【論文摘要】

數據的搜集、保存、轉移、傳輸和分析已然成為當前整個電子商務最具關鍵的功能之一，猶如人體的神經系統和其中的訊號，帶動著全球錯綜複雜而且相互依賴的產業鏈條能夠有序運轉。然而究竟數據應如何定義？其本身是否應該享有如何的權利保護？匯集數據的資料庫又應如何？其背後所折射、反應的個人隱私信息究竟應當如何處理？如何在個人的隱私需求與國家和社會安全的需求之間求取平衡？這些問題自從電子商務開展以來便一直困擾著全球各國。本文擬從美、歐兩地的發展、經驗和實踐進行概括的梳理並就其中發生的問題予以評論，以其對國內目前正在推展的相關立法提供參考。

【關鍵詞】

數據；大數據；資料庫；隱私；《通用數據保護條例》；《加州消費者隱私法》；《加州隱私權法》

【作者】

孫遠釗（Andy Y. Sun），美國亞太法學研究院執行長，暨南大學智慧財產權學院特聘教授。本文不代表作者服務單位意見。

引言

「你若不付費便不是消費者，而成為被賣出的產品。」

—— 安得魯‧路易士（又名「藍甲蟲」，2010年）

「If you are not paying for it, you’re not the customer; you’re the product being sold.」

—— Andrew Lewis (a/k/a 「blue_beetle」, 2010)

這是美國矽谷（Silicon Valley）網際網路行業當中常被引述的一句話，中間曾經歷過幾次修飾成為目前的表述。最早的版本可以溯及到20世紀70年代，是對於當時開始大行其道的電視商品傳銷的一個諷刺性評論。[1]然而對於網絡時代各個平台服務的提供或運營者不斷搜集、篩選、分析、運用與再搜集其使用者的各種信息，形成所謂的「大數據」（big data）分析與某種閉環式的經濟領域（circular ecosystem）乃至於達到對特定市場的壟斷地位（也就是具有一定的支配力），這不啻是個更為貼切的寫照。

從原來有限的軍事與學術交流用途全面向各界開放，還不到十年，網際網路就已經成為人們從事通信聯繫、商務交易、出版營銷和研究分析等等各種事務和工作不可或缺的日常生活工具。[2]從技術層面而言，整個網際網路完全是各種數據的傳輸。因此就有了「數據為王」、「流量為王」的說法，意思是誰能夠有效獲得、控制、分析和運營相關的數據，誰就扼住了網絡通路的進口位置。[3]

然而究竟數據是什麼？數據的本身是否可以享有如何的權利保護？對於數據的搜集（如資料庫）、分析等行為以及由此產生的研究成果情形又是如何？對於被搜集的對象而言，他們是否享有如何的權益？如果發生數據信息被盜取、外泄等問題時是否有任何的救濟？這些與數據相關的權益是否有競合的問題？對市場會產生如何的影響？美國和歐盟在這個領域無疑是走在最前，但也經歷了各種探索、掙扎與平衡，因為其背後有非常複雜的因素和各種利益需要相互平衡考量。本文擬對歐、美兩地在過去近30年的立法和司法實踐予以梳理，並探討其中的問題以供國內的相關立法參考。

數據的定義

「數據」原是從英語「data」翻譯而成（這個字的原意是複數，單數是「datum」，但已鮮少使用），最原始的來源或出處暫不可考，目前還沒有法律上的定義。

依據《大辭海》的定義，是指「一組表示客觀事實的可鑑別的符號。可以是數字、字符、文字、圖像等。」[4]依據《韋氏大學英語辭典》的定義，「數據」是指「諸如度量衡或統計等，用於作為論理、討論或計算的事實信息」。[5]在信息產業具有相當權威性的《高德納信息技術名稱縮寫及詞彙》（以下簡稱《高德納詞彙》）則是定義為「未經處理的事實或數值可供計算機（電腦）處理成為有用的信息」。[6]簡單地說，「數據」是因，「信息」則是果（詳見後述）。

所謂「大數據」也沒有明確的法律定義。《高德納詞彙》從三個相關的維度定義，是指「高速（high velocity）湧現、高量（high volume）、和高度多樣化（high variety）的信息資產，需要藉助高性價比與創新形式的信息處理來促進和強化深度的洞察、決策與自動化處理」，也就是所謂的「3 Vs」經典定義。[7]

至於「資料庫」，歐洲聯盟（European Union，以下簡稱歐盟）1996年《歐盟資料庫指令》（EU Database Directive）第1條第（2）款是定義為「對獨立作品、數據或其他材料從事系統性或規律性的匯集並可以電子或其他方式個別取用。」[8]不過這個定義還是頗為抽象飄忽。如果從最終呈現的形式或取向來區分，資料庫可能至少包含了文字、數值、圖像、聲音、電子服務（如電子郵件、微博、社交平台）和軟體程序（如爪哇（Java）程序語言當中可供取用的「爪哇核心圖書館」（Java Core Library））等六種類型，最後的兩類則可能包含了多種取向的不同組合。如果從資料庫不同角色扮演者的功能來區分，則包含了出版者（publisher）、匯集者（gatherer）、提煉者（refiner）和門戶網站（portal）等四種類型。[9]

此外，數據依其本身的性質可區分為自然存在與人工合成兩類。前者通常是基於對自然界不同事物的實驗或觀察所形成的記錄，後者則是原本不存在於自然環境之中，而是藉由其他的活動由人工的介入所形成，如股市的行情、庫存記錄、電話號碼簿內的各項資料等等。有的學者則是從數據的元素與來源特徵或是關於數據的用途等不同取向來區分以便從事更深入的探究，最終的目的不外是希望能對制訂相關的政策提供更明確的指引。[10]

數據的保護方式

涉及數據權益的問題至少包括了四個不同的面向：首先是數據本身是否可以享有任何權利。其次是由多個數據所組建而成的資料庫是否應享有如何權益保護的爭議。第三是由歐盟對資料庫的特殊賦權所派生的新聞出版者權以及相關的問題。最後則是由數據所直接或間接反應（反射）或指代的權益保護，也就是對數據背後所牽涉到的個人隱私權益保護與相關的網絡安全（cybersecurity）問題。

一、數據本身

從前述的定義可明確看到，「數據」無非就是作為對某個特定客觀事實或實驗觀察結果所體現的信息。例如每個人的姓名、出生日期、地址、電話和身份證字號等，也可能是對特定問題的調研結果與統計數字等等。

既然是對事實的反應或呈現，就意味著其本身不具任何獨創性，哪怕在獲得該數據的過程中可能投入了極大的智力勞動，也無法改變此一性質（例如愛因斯坦推導出的相對論公式），可能產生獨創性的只限於對數據的選擇或編排等智力創作。[11]因此，數據本身無法獲得任何著作權或其他以公示公知為前提的智慧財產權保護。[12]不過這並不排除可以用商業秘密來給予保護，但是依然必須符合《反不正當競爭法》第9條第4款所定義的要件，即相關的技術或經營信息（一）不為公眾所知悉、（二）具有商業價值、並且（三）經當事人採取了相應的保密措施。這也是國際共通的標準，表明了任何人都無法對任何特定的事實享有任何的排他或控制權，否則必將對整個市場運行造成極大的干擾和混亂。

必須特別指出，「數據」與「信息」這兩個名稱在人們的日常生活中經常被交替互換使用。然而這兩者之間其實具有因果關係和不同的概念。前已提及，「數據」是因，「信息」是果。在組織、信息與知識管理領域作為研究基礎的「DIKW層級模式」或「DIKW金字塔」應有相當的借鑑意義。這4個英文字母分別是指「數據」（data）、「信息」（information）、「知識」（knowledge）、和「智慧」（wisdom），呈現的模型顯示出了這四者的關係（見下圖）。[13]

可以明顯看到，「數據」是沒有經過處理前的原始素材，經過處理後就成了信息。如果信息符合法定權利的保護要件，那麼自然可以依據相關的法律獲得一定的權利保護。例如，如果符合獨創表達的要求，原則上就可以獲得著作權；如果符合新穎性、進步性與實用性的要件，原則上便可以獲得專利權。

由此可見，數據可以成為具有一定價值的財產，但未必具有財產權。例如，幾位朋友之間互相掃描對方的手機加入彼此「微信」應用軟體的「朋友圈」，這並不表示他們彼此都突然取得了對方電話號碼與微信公信號的「所有權」（最多只是「占有」性質）。事實上連各個當事人也並不「擁有」自己的姓名、地址與電話號碼等等。至少在現行的法制體系內，連每個人對自己的姓名都沒有財產權（基本上只有人格權，除非透過商標申請等程序把自己的姓名轉化為商標權，但那樣的意義已然完全不同）。同樣的，任何人（自然人或法人）也不會因為搜集到了海量的數據，匯集成所謂的「大數據」就突然取得了對那些數據的「所有權」。

也正因如此，當前的法規才能從保護個人隱私的角度切入，對數據控制者（即占有人或持有人而非「所有人」）可以如何處理、運用所搜集到的數據予以限制，包括賦予數據主體（被搜集對象）可以要求更新、補正、刪除、不得從事過長的保存……等等法定的權利（從而可以凌駕並對抗數據控制者的占有處分，詳見後述）。反之，如果貿然賦予數據持有者「所有權」的話，那麼上述對數據控制者的各項限制是否還有合法合理的基礎、是否還能成立就恐怕很有需要商榷之處了。

二、資料庫

既然數據本身原則上無法獲得權利保障（商業秘密在概念上並非「權利」，而是一種「法益」[14]），那麼將無數的數據予以搜集匯整後所形成的「資料庫」（databases）能否獲得某種權利？畢竟資料庫是個需要極大人力、物力資源和時間投入的工作，如果考慮在法律上賦權，自然有可能產生激勵效應；但也會同時產生是否對本不應給予保護的事物過當的保護以及是否會導致壟斷的問題。

起源

這個問題在20世紀90年代引發了一場全球性的爭論。起源是美國聯邦最高法院在1991年對全球著作權領域產生了極大引領作用的《費斯特白頁電話號碼簿》案判決。[15]

法院在該案表示，如要獲得著作權的保護，一個作品仍然必須具備最起碼的「獨創性」（雖然門檻非常的低），既不需要達到「額頭流汗」（sweat of the brow）的程度（或高度），也與投入了多大的智力勞動或資源從事作品相關信息的匯集沒有任何的關係。法院在評價「額頭流汗」（也就是「智力勞動成果」論）時指出，這個要求寓含了無數的瑕疵，而其中「最刺眼」（most glaring）的缺陷是，它把對彙編（compilation）作品的著作權超越了對篩選和排列布局（selection and arrangement）的保護，也就是越過了彙編者的原創貢獻而直接對於事實本身從事保護。這就讓對侵權指控唯一能夠成立的抗辯是「獨立創作」（independent creation），也導致後來的彙編者對於在先出版或發行作品當中的任何信息連一個字都不得援引或使用，必須從一樣的共同信息來源完全獨立操作然後得到相同的結果。這樣的結果很明顯地違反了著作權法最重要的根本法則：沒有任何人可以對思想或事實享有著作權保護；而且容易造成人人自危，不知所以，勢將嚴重限縮各種創作的產生。[16]

