一、歐盟數位服務法(Digital Services Act,簡稱DSA)已正式於2024年2月17日開始施行,特別針對歐盟電子商務指令(eCommerce Directive)規範的「中介服務提供者(intermediary services)」課以更高的審查義務,以保護消費者、遏止違法內容以維持透明、公平的網路資訊,摘錄其要旨以及對台灣企業的影響如後。
二、歐盟數位服務法規範要旨
(一) 適用對象:
1. 以歐盟市場為對象(包括居住地或者營業地位於歐盟者)的「中介服務提供者」,無論是否設立於歐盟境內都將受到規範。可再分為以下三種類型(DSA第3(g)條):
(1) 「連線服務 (mere conduit services)」:指透過通訊網路「傳輸(transmission)」資訊、或提供「接取(access)」服務等提供網路基礎建設的中介者,例如電信業者和網路交換點、無線接入點、虛擬專用網路、DNS服務和解析器、域名受理註冊機構或提供語音傳輸等通訊服務業者。
(2) 「快速存取服務(caching services)」:指專為提升將資訊轉傳至其他使用者之效率,經由通訊網路自動、中介及暫時儲存由使用者提供資訊之服務。
(3)「資訊儲存服務(hosting services)」:依使用者要求,提供非暫時性資訊儲存服務的業者, 包括網頁代管、雲端儲存供應商、虛擬主機和其他各種「線上平台」。在此項目下,又根據「盡職調查義務」的程度區分為以下兩類:
a. 「線上平台(online platforms)」:
據使用者的要求向公眾儲存、散布資訊者,例如社交媒體平台和線上市場。但規模微小或者由於客觀及技術原因必須利用該服務而提供次要或純粹輔助功能者不在此限。
b. 「超大型線上平台(very large online platforms)」:
連續四個月以上、每月至少平均為歐盟4,500萬活躍用戶(相當於歐盟人口的 10%)提供服務的線上平台。
2. 搜尋引擎服務業者
提供用戶在線上輸入任何形式的關鍵字以查詢任何與請求內容相關資訊的數位服務業者,在立法後期被納入為管制對象。同樣也區分為「一般搜尋引擎」與「超大型搜尋引擎」,後者與超大型線上平台同樣以每月業務覆蓋率至少達到歐盟4,500萬活躍用戶為適用門檻。
(二) 主要規範義務-透明、可存取和安全線上環境的「盡職調查義務(due diligence)」
1. 與歐盟電子商務指令的關聯:
(1) 與歐盟電子商務指令相同規範對象之部分,主要即「中介服務提供者」,將取代電子商務指令。具體言之,倘若「中介服務提供者」符合DSA規範義務,即可免除因其居間提供傳輸或儲存第三方提供的「違法內容」可能產生的法律責任。
(2) 「違法內容」的定義:
此一名詞為DSA規範核心,任何不符合歐盟法律或成員國法律的資訊或活動(DSA第3(h)條),包括產品銷售或服務提供均可適用。因此,如誹謗、侵害智慧財產權利、色情等均為本法涵蓋範圍。
2. DSA相較於電子商務指令最主要的新規範是對於「中介服務提供者」根據其角色、規模及影響力,訂定累進的管理規則,以確保更安全、易存取和透明的線上環境:
(1) 適用於所有數位中介服務提供者的基本義務:
- 程序性義務:例如為主管當局和用戶建立聯繫窗口、在歐盟以外設立的中介服務提供者應指定在歐盟的法律代表。
- 實質義務:包括確保營業資訊及使用者條款公平、透明和非歧視性,且明定可能對其服務施加的任何限制。
(2) 「資訊儲存服務(hosting services)提供者」須建立「通知及行動( notice and action)」機制:
