覆後,由小組成員開始進行調查,以確認是否為侵權。然因權利人與電信業者對於誰應負擔相關費用並無共識,該規範似尚未通過。

總言之,澳洲針對著作權侵權問題,主要透過法院發禁制令,或由業者依內部處理機制來處理。

日本作法:透過他律框架形成高度自律機制

日本於2018年5月通過《著作權法》修正草案,修法主要聚焦於放寬「著作權合理使用」的範圍,其中並沒有規範網路中介者對著作權侵害申訴事件,所應踐行的程序及義務。

與網路中介者應採取措施有關的規範,主要是2001年通過的《特定電信服務提供者損害賠償責任限制及發信者資訊提供相關法律》。該法目的是在限制因特定電信服務提供商之資訊流而產生權利侵害時,電信服務提供者(包括中介者)所應負之損害賠償責任。

依該法第3條第2項規定,特定電信服務提供者接獲權利侵害申訴時,在以下2種情況應當要採取如網站封鎖的防止措施,且縱然該防止措施造成被申訴人的權利受損,亦不負損害賠償責任:

  1. 特定資訊流被認定為將不當侵害他人權利時;
  2. 特定電信服務者在告知被申訴者將實施如封鎖、調整解析等防止措施起7天後,被申訴者仍未做出反對表示。

日本在政府法規並未明定業者應採取何種防止措施,讓網路業者具自訂空間,得以形塑出適合產業,又受申訴人及被申訴人信賴的處理措施。在此前提下,電信產業界成立了「特定電信服務提供者責任限制法指引檢討協議會」(Provider Liability Limitation Act Guidelines Review Council),做為一種輔助型的侵權處理機制,該協議會提出指導文件,協助業者在適用《特定電信服務提供者損害賠償責任限制及發信者資訊提供相關法律》,能迅速、適切處理權利侵害申訴事件。

該協議會成員包括網路中介者、著作權關係團體、商標法關係團體,並聘請法律學者、實務經驗者與海外著作權團體定期提供諮詢建議。該協議會已提出的相關方針,如「著作權關係指引」,其解釋權利侵害申訴之基本要件與其定義、權利侵害申訴案之各種態樣,供業者處理申訴案件時參考;「檢查表」(checklist),其列明權利侵害申訴之形式要件與實質要件,幫助業者於接獲申訴時,可以快速判斷是否應受理該申訴案、或者通知申訴人補足應備文件或理由。

另外一個值得注意的發展是,有鑑於近年盜版漫畫及動畫在網路氾濫衝擊產業經濟,日本內閣於2018年4月13日通過「因應網路盜版之緊急對策」,呼籲ISP主動採取封鎖網頁措施,並預告將提出相關法案。批評者則認為此作法將阻礙資訊流通,並侵害人民受憲法保障之通訊自由。至目前為止,尚未有相關法案草案提送眾議院審議。

總言之,日本針對著作權侵權問題,主要透過他律的框架規範,形成一個高度自律機制作為因應;即使在產業界尚未成立獨立申訴機制,仍有輔助性指引機構去協助業者處理權利申訴事件。近期日本政府對於打擊盜版有堅定決心,是否未來會通過相關法令,課予ISP更多採取防止措施之義務,有待進一步觀察。

網路管轄權議題將於本次Open Policy Meeting(OPM)持續討論;本次OPM會議議題將包含網際安全、網路管轄權、網路資源管理及國內業者IPv6經驗分享等主題,並邀請國際重量級貴賓進行專題演講,介紹網際網路重要議題之發展,系列活動資源寶貴,名額有限,場場精彩可期,意者請儘速報名,以免向隅。欲報名及瞭解詳細議程內容,請上活動網址:https://opm.twnic.net.tw/33rd/

國家身分制度的迷思:從世界銀行ID4D計畫談起

「身分制度」在近幾年、甚至近十幾年來持續成為全球的討論焦點,有越來越多的國家正在思考、著手打造、甚至已完成了國家級身分系統的建置。這些身分系統在過去一段時間,也被許多倡議者認為可以解決很多問題,例如國家安全、存取基本服務、促進行政服務等。

整體而言,這樣的目標被濃縮在聯合國永續發展目標(Sustainable Development Goal)的第16.9點中:「在西元 2030 年以前,為所有的人提供合法的身分,包括出生登記。」

根據世界銀行的資料顯示,世界上絕大多數欠缺合法身分的人,多是中低收入的人口,且多位於非洲地區。欠缺一個合法身分,使得這些人沒有辦法使用政府提供的服務,因此,聯合國及世界銀行近年來聯手開始推動ID4D(Identification for Development)的計畫