這個判決出台時全球還沒有進入到網際網路的時代，但卻對後來整個電子商務的發展產生了巨大的影響。所謂的「白頁電話號碼簿」（The White Pages）其實就是一個資料庫，而網際網路或虛擬環境下的每一個網站、網頁基本上也都是由不同的數據組合而成的資料庫。聯邦最高法院顯然也意識到了這一點，所以在判決書中特別表示，「事實性彙編的著作權是非常地稀薄。縱使具有一個有效的著作權，後續的彙編者仍然可以自由使用其中所收錄的事實來幫助準備一個競爭性的作品，只要該競爭品沒有對篩選和排列從事同樣的呈現。」[17]

後續

這個判決，尤其是聯邦最高法院的這一句表述顯然對美國後續的司法實踐產生了巨大的影響。從後來的案例可以看出，無論是在上訴法院或地區法院的層級，法院鮮少會判決整個資料庫完全沒有著作權，實際上訴訟當事人也絕少會對整個資料庫是否享有著作權保護提出質疑或挑戰。主要的爭點是聚焦在具體的資料庫當中著作權保護所能及於的範圍，而且多數案件的判決結果顯示，即使有著作權，對於資料庫當中整批數據的取用往往依然不構成侵權行為。[18]

尤其具有反差性與諷刺性的是，當一個資料庫的內涵愈為充實，涵蓋了海量領域或範圍的事實信息時（「大數據」），通常反而意味著其中容易欠缺「篩選」，而且相關的「編排」已然相當固定明確，也就難以獲得著作權的保護。然而這也往往卻是最具使用便利性和商業價值的資料庫。[19]

特殊賦權

無論如何，這個由全體大法官一致通過的經典判決幾乎不可能被推翻，除非要徹底動搖整個著作權保護體系的基礎。因此電子商務的運營者便改變策略，試圖遊說和呼籲透過以立法特殊賦權（sui generis right）的方式對資料庫給予保護。不過有若干問題必須先行釐清：

首先是保護內涵與範圍。有的資料庫或彙編（不是數據本身）就已經包括了個別具有著作權的作品或由這些作品與其他不具著作權保護要件（獨創性）的元素共同組合而成，有的資料庫則是完全由純粹反應各種事實的數據所組成。主張特別賦權只是打算針對原本不受著作權保護（即不具獨創性）的部分設置一個特殊的保護，不是對於原本就有著作權保護的部分再增加一道額外保障，更不是擴充既有的著作權保護範圍。因此相關的政策討論必須完全聚焦於究竟要保護什麼以及這個保護的性質與內涵應該如何明確定義以及應與著作權從事如何的區隔。

其次是資金與信息來源。這是指必須區別資料庫的編纂是否涉及公領域的投入抑或純粹是私人的資助（或投資）匯集而成。如果是前者（包括由政府機構自己獨完成或是透過全部或部分資助委託完成的項目），由於其使用了納稅人的公款，基本的政策原則應當是，除非涉及國家安全等特殊的保密要求，原則上該資料庫應維持對社會公眾一定程度的開放和自由取用，任何涉及對其後續的轉讓或限制他人的使用都必須依法受到監管。與此相關的另一個問題是數據信息的來源究竟是單方抑或多方。

至於透過單一信息來源所組建的資料庫而言，基本上其中的內容往往難以從其他的渠道獲得，就表示難有能與其競爭的替代者，也就容易形成壟斷。這表示在政策上必須更加關注如果對此種信息壟斷予以賦權的話將對市場的競爭和發展所造成如何的影響。在網際網路時代，對於握有市場領域或生態圈（market ecosystem）入口地位的優勢平台而言，這個問題尤為凸顯。

第三是使用方式與目的。有的資料庫在功能上猶如一個製造過程當中的工具，主要是被用來形成更多派生的最終產品（以數據作為製造的中介）；有的主要目的就是直接供終端使用者從事利用（以數據作為最終的產品）。隸屬於美國國家科學研究院（National Academy of Sciences）的國家科學研究委員會（National Research Council）在一個關於數據的研究報告則是從對資料庫的使用區分為終端使用（end use）與派生性使用（derivative use）。[20]

在前者，最常見的情形是使用者在從事某個與工作、個人需求有關的事項時直接取用資料庫內的信息來確認某個信息或是作為某個論述的參考佐證；後者則是把既有的單個或多個資料庫內的信息從事轉化性或增益性（附加價值）的運用，在既有的基礎上形成一個新的信息產品。

美國國家科學研究委員會的調研顯示，派生性的使用已成為當前從事規模性調研最為重要的工具（例如對各種生物基因組合的圖譜排列），也讓資料庫的發展更具動態性而且更加的複雜多元，尤其透過交互式檢索與數據分享等反饋能夠讓資料庫產出更高的附加價值。由此產生的顧慮是，一旦在政策上對於資料庫賦權，就形同對各式的信息分享設下了屏障，並可能導致過度的商業化，也就會直接或間接阻礙各種未來的科技與人文研發。[21]

對資料庫究竟是否應該以及如何給予保護雖然引發了很大的爭論並產生了至今依然分歧的結果，不過在一個基本指針上則是具有共識：對於不具獨創性的資料庫如要賦權保護，真正要保護的是對資料庫的投資利益（包括人力、科技、財務和時間等等經濟性與非經濟性的多方面投入）。[22]因此如果要「特別立法」也必須與著作權的保護範圍做出明確的區隔，對於本來就已經符合著作權保護要件的部分（如果有的話），就不再另行賦權，形成雙重或多重保護。

現況

目前全球對於不具獨創性的資料庫的保護方式可分別以歐、美兩地的不同取向為代表：歐盟採取了以「公律」來保護的手段，也就是上述的「特別立法」，於1996年通過了《歐盟資料庫指令》作為整合各成員國國內立法的指引和依據。[23]美國國會原本也曾不斷提出立法動議，但始終未能獲得足夠的支持，其中還產生了是否合憲的爭議。[24]鑑於整個態勢讓通過這樣的一個立法的機會益趨渺茫，業者便改以「自律」的方式來維護自身的利益，也就是以合同來建立並綁定與使用者之間的法律關係，要求使用者必須同意由網站提供者事先擬好的一個制式性合同才可以取得瀏覽通行或使用的許可。這也成為當前所有電子商務運營的基本操作模式。

雖然美國國內的相關立法嘗試迭遭挫敗，但顯然並未對當時的柯林頓政府試圖與歐盟聯手進一步推動從國際上來給資料庫某種特別的公約保護形成阻撓。在雙方的共同運作下，世界智慧財產權組織（World Intellectual Property Organization, 簡稱WIPO）於1996年12月2~20日召開了一個「關於若干著作權及鄰接權問題的外交會議」（Diplomatic Conference on Certain Copyright and Neighboring Rights Questions），討論並通過了在網際網路環境下的國際著作權保護的兩項多邊協定，即《世界智慧財產權組織版權條約》（WIPO Copyright Treaty）和《世界智慧財產權組織表演和錄音製品條約》（WIPO Performances and Phonograms Treaty）（合併通稱為「網際網路條約」（The Internet Treaties））。[25]不過美方代表其實還提出一個了關於對不具獨創性的資料庫給予特殊保障的建議並透過相關的委員會主席提出了具體的條約草案（共21個條文）。[26]但是因為各國代表對此意見分歧，不少國家的代表認為還需要更多的時間來仔細研究，加上會議本身的時間非常有限，如果要繼續在這個議題上糾結就很可能來不及通過另外兩個條約，所以這個議題最後被擱置，留待後議。雖然世界智慧財產權組織後來對不具獨創性的資料庫如何保障又從事了6個調研並召開了一些會議，但都難以形成共識，最終則是不了了之。[27]

評論

雖然美國國內和國際組織嘗試以特別立法（公律）來保護不具獨創性的資料庫都以失敗告終，其中還是有若干的發展值得一提。

首先，歐、美兩地對非獨創性資料庫給予保護的發展進程彷佛是對行的兩條平行線。雙方都在1996年推出了各自的立法草案，歐盟方面一開始是從反不正當競爭的角度切入，僅提供有限的保護，然而最後卻大幅膨脹並轉化成了一個變相或「異化」的著作權法，甚至在某些地方還超過了一般著作權法所賦予的保護範圍。[28]

美國方面則是從一開始就提出了一個與《歐盟資料庫指令》內容非常近似的規模性立法草案，但因為爭議太大，經過多年多次的反覆妥協和對其中內容的淡化處理，成為借鑑《歐盟資料庫指令》與美國既有司法判例的一種混合體，從不正當競爭的角度用民事「竊取」（misappropriation）作為給予保障的基礎。[29]

例如，雖然《歐盟資料庫指令》宣稱只是創設了一個特殊的資料庫權利，實際上卻與以往用「額頭流汗」（sweat of the brow）作為著作權賦權的基礎難以區別，都以是否投入了「相當投資」（substantial investment）以獲取、確認或呈現其內容作為是否可以獲得權利的基礎。亦即只要有相當智力勞動或資金的投入，不問是否具有獨創性就可以獲得賦權。

在具體的權利內涵方面，《歐盟資料庫指令》第7條要求對不具獨創性的數據賦予「抽取權」（right of extraction）和「再使用權」（right of re-utilization）。前者是定義為「以任何方式或形式將〔資料庫的〕全部或相當部分內容予以永久或暫時性的轉移到另一載體〔或介質〕」，也許表面的用詞不同，但與著作權法的「複製權」實在沒有如何的差異；後者則是定義為「透過散布複製品、出租、線上或其他形式的傳輸，以任何形式向公眾提供一個資料庫的全部或相當部分內容」，實際上等於匯集和包裹了著作權法當中的其他權利，如「向公眾傳輸權」、「散布權」和「展覽權」等。又如表面上指令僅提供了15年的保護期限，然而只要對資料庫不斷從事更新而且顯示有「相當投資」（包括對資料庫的維持與內容的確認等等），就可以獲得一個全新的保護期間，實質上便等於取得了無限期的保護。