- DSA第6(1)條規定:資訊儲存服務業者,在以下情形對被請求儲存的資訊無需負法律責任:
(a) 對涉嫌違法之內容或其活動並不知悉,且於他人請求損害賠償時,依顯示之事實,亦不能察覺該內容為明顯違法。或者
(b) 在獲得違法內容的「通知」後,迅速採取行動移除該資訊或者限制存者,此即「通知及行動」機制。
- 具體而言,「通知及行動」機制,要求資訊儲存服務提供者建立易於接近利用的「電子通知機制」,使任何人得以通知所提供服務之特定資訊為「違法內容」,並規範「通知機制的格式應載明事項」,包括:「(a) 指摘內容涉及違法的理由,(b) 指摘內容的確切電子位置,例如 URL網址以及其他必要、可辨識違法內容及特定資訊儲存服務的資訊,(c) 通知者的姓名及電郵件信箱,(d)具體指明所涉犯罪行為,(e)一份確認提交通知者善意相信該資訊和其中之指控精確、完整的聲明書。」、「依前述規定所為之『通知』,視為DSA第6(1)(b)條所規範免責事由之『通知』」(DSA第16(1)~(3)條)。
- 資訊儲存服務提供者的「行動機制」:
資訊儲存服務提供者在接獲具備充足論述理由的舉報原因後應發送確認通知,並秉持客觀及盡職原則儘速處理,例如,使用AI等自動偵測系統進行初步判讀,並針對內容的可見性、所利用的支付系統、服務的提供或使用者帳戶採取不同的措施(包括限制、移除或終止服務),且將處理結果告知通知者 (DSA第16(4)~(6)條)。
- 使用者的受告知權、線上平台內部投訴處理機制或法庭外爭議處理機構申訴機制:
資訊儲存服務提供者應向受舉報影響的使用者說明採取對應措施的具體明確理由,並建置平台內部投訴處理機制,規範使用者的「異議」流程,讓使用者可對業者提出的措施提出異議,及在適當的情形下對確認非屬違法的內容採取回復原狀等措施。且允許使用者在經歐盟成員國「數位服務協調員」(參見以下第(四)項論述)認證的庭外爭議處理機構前再對前述影響言論自由等權利的決定提出申訴(DSA第17、20~21條)。
- 發現涉嫌構成威脅生命或安全的嚴重刑事犯罪資訊時,須立即通知主管執法機關。
- 應主動採取措施預防濫用平台,特別是針對經常提供明顯違法內容或毫無根據內容的用戶內容(DSA第23條)。
(3) 「線上平台服務者/線上市場」負保護消費者及防止「違法內容」散播的進一步義務:
- 網路商家、應用程式商店、社群媒體平台等線上平台應盡最大努力評估其平台上交易者的可靠性。
- 線上平台必須從貿易商應遵守的歐盟消費者和產品安全法之角度「設計其平台介面」,主要為涉及廣告等相關資訊的揭露義務、相關自動化系統的管理措施。
- 如發現使用其平台交易的產品或服務違法,即有義務進行干預:在此情況下,必須單獨或透過公開聲明的方式告知消費者違法行為之存在並採取補救措施。
(4) 「超大型網路平台/搜尋引擎」受到特別監管:
- 須對其服務的設計、演算法系統、內容管理、功能和使用相關的「系統性風險」進行風險評估,並採取合理有效的風險緩和措施。
- 「系統性風險」包括:涉及「違法內容」、對基本權(人性尊嚴、隱私、個人資料、言論自由)、公民話語和選舉進程或公共安全、性別暴力、對未成年人的負面影響、公共衛生及身心健康的議題。此項規範主要是為解決較為複雜的問題,例如提供大規模虛偽資訊而對民主程序或公共衛生造成影響者。DSA也建立了危機應對機制,讓歐盟委員會有權採取行動以調查和應對超大型網路平台可能對歐盟公安或健康造成的嚴重威脅。