ID4D的計畫目標十分明確:它希望持續增加有官方身分文件的人口,並使所有人都能存取基本服務並運作他們的權利。世界銀行在2019年10月出版了一本《身分系統從業員的指引》(下稱《指引》),指引中從「包容性」(Inclusion)、「設計」(Design)、「治理」(Governance)等三個面向著手,列出了一共十項原則,希望能建立一個可被信賴的身分制度。

提供一個合法的身分文件是一個重要、值得讚許的目標。因為有些族群,例如難民、無國籍者在當地社會可能並沒有合法的身分,政府若能儘速提供一個合法的身分給他們,能幫助這些族群更好的融入其所處的社會。

換言之,「包容性」是世界銀行在推動ID4D這個身分制度推廣計畫的原初動機:希望政府能提供一個合法身分,讓更多人可以被納入社會運作的機制中。但問題是,身分制度(例如一人一卡的制度)往往不只提供包容性。任何類型的身分制度在建置時,必然得伴隨個人資料的蒐集,做為日後核對身分之用。因而ID4D在其指引中,也大量討論了個資保護與隱私的風險評估。它「至少」明確列出了以下八點的隱私風險:

  • 資訊外洩:資料庫本身或資料傳輸過程受到物理或網路攻擊。
  • 暴露個人敏感訊息:因為未授權的目的而揭露了個人的敏感訊息。
  • 未授權的揭露:在政府單位、外國政府、私人公司、或其他第三方間進行不當的資料傳輸。
  • 功能蠕變:將因特定目的而蒐集來的個人資料在未經同意下用於其他目的。
  • 監控:公、私部門追蹤人們日常生活的活動
  • 歧視或迫害:用於身分驗證的資料被用來剖析個人,並因此基於該個人的身分而歧視或壓迫該個人。
  • 不公正的對待:在資料蒐集不完整或不精確的狀況下,使個人擁有錯誤身分或遭受不公正對待。
  • 身分小偷:犯罪者偷取他人的身分資訊,並以此偽裝成他人,存取金融帳戶等

值得一提的是,儘管上述的隱私風險是所有身分制度都會有的風險,但因如今有不少國家也伴隨採用數位身分(digital ID)制度,而鑑於數位資料比一般資料更容易被蒐集、複製、傳輸、分析等特性,ID4D的指引因此同時也指出:「採用數位身分的身分系統,將會擴大上述的威脅,並增加其結果的影響範圍。」

事實上,世界銀行在ID4D指引中所列出有關身分系統的資料蒐集、處理、利用可能有的問題,一共有超過30項。其中包含:欠缺同意、強迫同意、違法蒐集、非法存取/使用、販賣資料、資料庫遭到攻擊、釣魚、裝置遺失、強制要求配合目的不明確的資料分享、不允許人民存取資料等。完整條列如下:

資料處理的活動 潛在威脅或弱點
蒐集資料 ‧欠缺同意
‧強迫同意 / 沒有選擇
‧非法 / 不公平 / 過度的蒐集
‧不安全的蒐集
‧誤導或目的不明確的蒐集
‧對資料行未授權或未告知的蒐集
‧利用交易的後設資料追蹤或監控個人
儲存、傳輸及使用資料 ‧非法存取 / 使用
‧販賣資料
‧資料使用疏失
‧隱私侵犯
‧資料處理上有錯誤
‧不精確或過時的資料
‧資料庫被駭
‧釣魚
‧監視交易情形
資料保存(長期) ‧資料遺失
‧無限制的保存
‧不安全的資料
‧病毒或惡意軟體攻擊
‧資料被駭
‧裝置遺失
‧沒有保護的裝置
‧遺失封存資料
‧身分小偷
‧使用過時科技
資料處理與分享 ‧不當處置
‧未經授權揭露給第三方
‧強迫參與不特定目的的資料分享
‧社交工程
‧不實的描述
‧機密資料外洩
‧非法存取
‧拒絕存取
‧不安全的傳輸

表:一個「身分」的生命循環中可能遭遇的隱私與個資保護威脅

ID4D在指引中雖條列了諸多身分系統可能有的隱私風險,但一方面,它並未給予各點次更深入的說明,多半只是點到為止;此外,世界銀行也未在指引中,提出何種身分制度是理想中的身分制度;而個別國家因應國情不同,能否妥善處理上述風險,更是一大問號。而最大的問題,恐怕是ID4D從未就打造各種身分制度的「必要性」提出質疑與說明。

因此現實的情形時,早在ID4D計畫啟動前,就已有一些國家(例如美國、英國、印度等),嘗試打造一個通行全國的強制身分制度(包含數位身分),而在ID4D計畫啟動後,有了世界銀行跟聯合國單位的背書,預期則將會有更多國家也投入資源,打造強制的身分制度。而這當然也引發了專注於隱私保護的人權組織的注意。

位於英國的隱私國際(Privacy International)無疑是在此議題上態度最明顯的國際知名人權組織。隱私國際在其網站上就明指,「為何需要身分?」是首要面對的問題。例如隱私國際就針對身分制度存在的必要性,列出了以下幾個有待解決的大問題(可點這裡這裡):

  • 引入身分制度的動機,或是想解決的問題?
  • 證明前述問題確實存在的證據?
  • 證明該身分制度能解決前述問題的證據?
  • 身分制度的倡議者對該制度帶來的風險的評估
  • 是否有身分制度外的其他替代方案?
  • 是否有立法流程的制衡?
  • 當身分制度不如人意時,要如何施加政治壓力給提倡者?

