一、備受挑戰的數位科技平台,從GDPR到DSA及DMA
自2018年歐盟制定的GDPR(General Data Protection Regulation)生效以來,基於保護隱私及賦予個資本人掌握自身資料的權利,大大影響了過去科技業對資料的處理模式,許多網路科技巨頭如Facebook及Google分別基於不同理由被歐盟主管機關裁罰,各國也分別以GDPR為標竿修改或重新制定一套個人資料保護法,以強化個資本人權利並給予蒐集處理利用個資的企業相關義務。
個資保護等議題的爭論經常圍繞在資料開放與個資保護間的利弊權衡,到底是要盡量開放資料減少對企業的限制,促進資料經濟發展及科技發展,還是側重保護隱私權,強化個資本人權利等等。在這樣的價值判斷下,各國也出現寬嚴程度不一的制度設計,也出現主打個資或資料信託的個資銀行概念,日本的資料銀行認證制度,就是在兩種不同價值拉扯下出現的新制度。
過去寬鬆的監管環境下,促進一些大型科技平台發展,但隨著其成長為科技巨頭時也帶來相關問題。如科技巨頭是否利用優越市場地位阻撓其他競爭者進入該市場,或強迫平台上商家和使用者應使用其套裝服務等,社群平台甚至成為假新聞、非法活動串聯的媒介,甚至於政治上成為外國勢力或敵對勢力用於打擊政敵的工具,如美國政治近幾年出現的爭議和紛擾。甚而有部分人士認為此種以廣告利潤商業導向設計之演算法,僅呈現用戶偏好和喜愛內容訊息模式,間接導致族群分化、意見對立,甚而主張嚴重威脅民主政治運作。
對此種種問題,歐盟委員會則認為應加強歐盟境內數位環境主權,而非依循他國之標準,而致力於建立關注於數據、技術及基礎架構之標準上,並強調歐盟境內之數位環境旨在為個人和普遍企業服務。故歐盟執委會(European Comission)於2020年底發布數位服務法(The Digital Service Act, DSA)及數位市場法(The Digital Markets Act, DMA)兩部法令草案,以期建立一套應用於「數位環境」的歐盟監理模式。
二、DSA及DMA之目的及規範內容
歐盟的數位服務法(下稱DSA)及數位市場法(下稱DMA)兩者的特色為,DSA旨在針對網路的中間服務提供商的行為進行規範,並要求其遵守相關義務,是針對網路數位服務者的行為義務要求,類似GDPR要求企業於蒐集、處理及利用個資時應遵循一定程序及義務;而DMA則旨在建立一個公平具競爭力的數位環境市場,禁止經濟上的失衡情況及不公正的商業行為,類似反托拉斯法,只是DMA更專注於「數位環境市場」的問題處理。而目前DSA及DMA尚為草案討論階段且將蒐集各方意見,具體生效時間仍不確定,不過預計可能於2022年後或2023年初生效實施。
1.DSA之規範目的與內容
DSA規範目的在於要求受規範的服務提供商重視用戶線上權利及保持平台透明度。受規範的服務提供商共有四類,分別為:
1. 中介服務(Intermediary services):提供網路基礎設施,例如網路存取供應商、網域名稱註冊機構,如ICANN;
2. 託管服務(Hosting services):例如雲端及網路託管服務,如Azure、AWS;
3. 線上平台(Online platforms):匯聚買賣雙方的平台,例如線上市集、應用程式商店及社群媒體平台;
4. 超大型線上平台(very large online platform)在傳播非法內容與社會危害方面具有特殊風險者,其接觸對象至少達歐洲5億人口中之10%,如Facebook、YouTube、Twitter等。
針對不同主體給予不同之寬嚴程度不一之義務要求,主要的規範方向可簡略分為以下三個面向:
- 配合打擊非法內容:對非法線上商品及服務內容給予打擊措施或建立一套制度,如平台與「信任舉報者」的合作機制或線上市集相關企業用戶之可追溯性規範,以協助確認非法商品或服務賣方,業者若發現犯罪行為有義務通報主管機關。