在侵害認定方面，《歐盟資料庫指令》第8條逐字引用了《伯爾尼保護文學和藝術作品公約》（Berne Convention for the Protection of Literary and Artistic Works）第9條第2款原本作為考量是否構成著作權合理使用的「三步分析」文句，卻將其轉化為侵害認定的標準，另外還採取了從質與（或）量同時評價的做法。把資料庫的「品質」或「質化分析」（qualitative analysis）納為侵害的測試基準（顯然是為了保護資料庫的投資利益）卻可能會引發一個相當大的潛在問題。指令並未對「質化分析」提供進一步的定義和說明，但可以看到這至少替資料庫的製作或提供者開啟了一個求償的便利之門。因為這可讓資料庫的提供者即使在被引用的非獨創性數據「數量」相當有限的情況下卻仍然主張該少量數據對其資料庫的總體「品質」具有相當顯著的影響。

此外，《歐盟資料庫指令》第9條對於此一特殊權利的行使只容許在下列三種極為有限的情形下可以例外地受到限制（即容許他人可以不經許可對公共資料庫當中的非獨創數據從事相當程度的抽取或再使用）：（1）對非數位化或電子化的資料庫從事抽取只限於私人目的（對業經數位化的資料庫則無此例外）；（2）關於從事教學或科研的抽取，必須註明出處和達成何種非商業性的目的；（3）為公共安全、行政或司法程序所從事的抽取或再使用。

因此，即使涉及純粹採用事實內容的新聞報導都無法享有任何的例外（歐盟在2019年藉著《數字單一市場著作權指令》的通過更創設出了「新聞出版者權」（press publisher’s right），也引發了更大的爭議，詳見後述）。因此，僅從上述的分析即可看到，歐盟的這個指令實際上所涵蓋的保護範圍已經凌駕了著作權，給予不具獨創性的數據更大範圍的保障。

案例與成效

歐盟法院（Court of Justice of the European Union，簡稱CJEU或ECJ）在2004年9月11日同時對三個涉及歐洲足球賭局和一個涉及英國賽馬協會的資料庫案件出台了判決，採取了所謂的「派生理論」（spin-off theory），大幅限縮了《歐盟資料庫指令》的適用範圍，表示此一「特殊權利」只適用於「首要資料庫」（primary databases），即按照《指令》第7條第（1）款規定的字面意義，所要保護的只限於純粹為了「獲取、確認或呈現特定信息」所從事，獨立於原本屬於企業運營投入以外的投資（包括人力和物力等資源）。

因此凡是在企業一般運營過程中所開發出的信息（附帶性數據，例如在物聯網（Internet of Things）的環境下游機器所自動生成的數據等），之後再被納入或組建成為資料庫的部分都屬於「派生性數據」，無法獲得這個指令所賦予的特殊權利保護。[30]

這四個判決的出台對歐盟市場造成了很大的震撼，因此歐盟執行委員會（European Commission）隨即在翌年展開了一項調研並發布了報告，對指令的執行成效進行首次的實證分析和評價。[31]調研的結論是，一方面這個指令的出台基本上已經達到了讓歐盟各成員國整合相關規制的目的，但在另一方面指令所賦予的「特殊權利」對歐盟的「資料庫產業」發展並未產生能夠確證的正面或負面效果。[32]此外，調研報告認為，由於歐盟法院對這個指令的適用範圍大幅限縮，也就形同事先免除了這個指令是否會對相關市場的競爭造成負面影響的顧慮。[33]有學者便指出，這個結論試圖替自己緩頰，但實際上已經表明了當初通過這樣一個版本的指令是個錯誤，浪費資源和時間。[34]

除了歐盟層級的案例和調研分析，一些成員國在落實這個指令與其國內既有的規制整合的過程當中發生了「方枘圓鑿」的困難，各國對於指令的解釋也未必一致。例如，在法國的一宗案件，由原告所提供，關於當地各項公共建設項目的招標信息基本上完全來自其客戶的反饋和貢獻，而且客戶要列入其相關名錄還需支付費用，因此原告對於此一資料庫的建構不但沒有從事任何顯著的投資，事實上還獲得了相當的收益。被告則是完全搭載原告的「順風車」，未經同意大量擷取了原告的信息然後用傳真方式轉發給其現有或潛在的客戶，明顯想挖原告的牆角（被法院判認為「寄生蟲式的侵害」）。

法院面臨的難題是，如果依據法國的反不正當競爭法，被告的行為顯然侵害了原告的利益；但如果依據《歐盟資料庫指令》，原告則無法獲得「特殊權利」的保護，因為原告從未對其資料庫給予「相當的投資」，也就沒有任何侵害可言。巴黎上訴法院（Cour d』appel Paris）最終採取了迂迴折衷的方式，在法國國內法沒有牴觸歐盟指令的範圍內判決給予原告損害賠償。[35]相反的，在前述的英國賽馬協會案，負責初審的英國高等法院（The High Court of Justice）萊迪法官（Sir Hugh I. L. Laddie, J.）則判認「相當投資」只是個相對低度的門檻要求。[36]

由於各成員國的司法實踐並未對指令的落實形成一致的見解，歐盟執行委員會於2018年對這個指令的執行成效又進行了最新一輪的實證分析和評價。[37]整體而言，這次的調研延續了2005年的結論：沒有證據顯示此一特別賦權對歐盟的資料庫產業完全起到了激勵投資的效果，也沒有對各利益相關者（stakeholders）創造出一個具有完整功能的准入（或取用）體系（fully functioning access regime）。至於原本受到關切的潛在負面效應，如數據閉鎖（data lock-up）或相關的反競爭狀態等，很可能還是因為歐盟法院對其適用範圍的限縮，迄今尚未發生。

由於與資料庫有關的方方面面在這個指令所導致產生的市場環境下已經存續了20多年，雖然各方對於這個賦權還是有著截然不同的意見，但至少到目前為止還維持了「水波不興」的局面，因此歐盟執行委員會最終建議維持現狀，不考慮廢除或從事規模性的修改。[38]這個結論也直接反應到了歐盟在2019年通過的《數字單一市場著作權指令》（Digital Single Market Copyright Directive，簡稱《DSM指令》）當中，包括首先在第1條第2款開宗明義表示，除了第3、4、和24條的修正內容，新的指令對對1996年的資料庫指令沒有任何影響。[39]

為了促進創新，新的修正內容允許研究組織（research organizations，指大學、研究機構或其他主要以科學研究或相關的教育活動為宗旨的非營利性或公益組織）和文化傳統機構（cultural heritage institutions，指可供公眾取用的圖書館、博物館、檔案館或影音記錄保存機構）可以不經許可逕行從事相關的文字與數據挖掘（text and data mining）並可對獲取到的數據信息予以保留儲存以供後續的科技研發或是作為確認數據正確性的依據。由此可見，諸如公共電視台或廣播組織以及商業性或營利性的研究機構還是需要經過許可，不適用這個例外規定。

自律

前已提及，相對於歐盟採用「公律」對不具獨創性的資料庫予以特別賦權的做法，美國則是因為立法無望而完全走上了「自律」的道途，以簽訂製式性的使用許可合同來作為主要的保護方式（在實體物稱為「拆封許可」（shrinkwrap license），在網絡環境則稱為「點擊許可」（clickwrap license），亦即使用者只要一拆開了物件的彌封包裝或是點擊了網站入口的同意按鍵就表示全盤接受了制式合同的條款內容）。

這種制式合同究竟是否有效、是否可以實際執行等曾經在開始時遭到各界相當的質疑，不過司法判決原則上已經給予相當充分的支持。例如，在一個對後來發展頗具影響的判決，美國聯邦第七巡迴上訴法院表示，以合同條款來限制被許可方的複製行為仍然有效並可執行，不受聯邦著作權法「先占」（preemption）的影響或被取代。[40]

也是受到這些司法判決的影響，美國的「法律統一委員會」（Uniform Law Commission）[41]在20世紀90年代末期特別針對與計算機軟體和其他數據信息相關的許可協議著手起草一個新的「模範法規」（model act），希望能推薦給各個州議會通過成為立法。[42]其中不乏頗具爭議之處，甚至差點導致整個項目胎死腹中，但最終還是出台成為《統一計算機信息交易法》（Uniform Computer Information Transaction Act，簡稱UCITA），並迅速獲得維吉尼亞州（Commonwealth of Virginia）和馬里蘭州（State of Maryland）通過成為當地的法律。[43]

雖然迄今依然只有這兩個州接受了這套規制，但其影響卻不容小歔，因為已有不少的合同便是選擇以這兩個州的法律作為準據法。[44]這套規制當中最重要的精神是「契約自由」，容許當事人可以自行訂立超越法規範圍的許可協定。[45]因此許可人可以限制被許可人從事合理使用、製作存檔或對第三方從事轉讓等。這自然對許可人或所有人極度有利。不過法院依然可以特定的合同內容「不合情理」（unconscionable）或違反根本性的公共政策（fundamental public policy）判決該合同部分或全部無效或無法執行（unenforceable）。[46]

在歐盟方面，即使已經有特殊賦權保護，當地的廠家以合同作為保護的手段也極為普遍。歐盟執行委員會在2018年對《歐盟資料庫指令》的成效調研分析報告顯示，有52.5%的資料庫所有人依賴合同作為最主要的保護方式，有40.3%的受訪者同意或強烈認同合同可以提供比指令更好的保護。在出版和金融領域，相關的比例則是更高，使用合同的比率分別達到了78.6%和100%。

此外，歐盟法院在最近的判決中也表明，合同與指令的保護互不排斥；只要不違反成員國的國內法，資料庫所有人可以透過合同在指令之外增加對使用者的限制。[47]調研報告因此總結：「合同對於保護資料庫的投資扮演了一個主要的角色。根據資料庫的業者，能與其重要性相比擬的只有技術保護措施。反不正當競爭法似乎只占了相當次要的地位。」[48]

經過四分之一個世紀的實踐和經驗，對資料庫究竟在法律上要如何看待和處理，固然在表面上還是呈現出歐、美兩種不同的取向和模式，但是實際上已經趨同，即以訂立許可合同作為當事人之間最主要的規範工具，兼以技術保護措施作為配套。而且也正因為以市場機制下的許可使用作為導向，反而迄今沒有出現大量的訴訟案件，也讓電子商務的運行能夠更加的順暢。

從某些方面來看，雖然以合同作為手段有其局限性，卻反而可讓制訂合同的一方在相當的程度和範圍享有主控的地位，以一紙合同行走全球，不需要到各別國家去遊說立法，爭取支持，耗時耗力，也更符合網際網路時代的需求。對使用方而言也可以在彈指之間快速的獲得對特定資料庫的取用權限，非常簡便。

這也顯示處理智慧財產權的問題貴在多管齊下，以合乎市場機制與人性化的管理為優先，兼以技術措施與法規執行作為輔助配套，最終逐漸讓法律成為備而不用的環節，大量節省因訴訟所造成的資源和時間耗費。