世界銀行在其ID4D的指引中,反覆強調了Privacy by Design的念頭。但從隱私國際的角度來看,Privacy by Design只是身分制度的細節,之所以從必要性討論起,是因為「身分系統對公民權利的意涵,遠超過Privacy by Design可能包含的。」因為身分制度最大的問題在於,一旦個人的身分不被承認,或與身分認證者的機制或資料不合,可能將導致公民的基本權無法行使。例如我們完全可以想像,倘若有一天,台灣公民必須讀卡才能投票,當卡片無法通過讀卡機驗證時,個人是否就因此失去了投票權?

除了必要性外,隱私國際在針對身分制度的隱私風險討論中,也有一些觀點是特別值得注意的。例如針對「功能蠕變」(Function Creep),隱私國際就提到,功能蠕變是身分制度最常見的危害。即使一個ID一開始只用在少數的地方,但其使用範圍總是會隨時間越來越廣,而隨之而來的,這個ID也會與越來越多公、私部門的資料串聯在一起,從而讓整個身分制度的使用脫離了原先的設計目的。

此外,有關身分認證紀錄的留存,隱私國際也指出這可能會揭露了個人的活動資訊,因此即使是為了後續稽核用,也應遵守資料蒐集最小原則、目的特定原則,並應有保存期限的設置等。

事實上,除了隱私國際外,另一國際人權組織AccessNow也在近期發表了一篇政策公開信《WhyID:在數位時代中保護我們的身分》,同樣也是由身分制度的必要性著手進行討論,台灣也有兩個公民組織一起加入了連署。而除了必要性或風險的評估外,更值得一提的是,AccessNow在該公開信中也表示,應停止使用生物特徵資料(包含臉部辨識)做為身分認證的機制。這樣的立場宣示,應該也是國際上首見。

小結

簡言之,從世界銀行ID4D的計畫來看,各國無論是在網路空間或實體社會推動身分制度的理由皆有差異。回到台灣,台灣實施強制一人一號的身分制度已數十年,且政府近年來仍執意推動將紙本身分證換成晶片身分證(可搭配數位身分),這樣的制度使用與變革,從ID4D的指引來看,相關的制度必須有良好的隱私保護設計與法制規範,而從國際人權團體的角度看來,換發數位身分甚至現有的身分制度,是否皆有系統設計的必要性,這都是值得我們在未來審慎思考的問題。

 

.tw數位公益計畫徵案

一、說明
本中心秉於回饋社會之宗旨,首度於2019年8月29日推出.tw網域名稱保留字拍賣,並將拍賣收益所得作為公益用途。本次公益計畫徵案將公開向我國網路社群徵求提案,規劃主題與縮短數位落差、普及資訊教育及數位人權等相關議題為此次徵案範圍。

二、目的
期能藉由本次公益計畫徵案,在數位時代中共同建置包容性的數位服務,縮短數位落差、普及資訊教育,幫助更多數位弱勢族群改善在數位時代下的數位參與權利。

閱讀全文 “.tw數位公益計畫徵案”

台灣網路資訊中心辦公室搬遷通知

office relocation

財團法人台灣網路資訊中心將於2019年10月初搬遷至新址。搬遷將於2019年10月9日至2019年10月13日期間進行,並於2019年10月14日在新址正常辦公,財團法人台灣網路資訊中心搬遷後聯絡資訊如下:

地址:台北市松山區八德路四段123號3樓
總機電話:+886-2-2528-9696
客服電話:+886-2-2528-7299
網路客服:https://www.twnic.tw/service.php

如有任何問題,請隨時惠知本中心,以便回覆。感謝您的體諒及支持。

財團法人台灣網路資訊中心

閱讀全文 “台灣網路資訊中心辦公室搬遷通知”

財團法人台灣網路資訊中心 第7屆董事(國內外相關學術領域之學者、專家代表)補選推薦公告

財團法人台灣網路資訊中心
第7屆董事(國內外相關學術領域之學者、專家代表)補選推薦公告
________________________________________
一、依據:
(一)財團法人台灣網路資訊中心(以下簡稱本中心)108年1月29日第7屆第6次董事會議決議辦理。
(二)本中心捐助章程第五、八條規定,董事、監察人之改選由本中心成立遴選委員會提出建議名單。
(三)本年1月29日董事會會議決議,通過第7屆董事、監察人補選遴選委員會成員,成立「第7屆董事、監察人補選遴選委
員會」。
(四)本年9月19日「第7屆董事、監察人補選遴選委員會」第3次會議決議,國內外相關學術領域之專家學者代表席1席,為
秉持公開公平公正之精神,廣納各界之推舉,公開徵求推薦國內外相關學術領域之專家學者代表,經推選提出建議名
單後提報董事會,再送請國家通訊傳播委員會依本中心捐助章程第五條之規定辦理。