- 平台機制公開透明:提供用戶質疑平台內容審查決定之權利、要求平台應給予用戶申訴及救濟制度或訴訟外之爭端解決機制等。針對平台用戶,應告知其系統所使用的演算法或提供廣告資訊,以強化其透明度。
- 風險管理機制:主要規範義務對象為「超大型線上平台」,希望其建立起風險管理機制並建立外部問責機制,以監理大型線上平台可能風險。如為防止系統濫用,要求其採取風險對策手段,包含採取獨立之稽核制度以監督風險或應與政府機關及研究人員共享資料,使其得以檢視平台的運作方式,而了解平台線上風險是如何演變的等。
2.DMA規範目的與內容
考量大型數位平台如Apple、Google、Facebook及Amazon等科技巨頭,可能利用其市場力量影響新創業者及其他中小型網路業者進入其數位市場,故DMA之目的即為期待建立一套制度,而促進更為公平且開放之數位市場。並制定一套認定大型網路平台之標準,而符合該標準者則被稱為守門人(Gatekeepers),關於Gatekeepers的認定標準,則主要依據以下幾點:
- 提供核心平台服務:線上中介服務、線上搜索引擎、線上社交網絡服務、影片分享平台服務、無線串流平台、操作系統、雲計算服務或廣告服務及前述平台提供之廣告服務。
- 具市場支配力之三項門檻指標:
- (1).對內部市場有重大影響:在歐洲經濟區,其過去三個財務年度中事業之年度收入≧65億歐元;或事業之平均市值或同等市值在前一財務年度至少達到65億歐元,且至少於三個歐盟成員國提供核心平台服務。
- (2).事業運營的核心平台服務,為商業及消費端用戶聯繫的重要樞紐:如該服務在前一財務年度於歐盟,每月活躍用戶數>4500萬,或活躍商業用戶數>1萬。
- (3).業務具備牢靠長久的地位,或可預期其於近期享有該地位:若平台之可競爭性受到限制,將滿足此標準。其可能符合情形如平台於三年內於三個歐盟會員國中運營,且該平台的商業及消費用戶達到非常高的數量。
若被認定為Gatekeepers則可能產生相關之義務如下(僅列舉部分義務):
- 「數據揭露要求」:對於廣告商,應提供其可用於評估Gatekeeper之績效評估工具及其進行廣告資源獨立驗證所須之資訊;或提供商業用戶,因使用平台所生成之免費、有效、高質量之匯總或非匯總數據;或提供消費用戶,其因直接或間接使用平台所生成的數據。
- 「系統互動性」:應允許消費用戶在其核心平台服務上解除安裝任何預載之應用程式(在某些情況下除外)、允許其系統得與第三方應用程式軟體互動,並得以其他管道使用相關應用程式軟體或其商店。
- 「不得以商業或強制方式控制其用戶」:應允許商業用戶得使用競爭對手平台,使其得以不同或更好的條件提供產品和服務;避免要求商業或消費用戶訂閱或註冊平台其他服務。
- 「排名系統中不得偏頗或不公平」:與第三方類似服務或產品比較時,不得於排名時更優待自己服務或產品,排名機制應採取公平及非歧視性的條件運作。
三、歐洲資料保護委員會的建議及影響
此草案公布後,歐洲之資料保護委員會(EDPS)於2021年2月10日亦有針對DSA及DMA發表相關內容建議,於DSA上建議應禁止於內容審核部分對用戶進行頗析(如個資蒐集歸檔等),除非服務提供商得證明其採取此措施是用於處理符合DSA中之系統風險及建議禁止基於普遍追蹤在線目標的廣告,並限制此類廣告得以處理之數據類別;針對DMA則建議可要求強化不同平台間的相互操作性,如此則有望促進更開放、多元的數位環境。
EDPS對DSA的建言也引起相關爭論,如禁止基於普遍追蹤在線目標的廣告,將大大影響平台於目前廣告投放模式,實務上是否可行,要求禁止的同時又提及應限制此類廣告可使用的數據類別,引起邏輯上矛盾,若要求禁止則無討論限制該等廣告可使用數據類別的必要,建議上究竟是禁止或限制並不明容易引發混亂。不過對於DSA中所要求的平台內容審查,EDPS則認為設計內容審查機制時,應禁止對使用者進行頗析(Profiling),並應遵循法規及GDPR規範,其背後考量思維應為於避免科技用於歧視或侵害人權。