-------------------------未完待續------------------------

本篇為《論數據相關的權利保護和問題——美國與歐盟相關規制的梳理與比較》系列第一篇，「知產前沿」會陸續發布文章全文，敬請期待！

注釋（上下滑動閱覽）

【1】這句話可以溯源到1973年由Richard Serra和Carlota Fay Schoolman兩位藝術家在一個名為「電視交付人類」（Television Delivers People）的短視頻當中表演了一段關於諷刺電視廣告的歌曲。當時的版本是「你不是顧客，你就是產品」（You’re Not the Customer; You’re the Product），後來經過多次的反轉引用和改寫逐漸成為現在的版本。

【2】網際網路最早是由美國國防部下屬的國防尖端研究項目局（Defense Advanced Research Projects Agency，簡稱DARPA或ARPA）從1966年開始逐漸開發出來的「ARPANet」，目的是確保萬一發生大規模毀滅性的事件（如核子戰爭）時，所有的軍事通信網絡依然可以順利操作，不受影響。不過在之後的20年間，主要使用這套網絡系統的反而是學術界的研究交流，後來更直接從國防部門轉移到國家科學基金會（National Science Foundation，簡稱NSF）來管理運營，名稱也改為「NSFNet」。從1980年代末期到1990年代初期，各項相關軟、硬體的配套發展已經趨於成熟，尤其是「全球資訊網」（World Wide Web）超文本連結（hyperlink）與「鑲嵌」（Mosaic）瀏覽器的開發成功，讓整個網絡系統更容易操作，也導致了爆發式的普及（僅是1993年（「網際網路零年」）的成長率就高達341,634%）。參見National Science Foundation, Fact Sheet: A Brief History of NSF and the Internet (August 13, 2003), available at https://www.nsf.gov/news/new_summ.jsp?cntn_id=103050。最後在政策上的「臨門一腳」則是美國國會對國家科學基金會1993聯邦會計年度的撥款正式解除了對網絡系統的使用僅限於教學和研究的限制，也就是完全開放並容許各種的商業化與民間參與。參見Scientific and Advanced-Technology Act of 1992, § 4, Pub. L. 102-476, 106 Stat. 2297 (1993), codified at 42 U.S.C. § 1862(g) (2018, Supp. I)。另參見Shane Greenstein, Commercialization of the Internet: The Interaction of Public Policy and Private Choices or Why Introducing the Market Worked so Well, 1 INNOVATION POLICY AND THE ECONOMY 151 (2000)；另參見Kevin Werbach, Digital Tornado: The Internet and Telecommunications Policy, FCC OFFICE OF PLANS AND POLICY WORKING PAPER No. 29, p. 13 (March 1997)。美國國會當時顯然沒有意識到，對這個條文文句的些微調整竟然成為無心插柳，徹底改變了全球社會與經濟的未未來的發展並帶動了新一波的工業革命。

【3】微軟公司的共同創始人及原總裁比爾‧蓋茨（Bill Gates）於1996年1月3日在微軟公司的官方網站上貼出了一篇題為《內容為王》（Content is King）的博客文章（blog），對於網際網路未來的發展前景做出了許多的推導和預測，於是後來者由此先後提出了「數據為王」、「流量為王」等不同的表述，不過這些改版表述的原始的出處都難以確認核實。參見Bill Gates, Content is King, available at https://medium.com/@HeathEvans/content-is-king-essay-by-bill-gates-1996-df74552f80d9（微軟公司後來已將此文從其官方網站上移除）。附帶一提，官方媒體顯然對「流量為王」的說法不以為然，曾刊載評論文章予以批評，主張「內容為王」永不過時。參見張一琪（雲中漫筆），「流量為王」不可取，《人民日報》（海外版），2018年5月4日，載於http://media.people.com.cn/n1/2018/0504/c40606-29964056.html。

【4】夏征農、陳至立主編，《大辭海：管理學卷》（2015年修訂版），上海世紀出版有限公司，載於http://www.dacihai.com.cn/search_index.html?_st=1&keyWord=%E6%95%B0%E6%8D%AE&itemId=86775。附帶參酌《百度百科》的表述，「數據是指對客觀事件進行記錄並可以鑑別的符號，是對客觀事物的性質、狀態以及相互關係等進行記載的物理符號或這些物理符號的組合。它是可識別的、抽象的符號。它不僅指狹義上的數字，還可以是具有一定意義的文字、字母、數字符號的組合、圖形、圖像、視頻、音頻等，也是客觀事物的屬性、數量、位置及其相互關係的抽象表示。

【5】MERRIAM-WEBSTER』S COLLEGIATE DICTIONARY (11TH ED. 2004), available at https://www.merriam-webster.com/dictionary/data.

【6】THE GARTNER GROUP GLOSSARY OF INFORMATION TECHNOLOGY ACRONYMS AND TERMS (MAY 2003), at 122, available at https://www.gartner.com/en/information-technology/glossary/big-data（其原文為：「Raw facts and figures that a computer processes into usable information」）。

【7】同上注, 載於https://www.gartner.com/en/information-technology/glossary/big-data（其原文為：「Big data is high-volume, high-velocity and/or high-variety information assets that demand cost-effective, innovative forms of information processing that enable enhanced insight, decision making, and process automation」）。之後又有兩個新的維度被提出：高精（veracity）和高值（value）。這是基於如何在海量的信息中能夠精準的提取最為相關的數據從事分析並產出高價值的信息。

【8】Directive 96/9/EC of the European Parliament and of the Council of 11 March 1996 on the Legal Protection of Databases, 1996 O.J. L77-20, art. 1(2), available at https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:31996L0009&from=EN （其原文為：「[A] collection of independent works, data or other materials arranged in a systematic or methodical way and individually accessible by electronic or other means」）。

【9】Stephen M. Maurer, Across Two Worlds: Database Protection in the United States and Europe, presentation at the 2001 Conference on Intellectual Property and Innovation and contained as Chapter 13 in JONATHAN D. PUTNAM (GENERAL EDITOR), INTELLECTUAL PROPERTY AND INNOVATION IN THE KNOWLEDGE-BASED ECONOMY (2008), available at https://www.researchgate.net/publication/228794091_Across_Two_Worlds_Database_Protection_in_the_United_States_and_Europe.

【10】Samuel E. Trosow, Sui Generis Database Legislation: A Critical Analysis, YALE J. OF LAW & TECHNOLOGY 534, 541 (2004-2005).

【11】美國聯邦最高法院表示，「沒有作者可以對其自己的思想或其表述的事實享有著作權。」參見Harper & Row Publishers, Inc. v. Nation Enterprises, 471 U.S. 539, 556 (1985)（其原文為：「No author may copyright his ideas or the facts he narrates」）。這裡所謂的「事實」未必等同「真理」。

【12】《與貿易有關的智慧財產權保護協定》（Agreement on Trade-Related Aspects of Intellectual Property Protection，簡稱《TRIPs協定》）第10條第2款規定：「數據彙編或其他資料，無論機器可讀還是其他形式，只要由於對其內容的選取或編排而構成智力創作，即應作為智力創作加以保護。該保護不得延伸至數據或資料本身，並不得損害存在於數據或資料本身的任何版權。」〔粗體為作者加列以示強調〕（其英文原文為：「Compilations of data or other material, whether in machine readable or other form, which by reason of the selection or arrangement of their contents constitute intellectual creations shall be protected as such. Such protection, which shall not extend to the data or material itself, shall be without prejudice to any copyright subsisting in the data or material itself」[Emphasis added by author of this article]）。

【13】參見Russell Ackoff, From Data to Wisdom, 16 JOURNAL OF APPLIED SYSTEMS ANALYSIS 3 (1989)。按，這個模式當中的各個元素，最早可上溯到1934年英國文學與劇作家T. S. 艾略特（Thomas Stearns Eliot OM）在其1934年的作品《磐石》（The Rock）當中的一段台詞，後來由信息管理領域的學者繼受並予以潤飾，包括華裔的人文地理學者段義孚教授。所以Ackoff教授絕非這個系統概念首創者，但的確是首次將所有的概念予以層級、模式化並以金字塔的方式呈現，極大地幫助和影響了相關的研究。後來的學者又對此有不同的修飾增補，但皆屬於對上端層級的補充或細化，對於數據與信息的關係則未做任何調整。相關的詳細介紹可參見Anthony Figueroa, Data Demystified — DIKW Model, TOWARDS DATA SCIENCE, May 24, 2019, available at https://towardsdatascience.com/rootstrap-dikw-model-32cef9ae6dfb。

【14】固然《民法典》第123條第2款第（5）項把商業秘密列為智慧財產權保護的「權利」之一，這明顯是個錯誤。因為商業秘密既無明確的範圍可以界定（事實上隨時可能會產生變化，例如客戶名單、商業運營信息、對製作產品的配方內涵等等），而且只要符合法定的要求（如持續保持秘密的狀態沒有成為公知信息或失去商業價值），也沒有時間上的限制（也就是無固定的保護期間，理論上可以永續），皆與法定賦權必須以確定的期限保護和具有相對確定或可界定範圍的基本前提不符，尤其不能作為行使排他的基礎。反之，也正因為如此才容許他人可以用合法的反向工程手段來破解商業秘密。至於諸如客戶名單與特定的配方等其本身也正是對特定事實的反應或呈現，尤其無法成為權利保護的客體。

【15】Feist Publications, Inc. v. Rural Telephone Service Co., Inc., 499 U.S. 340 (1991).

【16】同上注，第353頁。

【17】同上注，第349頁（其原文為：「[C]opyright in a factual compilation is thin. Notwithstanding a valid copyright, a subsequent compiler remains free to use the facts contained in another’s publication to aid in preparing a competing work, so long as the competing work does not feature the same selection and arrangement」）。

【18】關於後續案件的詳細討論，可參見美國版權局在1997年出版的專題研究報告。U.S. COPYRIGHT OFFICE, REPORT ON LEGAL PROTECTION FOR DATABASES (August 1997), at 10, available at https://www.copyright.gov/reports/db4.pdf；再後續的立法及司法發展與分析可參見Mark Davison, Database Protection: Lessons from Europe, Congress, and WIPO, 57 CASE WESTERN RESERVE L. R. 829 (2007)；Marshall Leaffer, Database Protection in the United States is Alive and Well: Comments on Davison, 57 CASE WESTERN RESERVE L. R. 855 (2007)。

【19】Warren Publishing, Inc. v. Microdos Data Corporation, 115 F.3d 1509 (11th Cir. 1997); American Dental Association v. Delta Dental Plans Association, 126 F.3d 977 (7th Cir. 1997).