二、董事任期:董事為無給職,補選任期至109年11月28日。

三、國內外相關學術領域之學者、專家代表之董事,應由本公告第四條所述之推薦單位就具有下列資格之一者推薦之:
(一)在大專院校或研究機構,講授或研究有關網際網路技術且具有成就之助理教授或助理研究員級以上者。
(二)在大專院校或研究機構,講授或研究與網際網路事項有關之經濟、財務、法律學科且具有成就之助理教授或助理研究
員級以上者。
(三)在網際網路事項有關領域具有成就之執業律師、會計師。
(四)從事有關網際網路技術,且熟悉網際網路運作規則並具有成就之高級人員。

四、推薦單位資格:推薦者應為大專院校或從事網路與電信相關業務之事業或機構。

五、推薦方式及日期:
(一)推薦時請檢附「第7屆董事補選候選人推薦表」、「第7屆董事補選候選人接受推薦同意書」及
第7屆董事補選候選人基本資料表」。一個單位至多得推薦一名。(相關表格請直接點選後下載)
(二)相關資料須於完成必要之簽名用印後,即日起至108年 10 月4日17:00時止送達台北市羅斯福路二段九號四樓之二,
財團法人台灣網路資訊中心 徐小姐收,以上相關資料恕不接受電子郵件方式傳遞。
聯絡電話:(02) 2341-1313#605徐小姐。

六、被推薦人及推薦單位之資格由「第7屆董事、監察人補選遴選委員會」審查確認。

本中心「捐助章程」、「董事、監察人遴選委員會設置及作業要點」及
董事(國內外相關學術領域之學者、專家代表)推選作業細則」,詳見 http://www.twnic.tw/  網站。

開放接受「.台灣」英文網域名稱優先註冊申請公告

主旨:開放接受「.台灣」英文網域名稱優先註冊申請公告

說明:

一、 依據中華民國108年5月24日第109次網域名稱委員會決議辦理。

二、 優先註冊期間:民國109年1月7日14:00 (台北時間)起至民國109年2月10日23:59 (台北時間)止。

閱讀全文 “開放接受「.台灣」英文網域名稱優先註冊申請公告”

「.台灣」網域名稱註冊服務調整公告事項

中華民國108年5月24日

第109次網域名稱委員會通過

第一條 申請原則

一、 凡依法登記之國內外公司、商號、法人或自然人均可申請。

二、 申請註冊採「先申請、先發給」之原則,如有相同之申請時,以受理註冊機構受理申請之時間在先者,優先取得註冊。

閱讀全文 “「.台灣」網域名稱註冊服務調整公告事項”

2019年度公益計畫徵選公告

 

財團法人台灣網路資訊中心
2019年度公益計畫徵選公告

(請注意: 本中心將於2019年10月14日遷址至新辦公室,提案送件請掛號郵寄至105台北市松山區八德路四段123號3樓,2019年10月14日後相關詢問,請改撥02-25289696 分機200 )

一、 目的

本中心秉於回饋社會之宗旨,擬公開徵選公益計畫提案。自2001年起TWNIC與受理註冊機構共同舉辦『域名飄、愛心揚、根留台灣』活動,以『一筆註冊、無限希望』概念,提撥固定比例之域名註冊費作為公益用途。

閱讀全文 “2019年度公益計畫徵選公告”

微軟證實 Windows 用戶正遭「地獄大公」惡意軟體大規模駭侵

軟資安團隊發布公告,證實目前有個稱為「地獄大公」(Great Duke of Hell)的惡意軟體,針對 Windows 用戶進行大規模攻擊。

微軟指出,這個稱為「地獄大公」的惡意軟體,是所謂的「無檔案惡意軟體」;用戶通常是點擊了釣魚信件中的惡意連結;接著這個連結會開啟一個捷徑,以命令行指令執行一個 JavaScript 程式碼。

一旦用戶感染後,電腦中的登入資訊、按鍵輸入記錄等資料都會被送到遠端伺服器。也由於受害電腦沒有下載任何檔案,因此這種攻擊方式可以逃過多種防毒軟體的檔案檢測機制。

資料來源:

  1. https://www.theregister.co.uk/2019/07/08/microsoft_astaroth_examination/
  2. https://www.reactionarytimes.com/what-is-the-great-duke-of-hell-malware/