由於此兩部法規對於科技業者於數位環境下之經營將產生一定衝擊影響,除前述EDPS繼續要求強化個資保護之倡議外,相關科技平台業者也應會對DSA及DMA有所反應,其規範要求及具體細節,於實務上是否有所扞格或能否實際落實,未來都值得繼續觀察其所帶來的影響。
四、歐盟對於網路環境的監理態度及其意義
網路讓資訊流通及溝通更加方便,也促進許多網路科技平台成長茁壯,然而隨著平台日漸龐大也受到相關挑戰和質疑,如劍橋分析事件、資料外洩、假新聞等議題引起社會大眾開始檢視數位平台的經營發展,因在個人隱私、社會、經濟及政治上影響越來越大,不再是小眾活動空間,而是許多人生活密不可分的一部分。社交媒體在廣告營利的特性下,發展出推測用戶喜好的演算法以及精準廣告行銷的模式,竟變相成為有心人士基於政治目的打擊對手、製造假新聞的手段工具,演算法的偏好推薦使用戶僅關注特定訊息而無法看到不同聲音,如美國近期於政治上發生的動盪,間接造成社會分化,在過去新聞媒體傳播環境下可能還不會如此劇烈,這些影響也可能是科技業者發展平台時所意想不到的。
近幾年,全世界對於網路科技產業出現越來越多的規範和要求,如鼎鼎大名的GDPR隱私法所帶來的影響,以及近期澳洲政府通過的「新聞媒體與數位平台強制議價法」(News Media and Digital Platforms Mandatory Bargaining Code)要求這些在搜尋結果和動態消息提供生產成本高的新聞內容時,須付費給媒體,也引起相當爭議。科技業的各種平台,也從早期小眾市場範圍,逐步發展成融入我們生活不可或缺的一部分,網路平台可以是買賣雙方交流的平台、可以是情感、意見和新聞傳播的場所,也具備相當之權力影響著我們的生活,如Twitter關掉美國總統的帳號或某Instagram網紅辛苦經營的帳號,可能因為系統當機或平台政策因素而一夕間消失,皆彰顯網路平台的巨大影響力,也導致許多規範產生。
而過去談到規範,大多專注於金融業的規範,其背後的原因即是金融肩負起的是許多人於財產和社會經濟中介角色的任務,若其隨意經營或惡性倒閉,會對社會和民眾產生極大的影響及社會成本,故應審慎規範。過去筆者接觸金融科技領域時,部份科技業者常感嘆何以金融法規如此繁多或設計商業模型因忽略金融規範,而引起主管機關之關切,這些「碰撞」的背後原因常體現的是「自由快速」及「風險控管」等兩種不同思維的拉扯。金融法規在制定時常有其良意,然日經月累後,可能因過去未能預想新型態服務模式而於現在箝制到創新發展,但在批評法規時,我們也得肯認相關法規背後存在金融風險控管目的在內(如落實資安保護、限制業者動用用戶之資產等),若想參與金融業務分這塊餅時,也須肩負起一定之金融責任。而該如何保有金融風險控管的同時亦能促進創新,則是金融監管者與相關學者及法律從業者常常面臨之難題。
而關於歐盟制定的DSA及DMA兩部法案草案,該如何適當賦予這些科技平台業者責任的同時,又持續保障開放創新的科技環境發展,也同樣需要各方持續努力研究,以達增益去弊的目的。從歐盟對於數位環境的態度與要求日趨嚴格,也可以發現從GDPR開始,到近期以DSA及DMA對科技業者平台從「行為面」及「市場面」進行不同程度監管和限制,雖然科技業並非金融等監管行業,但隨著其體量擴大到一定規模,歐盟主管機關認為其對社會之影響力也達到舉足輕重的地位,雖非特許行業但也逐步被當作一種「特別行業」監理了,這套制度出現的意義,背後可能也反映了我們已經漸漸從虛實整合的年代走向虛實不分的年代。
責任編輯:郭昱彣、陳建鈞
《數位時代》長期徵稿,針對時事科技議題,需要您的獨特觀點,歡迎各類專業人士來稿一起交流。投稿請寄edit@bnext.com.tw,文長至少800字,請附上個人100字內簡介,文章若採用將經編輯潤飾,如需改標會與您討論。
(觀點文章呈現多元意見,不代表《數位時代》的立場)