【20】NATIONAL RESEARCH COUNCIL COMMITTEE FOR A STUDY ON PROMOTING ACCESS TO SCIENTIFIC AND TECHNICAL DATA FOR THE PUBLIC INTEREST, A QUESTION OF BALANCE: PRIVATE RIGHTS AND THE PUBLIC INTEREST IN SCIENTIFIC AND TECHNICAL DATABASES (1999), at 34, available at https://www.nap.edu/download/9692.

【21】同上注，第41頁（原賓州大學生物信息中心主任G. Christian Overton教授的評論）。

【22】參見《歐盟資料庫指令》，前言（7），同前注8。資料庫的建立和維持需要巨大的投入，卻可任由他人在其電腦上彈指之間便被任意取用，顯然造成不公，因此成為歐盟主要的立法動機。

【23】同前注8。

【24】美國國會自1996年首次出現了關於保護資料庫的立法草案，但是遭到了科學研究與教育機構相當強烈的反對（尤其是國家科學研究委員會），認為這會對各種研究、交流增加許多無謂的障礙，導致對科技創新產生反效果。參見H.R. 3531, 「Database Investment and Intellectual Property Antipiracy Act of 1996」, 104th Cong., 2nd Sess. (1996)。之後的歷屆國會不時有議員提出不同版本的立法草案，但最終都未能獲得通過。至於合憲性的爭議，《聯邦憲法》第一條第八款第八項規定（即通稱的《專利暨著作權條款》（Patent and Copyright Clause））只明文授權國會制訂專利法和著作權法，並經聯邦最高法院在19世紀判決的《商標案》判決確認無法擴及到其他的領域，因此宣告當時的商標法違憲。參見Trademark Cases, 100 U.S. 82 (1879)。這也迫使國會必須另闢蹊徑，改以《聯邦憲法》第一條第八款第三項（即通稱的《州際商務條款》（Interstate Commerce Clause））作為後來制訂商標法的法源依據。如國會想以此作為對資料庫特別立法的依據，固然在表面上不失為一個好的策略，但只要其實質內容與著作權相仿（多個立法草案顯然正是如此），就很有可能會遭到法院的質疑，認為無非是想「暗渡陳倉」，超越了《專利暨著作權條款》容許的範疇，對於根本不該受到著作權保護的「事實」或多個「事實」的匯集變相賦予一個「異化」的著作權。

【25】柯林頓政府當時的策略顯然是打算同時在美國國內和國際組織當中推動其「數字議程」（Digital Agenda），來補強《TRIPs協定》未能涵蓋的部分，而且希望能藉助當時國際整合高漲的勢頭，相互為用，彼此拉抬，互做對方的槓桿。無論何者率先通過，都可以分別對國際社會和美國國會形成巨大的壓力，產生必須搭上這一波國際保護列車的急迫感。關於整個歷史過程的詳細介紹與分析，參見Pamela Samuelson, The U.S. Digital Agenda at WIPO (WIPO Panel Principal Paper), 37 Va. J. Int』l L. 369 (1996-1997)。

【26】關於美國政府的提議，參見Proposal of the United States of America on Sui Generis Protection of Databases, WIPO Doc. BCP/CE/VII/2 – INR/VI/2 (May 20, 1996)。相關的具體條款（草案），參見Chairman of the Committees of Experts on a Possible Protocol to the Berne Convention and on a Possible Instrument for the Protection of the Rights of Performers and Producers of Phonograms, Basic Proposal for the Substantive Provisions of the Treaty on Intellectual Property in Respect of Databases to be Considered by the Diplomatic Conference, WIPO Diplomatic Conference on Certain Copyright and Neighboring Rights Questions, WIPO Doc. CRNR/DC/6 (August 30, 1996), available at https://www.wipo.int/meetings/en/doc_details.jsp?doc_id=2487。

【27】WIPO, Protection of Non-Original Databases, available at https://www.wipo.int/copyright/en/activities/databases.html.

【28】關於《歐盟資料庫指令》的制訂過程與詳細分析，參見Davison, 同前注18。

【29】以美國國會在1997年的立法草案為例，無非就是把既有的司法判例予以成文化，尤其是聯邦第二巡迴上訴法院在《國家籃球協會訴摩托羅拉公司》案判決的影響。參見H.R. 2652, 「Collections of Information Antipiracy Act」, 105th Cong., 2nd Sess. (1997); National Basketball Association v. Motorola, 105 F.3d 841 (2d Cir. 1997)。關於美國歷屆國會的立法草案，參見Trosow，同前注10。

【30】Fixtures Marketing Ltd v. Oy Veikkaus AB, [2005] ECDR 2, [44] (ECJ)(C-46/02, 9 November 2004), Fixtures Marketing Ltd v. Svenska Spel AB (C-338/02, 9 November 2004); British Horseracing Board Ltd v. William Hill, [2005] E.C.R. 1, [80](ECJ 2004) (C-203/02, 9 November 2004); Fixtures Marketing Ltd v. OPAP (C-444/02, 9 November 2004).

【31】European Commission, First Evaluation of Directive 96/9/EC on the Legal Protection of Databases, DG OF INTERNAL MARKET AND SERVICES WORKING PAPER (12 December 2005).

【32】同上注，第24頁。這個調研是聚焦於三個問題：（1）在「特殊權利」保護出台生效後，歐盟的資料庫產業的成長率是否有所增長？（2）此一「特殊權利」的受益人是否因為受到此一保障的激勵而開發出更多的資料庫？（3）指令所提供的權利保護範圍是否能針對歐盟鼓勵創新的需求？

【33】同上注，第6頁。

【34】參見Davison, 同前注18，第843頁。

【35】Groupe Moniteur v. Observatoire des Marches Publics, Cour d』appel Paris (4e ch. B), 18 June 1999, [2000] RIDA n. 183, p. 316; ESTELLE DERCLAYE, THE LEGAL PROTECTION OF DATABASES: A COMPARATIVE ANALYSIS (2007), at 81.

【36】British Horseracing Board Ltd v. William Hill, [2001] EWHC 517, RPC 612.

【37】European Commission, Evaluation of Directive 96/9/EC on Legal Protection of Databases, COMMISSION STAFF WORKING DOCUMENT, SWD(2018) 146 final (25 April 2018).

【38】同上注，第46~47頁。

【39】Directive (EU) 2019/790 of the European Parliament and of the Council of 17 April 2019 on Copyright and Related Rights in the Digital Single Market and amending Directives 96/9/EC and 2001/29/EC, [2019] O.J. L 130/92.

【40】參見ProCD, Inc. v. Zeidenberg, 86 F.3d 1447 (7th Cir. 1996)。因為合同是否有效是依據各州州法（或普通法）管轄，著作權則完全是聯邦立法和司法管轄的事項，當兩者發生競合時，一般是由聯邦法規完全「先占」或取代州法的規制。這個判決出台後遭到了學界相當大的批判，認為形同開了一扇後門，讓不具獨創性的資料庫所有人可以變相去除著作權法對於獨創性的要求；另外則是這個判決形同變相默認了不具獨創性的資料庫所有人對那些純粹只是反應事實的數據竟然還可以享有所有權。雖然這個判決迭遭批判，卻沒有減損對後來司法實踐趨勢的影響。參見Leaffer，同前注18，第858頁。

【41】成立於1892年，是一個非官方的非營利組織。其全名是「統一州法委員全國會議」（National Conference of Commissioners on Uniform States Laws）。這個機構極具影響力，所推動的法律整合項目當中最知名的當屬《統一商法典》（Uniform Commercial Code）。

【42】本法適用到所有不及於完整權益移轉的電子交易（即不適用於買賣），但明文排除適用包括金融、保險、電影、廣播、錄音和新聞媒體等產業的計算機信息（數據）交易。參見UCITA, § 103(d)。

【43】法律統一委員會在1990年代初期在美國律師協會（American Bar Association，簡稱ABA）的支持下開始醞釀對《統一商法典》進行修改，增列關於計算機軟體或其他電子數據的許可合同的規制。到了1995年終於組建完成了一個起草委員會，並獲得了另一個極具影響力和權威性的組織—美國法律研究院（American Law Institute，簡稱ALI）—的支持和參與。原本計劃在《統一商法典》第二編：產品銷售（Article 2: Sale of Goods）之後再增列一個「第二編之二」（Article 2B），但是由於其中有太多極具爭議性的問題和規定，委員會內部成員都難以達成共識，結果ALI方面在1999年極不尋常地宣布退出，也連帶威脅到整個努力都可能胎死腹中（作為對《統一商法典》的修正，必須先得到ABA和ALI的支持通過才能推薦給各州的州議會）。為了挽救，法律統一委員會便將整個草案抽出，作為一個單行的「模範法規」並命名為《統一計算機信息交易法》。

【44】不過愛荷華（Iowa）、北卡羅來納（North Carolina）、佛蒙特（Vermont）、和西維吉尼亞（West Virginia）等四個州也隨即通過了所謂的「防空洞條款」（bomb shelter provisions），保護其州內居民不受此種準據法選擇的影響。面對這些發展和來自ABA與ALI的批評，法律統一委員會在2002年對《統一計算機信息交易法》做了相當幅度的修改。

【45】UCITA, § 106(a).

【46】UCITA, § 105(a).

【47】Ryanair Ltd v. PR Aviation BV (C-30/14, 15 January 2015).

【48】同前注37，第34頁。其原文為：「Contracts play a primordial role in protecting the investment in databases. Their importance is only matched by technological protection measures according to database makers. Unfair competition law seems to have considerably less importance」。

【49】基於各種原因，包括新冠病毒疫情的影響，截至原訂的截止期限為只還沒有任何會員國正式完成國內的立法修正。目前只有捷克、法國與匈牙利等三國已自行設定以2021年7月6日作為完成轉化立法的截止期限。

【50】例如，News Sources Used in European Countries in 2020, STATISTA, available at https://www.statista.com/statistics/422687/news-sources-in-european-countries/；Katerina Eva Matsa, Most Western Europeans Prefer TV News While Use of Print Outlets Lags, PEW RESEARCH, September 27, 2018, available at https://www.pewresearch.org/fact-tank/2018/09/27/most-western-europeans-prefer-tv-news-while-use-of-print-outlets-lags/。

【51】Diana Passinke, An Analysis of Articles 15 and 17 of the EU Directive on Copyright in the Digital Single Market: A boost for the Creative Industries or the Death of the Internet?, Stanford-Vienna Transatlantic Technology Law Forum, European Union Law Working Papers No. 49, available at https://law.stanford.edu/publications/no-49-an-analysis-of-articles-15-and-17-of-the-eu-directive-on-copyright-in-the-digital-single-market-a-boost-for-the-creative-industries-or-the-death-of-the-internet/.