- 為監督前述義務遵守情況,超大型網路平台須接受外部獨立稽核:官方的「數位服務協調員」被授予存取相關資料的權限,以監控對 DSA 的遵守情況。此項要求引起部份論者擔心:將引發與保護平台智慧財產權和商業機密相關的議題。
- 內部須設立獨立的合規主管,使其負責監督對DSA的合規性,及有權接觸平台管理機構。
(四) DSA的執行機構
1. 職權獨立的數位服務協調員(Digital Service Coordinators,DSC)」
(1) DSC類似於GDPR 有自己的執行系統,其中「數位服務協調員」扮演重要角色。歐盟成員國必須指定DSC以代表國家當局監督中介服務提供者及其遵守DSC的情況。
(2) DSC處理針對中介服務提供者違反 DSA 的投訴,並擁有調查和執法權(可採取補救措施和對違法者施以製裁)。
(3) DSC之間透過特定機制(例如互助或跨境合作)確保運作之協調和一致性。並且將成立「數位服務委員會」,作為 DSC的獨立諮詢小組。
2. 特別針對超大型線上平台和超大型線上搜尋引擎建立的執法系統:
(1) 賦予歐盟委員會廣泛的權力以對持續侵權的平台進行干預。包括:在啟動訴訟程序之前主動行使調查權、可定期對違規者處以巨額罰款(最高可達全球營業額的 6%),並採用強化的監督系統來監控大型在線平台或搜尋引擎是否糾正其侵權行為。
(2) 超大型線上平台和搜尋引擎對應擁有對前述制裁表達意見的權利,並且在委員會採取不合規措施的情況下被賦予存取文件的權利。委員會的決定是否合法將由歐盟法院管轄及審理。
三、DSA對台灣的影響
(一) 前述法案中,除了對超大型線上平台及搜尋引擎的特別監管及執法規定外,較值得注意者為DSA對「資訊儲存服務提供者」規範的「通知及行動」機制,並不僅以超大型線上平台或搜尋引擎業者為規範對象,一般企業(除規模微小者外),包括雲端及網路主機代管服務供應業者及社群網路平台業者亦有適用,以確保數位服務的安全及可靠性。涉及向歐盟居民或者企業提供相關資訊儲存服務的業者宜留意配合辦理。根據媒體報導,以Facebook為例,目前大部分通知「違法」的內容主要涉及智慧財產權利、部分則牽涉誹謗或者個人隱私爭議。
(二) 另一方面,台灣通訊傳播委員會(NCC)於2022年間曾提出「數位中介服務法」草案。其中,對於「數位中介服務」的態樣與區分(草案第2條)、對該等業者之責任及免責事由(草案第9至12條)、資訊儲存服務提供應建立「通知及回應機制」、對使用者負有「告知義務」,線上平台服務提供者應建立內部異議機制、揭露賣方資訊、提供加重透明度報告、揭露廣告資訊等義務(草案第22至31條),皆是參考前述歐盟DSA所制定。惟,「數位中介服務法」草案規範對象與歐盟DSA並不完全相同,例如:並未納入搜尋引擎業者之明文管理規範,且其餘規範架構亦有另參考其他法令所為,至於裁罰手段包含「資訊限制令」以及高額罰鍰等,在草案發布當年即受到台灣部分專家、民間團體、資訊儲存服務業者、線上平台服務業者提出異議,主張涉及言論自由之鉗制等,使前述草案立法停滯,迄仍未有進展。
(三) 從智慧財產的角度觀察,數位平台或資訊儲存服務涉及的智慧財產爭議因為數位化的進展從未停止,而台灣著作權法第90-7條,亦早已明訂資訊儲存服務提供者「通知即取下」的避風港條款,站在避免「違法內容」爭議擴大波及平台或資訊儲存業者的避險立場,無論法律是否已經明文規定,相關業者亦可考慮及早透過自律方式先行納入歐盟DSA相關「通知及行動( notice and action)」機制,以適度緩和潛在訴訟風險。
◎參考資料
歐盟發布「數位服務法」及「數位市場法」包裹式草案