【52】Matthew Karnitschnig, Laura Kayali, Google’s Last Stand on Copyright, Politico, December 12, 2018, available at https://www.politico.eu/article/google-last-stand-copyright-rules-silicon-valley-eu-fight/ (Statement and quote of Richard Gingras, Vice President for News, Google, Inc.).

【53】European Commission, Staff Working Document: Impact Assessment on the Modernisation of EU Copyright Rules, accompanying the document Proposal for a Directive of the European Parliament and of the Council on Copyright in the Digital Single Market and Proposal for a Regulation of the European Parliament and of the Council laying down Rules on the Exercise of Copyright and Related Rights applicable to Certain Online Transmissions of Broadcasting Organisations and Retransmissions of Television and Radio Programmes, SWD(2016) 301 final, Vol. 1, 155 (14 September 2016), available at https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=17211.

【54】Stavroula Karapapa, The Press Publication Right in the European Union: An Overreaching Proposal and the Future of News Online, contained in Enrico Bonadio and Nicola Lucchi (eds), Non-Conventional Copyright: Do New and Non-Traditional Works Deserve Protection? (Edward Elgar 2018), at 20-21。

【55】Décision n° 20-MC-01 du 9 avril 2020 relative à des demandes de mesures conservatoires présentées par le Syndicat des éditeurs de la presse magazine, l'Alliance de la presse d'information générale e.a. et l』Agence France-Presse, https://www.autoritedelaconcurrence.fr/sites/default/files/integral_texts/2020-04/20mc01.pdf.

【56】這是作為對澳大利亞《2010年競爭暨消費者法》（Competition and Consumer Act 2010）對於數字平台等部分的增補修正。參見Parliament of Australia, Treasury Laws Amendment (News Media and Digital Platforms Mandatory Bargaining Code) Bill 2021, available at https://www.aph.gov.au/Parliamentary_Business/Bills_Legislation/Bills_Search_Results/Result?bId=r6652。

【57】同上注，Division 7 — Arbitration and Remuneration Issue。

【58】Sara Morrison, Why Facebook Banned (and Then Unbanned) News in Australia, Vox/Recode, February 25, 2021, available at https://www.vox.com/recode/22287971/australia-facebook-news-ban-google-money.

【59】Parliament of Australia (Senate), Treasury Laws Amendment (News Media and Digital Platforms Mandatory Bargaining Code) Bill 2021, Revised Explanatory Memorandum, at 10-14.

【60】參見Rod McGuirk (Associated Press), In Australia, Google Makes Publisher Deals, Facebook Walks, ABC News, February 17, 2021, available at https://abcnews.go.com/Business/wireStory/australia-google-makes-publisher-deals-facebook-walks-75954101。谷歌更在其官網上發表了一封由該公司在澳大利亞的負責人（管理總監）具名簽署的公開信，表達對澳大利亞媒體的支持和依據這個新法進行協商的最新狀況。參見Mel Silva (Managing Director, Google Australia), Supporting Australian Journalism: A Constructive Path Forward: An update on the News Media Bargaining Code, available at https://about.google/google-in-australia/an-open-letter/。

【61】例如The New Daily、The Mandarin、Crikey以及Country Press Association等規模較小的新聞媒體或協會組織變對這項立法採取了相當保留的態度。參見Parliament of Australia, Treasury Laws Amendment (News Media and Digital Platforms Mandatory Bargaining Code) Bill 2020 Bills Digest No. 48 (15 February 2021), at 41 (Statement of Eric Beeche, Chairman of Private Media and Solstice Media), available at https://www.aph.gov.au/Parliamentary_Business/Bills_Legislation/bd/bd2021a/21bd048。

【62】Rod McGuirk and Kelvin Chan, Australian Media Law Raises Questions about 「Pay For Clicks」, Associated Press, February 18, 2021, available at https://apnews.com/article/business-europe-australia-media-journalism-771b10a4efd00d47a703655708f45e57.

【63】James Griffin, The Human Right to Privacy, 44 San Diego L. R. 697, 698 (2007).

【64】OECD, Recommendation of the Council Concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data (23 September 1980), C(80)58/FINAL, available at https://www.oecd.org/digital/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm, as amended on 11 July 2013 by C(2013)79, available at https://www.oecd.org/sti/ieconomy/2013-oecd-privacy-guidelines.pdf.

【65】Barry Sookman, Sharing Information and Targeting Customers, Presentation at the 1999 Advertising Forum, https://marcomm.mccarthy.ca/pubs/share.htm.

【66】Graham Greenleaf, Global Data Privacy Laws 2017: 120 National Data Privacy Laws, Including Indonesia and Turkey, 145 Privacy Laws & Business International Report 10 (2017), available at https://papers.ssrn.com/sol3/Delivery.cfm/SSRN_ID3000244_code722134.pdf?abstractid=2993035&mirid=1.

【67】Samuel Warren and Louis Brandeis, The Right to Privacy, 4 Harvard L.R. 193 (1890)（據學者考證，雖然列為第二作者，這篇論文主要就是出自布蘭代斯之手，其中的概念後來也反應到了他撰寫的相關判決書之中）。

【68】其原文為：「That the individual shall have full protection in person and in property is a principle as old as the common law; but it has been found necessary from time to time to define anew the exact nature and extent of such protection… Gradually the scope of these legal rights broadened; and now the right to life has come to mean the right to enjoy life, — the right to be let alone….」

【69】例如，僅在2020年，已知至少有20個美國聯邦政府機構、北大西洋公約組織、以及包括微軟公司在內的上千家企業因為黑客成功滲透到一個名為「太陽風」（SolarWinds）的雲計算系統而導致大規模的數據信息外泄。迄今無法統計經濟與非經濟性的損失。參見Isabella Jibilian and Katie Canales, The US Is Readying Sanctions against Russia over the SolarWinds Cyber Attack. Here’s A Simple Explanation of How the Massive Hack Happened and Why It’s Such A Big Deal, Business Insider, April 15, 2021, available at https://www.businessinsider.com/solarwinds-hack-explained-government-agencies-cyber-security-2020-12。

【70】Dan Swinhoe, The 15 Biggest Data Breaches of the 21st Century, CSO (affiliate of International Data Group (IDG) Communications), January 8, 2021, available at https://www.csoonline.com/article/2130877/the-biggest-data-breaches-of-the-21st-century.html.

【71】《聯邦憲法》第三修正條款禁止軍隊在任何時期（尤其是戰爭期間）在未經屋主同意的情況下強占民宅；第四修正條款旨在禁止無正當理由的搜索和扣押，要求搜查和扣押狀的簽發必須有相當理由的支持並經過正當法律程序（due process of law）；第五修正條款明訂任何人不得因同一犯罪行為而兩次遭受生命或身體的危害、不得在任何刑事案件中被迫自證其罪、不經正當法律程序，不得被剝奪生命、自由或財產、不給予公平賠償，私有財產不得充作公用。以上皆是立憲之初附加在憲法本文之後的《民權條款》（Bill of Rights）的一部份。第十四修正條款第一款則是延伸適用到各州的《平等保護條款》（Equal Protection Clause），規定「任何州都不得制定或實施限制合眾國公民的特權或豁免權的法律；不經正當法律程序，不得剝奪任何人的生命、自由或財產；在州管轄範圍內，也不得拒絕給予任何人以平等法律保護。」

【72】Katz v. United States, 389 U.S. 347 (1967)（聯邦最高法院在本案把個人可以排除政府（如警察等執法人員或機構）從事不當搜索與扣押的隱私保護範圍擴大到包括「任何人尋求作為保留屬於其私人的範疇，即使是公眾可以出入的區域」）。

【73】例如，美國聯邦最高法院在Whalen v. Roe, 429 U.S. 589 (1977)案首次宣示憲法所保障的隱私權事實上涵蓋了兩種不同的法益，一是避免揭露其個人事務的個別利益，另一則是對某些類型的事務獨立做出重要決定的利益（後者是涉及與其身體具有親密關係的是務，如是否墮胎等）。即使如此，在該案與後續的案件，法院卻一再判決政府部門被指控侵害當事人隱私的項目勝訴。甚至在一個判決中還暗示根本不存在由憲法所附與的信息隱私權。參見National Aeronautics and Space Administration (NASA) v. Nelson, 562 U.S. 134 (2011)。

【74】National Collegiate Athletic Association (NCAA) v. Tarkanian, 488 U.S. 179, 191 (1988).

【75】Daniel Solove and Woodrow Hartzog, The FTC and the New Common Law of Privacy, 114 Columbia L. Rev. 583, 587 (2014).

【76】Pub L. 93-579, 88 Stat. 1896 (1974), codified at 5 U.S.C. § 552a (2018, Supp. I)。這個立法的提案人，時任參議院司法委員會主席、北卡羅來納州的民主黨籍參議員山謬‧厄爾文（Samuel J. Ervin Jr.）表示，「如果我們從過去一年的水門事件當中學習到了任何事情，那就是政府對每個公民所能知悉的必須設限。」參見Senate Committee on Government Operations & House of Representatives on Government Operations, 94th Cong., Legislative History of the Privacy Act of 1974 S. 3418 (Public Law 93-579): Source Book on Privacy, at 4 (Comm. Print 1976), available at https://www.justice.gov/opcl/paoverview_sourcebook.

【77】As Title III of E-Government Act of 2002, Pub.L. 107-347, 116 Stat. 2899, 2946 (2002); amended by The Federal Information Security Modernization Act of 2014, Pub.L. 113-283, 128 Stat. 3073 (2014), codified at 44 U.S.C. Ch. 1 and 35 (2018, Supp. I).

【78】Pub. L. 106–102, 113 Stat. 1138 (1999), codified at 15 U.S.C. §§ 6801–6809 (2018, Supp. I).

【79】Pub. L. 104–191, 110 Stat. 1936 (1996).

【80】45 C.F.R. Parts 160, 162 and 164 (2020).

【81】Pub. L. 91–508, 84 Stat. 1114, 1127 (1996), codified at 15 U.S.C. § 1681 et seq. (2018, Supp. I).

【82】Pub. L. 104–104, 110 Stat. 56 (1996), codified at 47 U.S.C. Ch. 5 (2018, Supp. I).

【83】47 U.S.C. § 222 (2018, Supp. I)（除此之外，有線操作者和衛星承載者還要承擔比一般承載者更多的義務，參見47 U.S.C. §§ 338(i)(3)–(4), 551(b)–(c) (2018, Supp. I)）。

【84】Protecting the Privacy of Customers of Broadband and Other Telecommunications Services, 81 Fed. Reg. 87274 (2016).

【85】Senate Joint Resolution 34, 115th Cong. (2017)（共和黨（當時參議院的多數政黨）方面認為這個定義和加諸於提供通信服務廠家的義務已經對受規制對象的言論自由構成了不當的限制）。另參見Congressional Review Act, as Subtitle E of Contract with America Advancement Act of 1996, Pub. L. 104-121, 110 Stat. 847, 868 (1996), codified at 5 U.S.C. Ch. 8 (2018, Supp. I)。

【86】47 U.S.C. §§ 501–503 (2018, Supp. I).

【87】Pub. L. 100-618, 102 Stat. 3195 (1988), codified at 18 U.S.C. § 2710 (2018, Supp. I).

【88】§ 513 (adding § 438 to the General Education Provisions Act), Pub. L. 93-380, 88 Stat. 484, 571 (1974), codified at 20 U.S.C. § 1232g (2018, Supp. I).

【89】Gonzaga University v. Doe, 536 U.S. 273 (2002).

【90】15 U.S.C. §§ 78a–78qq (2018, Supp. I).

【91】Security Exchange Commission, SEC Release No. 34-84429, Report of Investigation Pursuant to 21(A) of the Securities and Exchange Act of 1934 Regarding Certain Cyber-Related Frauds Perpetrated against Public Companies and Related Internal Accounting Controls Requirements (Oct. 16, 2018), https://www.sec.gov/litigation/investreport/34-84429.pdf.

【92】Pub. L. 105-277, 112 Stat. 2681 (1998), codified at 15 U.S.C. §§ 6501–6506 (2018, Supp. I).

【93】Pub. L. 99-508, 100 Stat. 1848 (1986), as amended most recently by Foreign Intelligence Surveillance Act of 1978 (FISA) Amendments Act of 2008, Pub. L. 110-261, 122 Stat. 2436 (2008), codified at 50 U.S.C. ch. 36.

【94】Solove and Hartzog，同前注75，第592頁。此外，如《竊聽法》容許所謂的「通信當事人」（party-to-the-communication）與「同意」（consent）例外，法院往往認為網站或第三方廣告商對使用者線上活動從事的追蹤便落入了這兩種例外，因此不構成對使用者的「監聽」與「竊取」。參見《谷歌公司涉嫌侵害消費者隱私訴訟》案，In re Google Inc. Cookie Placement Consumer Privacy Litigation, 806 F.3d 125 (3rd Cir. 2015)。

【95】Pub. L. 99-474, 100 Stat. 1213 (1986), as amended most recently by Identity Theft Enforcement and Restitution Act of 2008 (ITERA), Pub. L. No. 108-275, Title II, 122 Stat. 356 (2008), codified at 18 U.S.C. § 1030 (2018, Supp. I).

【96】LVRC Holdings LLC v. Brekka, 581 F.3d 1127 (9th Cir. 2009).

【97】18 U.S.C. §§ 1030(c)(4)(A)(g), (i);《谷歌公司涉嫌侵害消費者隱私訴訟》案，同前注94。

【98】Van Buren v. United States, 593 U.S. __ (2021).

【99】Pub. L. 63-203, 38 Stat. 717 (1914), as amended most recently by Undertaking Spam, Spyware, and Fraud Enforcement with Enforcers beyond Borders (US SAFE WEB) Act of 2006, Pub. L. 109-455, 120 Stat. 3372 (2006), codified at 15 U.S.C. §§ 41-58.

【100】Federal Trade Commission Act Amendments of 1938 (a/k/a Wheeler-Lea Act), Pub. L. 75-447, 52 Stat. 11 (1938).

【101】LabMD, Inc. v. Federal Trade Commission, 894 F.3d 1221 (11th Cir. 2018).

【102】Solove and Hartzog，同前注75，第628頁。

【103】In the Matter of Sears Holdings Management, Decision and Order, Docket No. C-4264 (August 31, 2009), available at https://www.ftc.gov/sites/default/files/documents/cases/2009/09/090604searsdo.pdf。

【104】必須提及，聯邦貿易委員會在2018年2月27日同意了本案被告的申請，決定重新審查並修改2009年的命令當中對於「追蹤應用程式」（Tracking Application）的定義，明確排除消費者所預期的信息追蹤部分。這是基於情勢變更的考慮，因為經過近10年的演進發展，當前適用於移動裝置的應用軟體幾乎無一不包含某種信息追蹤的功能（尤其是具有互動性質的應用程式），這已經成為一般消費者所知悉並具有合理預期的一種常態，也就讓原命令中要求必須事先給予使用者醒目顯著的通知不再必要。參見Order Reopening and Modifying Order, In the Matter of Sears Holdings Management, Docket No. C-4264 (February 27, 2018), available at https://www.ftc.gov/system/files/documents/cases/c4264searsordergrantingpetition.pdf；Federal Trade Commission, Protecting Consumer Privacy in an Era of Rapid Change, at 36 (March 2012), available at https://www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-report-protecting-consumer-privacy-era-rapid-change-recommendations/120326privacy report.pdf。

【105】Complaint Count 3, ¶ 29, In the Matter of Facebook, FTC File No. 0923184 (FTC November 9, 2011), available at https://www.ftc.gov/sites/default/files/documents/cases/2011/11/111129facebookcmpt.pdf; Agreement Containing Consent Order, Part II (November 29, 2011), available at https://www.ftc.gov/sites/default/files/documents/cases/2011/11/111129facebookagree.pdf.

【106】Stipulated Final Order for Permanent Injunction, Federal Trade Commission v. Frostwire LLC, Case No. 11-23643-CV-GRAHAM (S.D. Fla October 12, 2011), available at https://www.ftc.gov/sites/default/files/documents/cases/2011/10/111012frostwirestip.pdf.

【107】Complaint at 8 , United States v. Rental Research Services, Inc., No. 0:09-cv-00524-PJS-JJK (D. Minn. March 5, 2009), available at https://www.ftc.gov/sites/default/files/documents/cases/2009/03/090305rrscmpt.pdf.

【108】LabMD, Inc. v. Federal Trade Commission, 同前注101。聯邦貿易委員的行政執法途徑有二，一是透過該委員會內部的行政訴訟機制起訴，由一名行政法官（administrative law judge）獨立審判，如判決委員會勝訴，即可能簽髮禁制令（往往是具有一定急迫性的案件）；另一是向法院起訴尋求民事損害賠償或禁令、強迫返還（disgorgement）與民事懲罰（civil penalty）等其他救濟（行政部門內部的准司法訴訟程序無權處置他人的財產）。請求民事處罰是以被指控人違反了禁制令、「同意令」（consent decree）或「貿易規定法則」（TRRs）。絕大多數的案件是雙方達成和解，此時委員會就會依據和解的具體內容簽發一個同意令作為未來監管執行被指控人的依據。參見FTC, A Brief Overview of the Federal Trade Commission's Investigative, Law Enforcement, and Rulemaking Authority (revised October 2019), available at https://www.ftc.gov/about-ftc/what-we-do/enforcement-authority。

【109】Dodd-Frank Wall Street Reform and Consumer Protection Act, Pub. L. 111-203, 124 Stat. 1376 (2010), Titles X, codified in relevant part at 12 U.S.C. § 5301, §§ 5481-5603, and in laws amended (Title X); and 12 U.S.C. § 5481 note, 15 U.S.C. § 1601 note, § 1602, and § 1631 et seq. (Title XIV).

【110】12 U.S.C. § 5531(a) (2018, Supp. I).

【111】12 U.S.C. § 5481(15) (2018, Supp. I).

【112】Joanathan G. Cedarbaum, The Consumer Financial Protection Bureau as a Privacy & Data Security Regulator, 17 Fintech L. Rept. 1 (2014).

【113】Consent Order, In the Matter of Dwolla, Inc., File No. 2016-CFPB-0007 (February 27, 2016), available at https://files.consumerfinance.gov/f/201603_cfpb_consent-order-dwolla-inc.pdf.

【114】John Contrubis, Executive Orders and Proclamations, Congress Research Service for Congress (Updated March 9, 1999), at 2.

【115】例如，5 U.S.C. § 3302 （對聯邦政府的人事調配），8 U.S.C. § 1185 （對本國公民與外國人士的旅遊管制）……等等。

【116】例如，Ex parte Merryman, 17 F. Cas. 144 (C.C.D. Md. 1861) (No. 9487)；Youngstown Sheet & Tube Co. v. Sawyer, 343 U.S. 579 (1952)(通稱「鋼鐵徵收案」；法院的表述原文是：「The President's power, if any, to issue the order must stem either from an act of Congress or from the Constitution itself」)。

【117】這是因為聯邦最高法院認為總統行政命令的制訂，本身不受聯邦《行政程序法》的約束，而且可以直接推翻或修改聯邦政府各個部門制訂的既有行政規定。但此一行政權力依然不能逾越法律的授權範圍或牴觸憲法。參見Franklin v. State of Massachusetts, 505 U.S. 788 (1992)。

【118】Executive Order 10290, Prescribing Regulations Establishing Minimum Standards for the Classification, Transmission and Handling of Official Information Which Requires Safeguarding in the Interest of Security, 16 Fed. Reg. 188 (1951).

【119】美國在1917年「一戰」方酣之際通過了《對敵貿易法》（Trading with the Enemy Act），授予總統在戰時或宣布國家進入緊急狀態時享有極大的權限，而且一旦作此宣布，也沒有任何期間的限制。結果發生了羅斯福總統1933年因為處理經濟大蕭條對金融事業宣布的「緊急狀態」經過了40幾年，情況早已不同卻還沒有解除。此外，杜魯門總統在韓戰時期為了確保武器等戰略物資的製造不受當時鋼鐵工人罷工的影響，就援引了這個法律想直接以行政手段強制接管鋼鐵工廠，不料卻引發了一場影響深遠的法律訴訟，即上引的「鋼鐵徵收案」，結果聯邦最高法院判決總統行政命令違憲。由於這個法律的施行一直以來產生了不少問題，而且時不時會造成行政、立法和司法三個部門之間的緊張關係，美國國會在1977年年底通過了對此法的修正，以澄清和限制總統的緊急處置權力只及於來自對應境外的威脅而且應有期間限制（原則上不超過兩年，但可以例外的延續）。其中的第二部分稱為《國際緊急經濟權力法》（International Emergency Economic Powers Act, Pub. L. 95-223, 91 Stat. 1626 (1977)，簡稱IEEPA，列於《美國法典彙編》第50編第1701至1707條（codified at 50 U.S.C. §§ 1701-07））。2001年的「9‧11」恐怖攻擊事件讓情況發生了變化。國會在通過《美國愛國者法》（USA PATRIOT Act）時，反而擴大了總統可以依據IEEPA阻撓任何敵對的外國政府或境外組織的資產在美國境內的流通，而且只要還在調查期間就可以執行，不需要等待調查結束，也不需要提供任何的證據。

【120】參見Executive Order 13942, Addressing the Threat Posed by TikTok, and Taking Additional Steps to Address the National Emergency with Respect to the Information and Communications Technology and Services Supply Chain, 85 Fed. Reg. 48637 (2020); Executive Order 13943, Addressing the Threat Posed by WeChat, and Taking Additional Steps to Address the National Emergency with Respect to the Information and Communications Technology and Services Supply Chain, 85 Fed. Reg. 48641 (2020); and Executive Order 13971, Addressing the Threat Posed by Applications and Other Software Developed or Controlled by Chinese Companies, 86 Fed. Reg. 1249 (2021)。

【121】Order and Memorandum Opinion, TikTok, Inc. v. Trump, Case No. 1:20-cv-2658 (CJN)(D.D.C. November 7, 2020); Opinion, Marland v. Trump, Case No. 20-4597 (E.D. Pa October 30, 2020); U.S. WeChat Users Alliance v. Trump, 488 F.Supp.3d 912 (N.D. Cal. 2020).

【122】Order, U.S. WeChat Users Alliance v. Trump, Case No. 20-16908 (9th Cir. October 26, 2020).

【123】Executive Order 14028, Improving the Nation’s Cybersecurity, 86 Fed. Reg. 26633 (2021)。這是拜登政府在全美最大的油管運輸廠家殖民管線公司（Colonial Pipeline Co.）於當地時間2021年5月7日遭到勒索軟體的攻擊，導致整個美國東、南半部的17個州與首都哥倫比亞特區的汽油供給遭到癱瘓將近一周，並支付了75單位的比特幣（Bitcoins，或440萬美元）贖金的嚴重事故後所採取的對應行動，也把對網絡安全的管轄擴大到了所有的政府合同承攬人。

【124】Executive Order 14034, Protecting Americans』 Sensitive Data From Foreign Adversaries, 86 Fed. Reg. 31423 (2021).

【125】Henry N. Butler and Joshua D. Wright, Are State Consumer Protection Acts Really Little-FTC Acts?, 63 Fla. L. Rev. 163 (2011).

【126】參見2018 Cal. Legis. Serv. Ch. 55 (A.B. 375), as amended and codified as Title 1.81.5 [§§ 1798.100 - 1798.199.100] of the California Civil Code, available at https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5。這個新法和之前的《加州消費者隱私法》都是由加州的一位地產開發商Alastair Mactaggart領頭主導。不過這次的《加州隱私權法》是透過全州公民創製投票，完全繞過了州議會的審議表決程序，結果獲得了56.1%的選民支持通過。一旦通過便立即、直接成為法律。由於美國與網際網路關係密切的高科技產業幾乎都聚集在北加州的舊金山灣區（也就是通稱的「矽谷地區」（Silicon Valley），無論是總部或主要的運營、決策所在地），這個法律自然會直接對這些企業的運營政策和方式產生直接的衝擊。此外，由於這個法律適用到任何涉及向加州居民的信息搜集與存取，因此即使是加州以外地區或國家的使用者也會直接或間接受到一定程度的影響，也就是說它在事實上已經產生了對美國各地乃至國際性的影響力。

【127】同上注，參見各條文之後的注釋說明。

【128】CPRA, Section 14 (adding Cal. Civ. Code § 1798.140(ae)).

【129】CPRA, Section 21 (adding Cal. Civ. Code § 1798.185(a)(19)(A)).

【130】CPRA, Section 21 (adding Cal. Civ. Code § 1798.185(a)(14)).

【131】Cal. Bus. & Prof. Code §§ 22575 et seq.

【132】CPRA, Section 9 (adding Cal. Civ. Code § 1798.120(c)).

【133】「特徵剖析」的定義是指「以任何自動化處理個人信息的形式……來評價關於一個自然人的某些個人特徵，尤其是關於該自然人的工作表現、經濟狀況、健康、個人喜好、興趣、可靠性、行為、所在位置或動態的分析或預測」。參見CPRA, Section 14 (adding Cal. Civ. Code § 1798.140(z))（其原文為：「『Profiling』 means any form of automated processing of personal Information, … to evaluate certain personal aspects relating to a natural person, and in particular to analyze or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behavior, location or movements」）。

【134】CPRA, Section 21 (adding Cal. Civ. Code § 1798.185(a)(16))。

【135】CPRA, Section 14 (adding Cal. Civ. Code § 1798.140(h)).

【136】同上注。所謂的「黑暗模式」或「網際網路陷阱」是泛指一切具有誤導性的行銷操作。一個典型的例子是，當消費者利用網絡從事旅遊的安排時，在不經意的情況下就買了保險或是支付了額外的「服務」費用。又如，在購買高鐵車票時，雖然事實上還有相當多的空位，相關的網絡平台服務提供者卻使用諸如「座位將滿，點選XX金卡服務助您優先搶到座位」等等宣傳手法讓消費者產生如不趕快同意購買，就將失去機會的錯覺，從而願意支付各種額外的「會費」。

【137】CPRA, Section 15 (amending Cal. Civ. Code § 1798.145(a)(2)).

【138】CPRA, Section 25(a)(「…such amendments are consistent with and further the purpose and intent of this Act as set forth in Section 3, including amendments to the exemptions in Section 1798.145 if the laws upon which the exemptions are based are amended to enhance privacy and are consistent with and further the purposes and intent of this Act….」).

【139】CPRA, Section 24 (adding Cal. Civ. Code § 1798.199.10(a)).

【140】同上注。

【141】Cal. Civ. Code § 1798.185(t).

【142】CPRA, Section 14 (adding Cal. Civ. Code § 1798.140(ad)).

【143】Cal. Civ. Code § 1798.140(c).

【144】CPRA, Section 14 (amending Cal. Civ. Code § 1798.140(d)(4)).

【145】CPRA, Section 14 (amending Cal. Civ. Code § 1798.140(v)(2)).

【146】同上注。

【147】Cal. Civ. Code § 1798.100(b).

【148】CPRA, Section 4 (adding Cal. Civ. Code § 1798.100(a)(3)).

【149】Cal. Civ. Code § 1798.140(v).

【150】CPRA, Section 4 (adding Cal. Civ. Code § 1798.100(d)).

【151】Kendra Clark, The Current State of US State Data Privacy Laws, The Drum, April 26, 2021, available at https://www.thedrum.com/news/2021/04/26/the-current-state-us-state-data-privacy-laws.

【152】Va. Code Ann. §§ 59.1-571 through 59.1-581 (2021)[S.B. 1392]; Colorado Privacy Act [S.B. 21-190], codified as part 13 to article 1 of title 6.

【153】Uniform Law Commission, Uniform Personal Data Protection Act (as approved, 2021), available at https://www.uniformlaws.org/HigherLogic/System/DownloadDocumentFile.ashx?DocumentFileKey=bb7e5654-86aa-ebf8-dd85-b89c0dea4bc5&forceDialog=0.

【154】Convention for the Protection of Human Rights and Fundamental Freedoms, as amended by Protocol No. 15, entry into force on 1 August 2021.

【155】Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, as amended by Protocol CETS No. 223.

【156】"Bundesdatenschutzgesetz vom 30. Juni 2017 (BGBl. I S. 2097), das durch Artikel 10 des Gesetzes vom 23. Juni 2021 (BGBl. I S. 1858) geändert worden ist".

【157】Directive 95/46/EC on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data, [1995] O.J. L 281。德國於1990年完成統一（Deutsche Einheit）後，原本由東德情報部門（Stasi）控制的無數文件資料一時成為許多機構、企業甚至個人爭相索要的目標。由於其中包含巨量的個人信息，而且使用幾乎毫無節制，造成了許多侵害個人隱私等嚴重的問題，於是出現了需要對個人信息給予妥善、有效保護的強烈呼籲，並擴及到其他的國家和地區。鑑於當時歐盟的成員也開始逐步擴大，但是各成員國對信息保障的國內法規制極不一致，因此在歐盟層級要求整合、統一相關規制的呼聲也愈來愈強烈，最終促使歐盟採取行動的是一名谷歌使用者起訴指控該公司未經同意在後台掃描電子郵件。參見European Data Protection Supervisor, The History of the General Data Protection Regulation, available at https://edps.europa.eu/data-protection/data-protection/legislation/history-general-data-protection-regulation_en；Electronic Privacy Information Center (EPIC), Marquis v. Google, https://www.epic.org/amicus/massachusetts/google/。

【158】Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of Such Data, and Repealing Directive 95/46/EC (General Data Protection Regulation), [2016] O.J. L 119, available at https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A32016R0679。這套規則的草案於2012年提出，經過了四年與各界的協商和修正才獲通過。正式生效日期是2018年5月25日。

【159】Regulation (EU) 2018/1807 of the European Parliament and of the Council of 14 November 2018 on A Framework for the Free Flow of Non-Personal Data in the European Union, [2018] O.J. L 303/59.

【160】Directive 2002/58/EC of 12 July 2002 Concerning the Processing of Personal Data and the Protection of Privacy in the Electronic Communications Sector (Directive on Privacy and Electronic Communications), [2002] O.J. L 201/37.

【161】Commission Regulation (EU) 611/2013 of 24 June 2013 on the Measures Applicable to the Notification of Personal Data Breaches under Directive 2002/58/EC of the European Parliament and of the Council on Privacy and Electronic Communications, [2013] O.J. L 173/2.

【162】Regulation (EU) 2017/1128 of 14 June 2017 on Cross-Border Portability of Online Content Services in the Internal Market, [2017] O.J. L 168/1.

【163】Agreement on the European Economic Area, Article 36.2 and Annex XI, Electronic Communication, Audio Visual Services and Information Society, as updated, [1994] O.J. L 1, at 12 and 17。由於雙方已在同個經濟區域，所以不需要納入關於跨界攜帶的規定。

【164】EFTA, Incorporation of the General Data Protection Regulation (GDPR) into the EEA Agreement and continued application of Directive 95/46/EC, EFTA News, 5 June 2018, available at https://www.efta.int/About-EFTA/news/Incorporation-General-Data-Protection-Regulation-GDPR-EEA-Agreement-and-continued-application-Directive-9546EC-508856.。由於瑞士必須保持中立，所以未參與EEA的整合工作，而是透過締結雙邊條約或協定來達到相同的目的。

【165】GDPR, Article 3.

【166】GDPR, Article 4(1) (「personal data」 means any information relating to an identified or identifiable natural person (『data subject』); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person).

【167】GDPR, Recitals (10) and (51); Articles 9 and 10.

【168】GDPR, Article 4(5).

【169】GDPR, Article 4(7), (8).

【170】GDPR, Article 26; see also European Data Protection Board (EDPB), Guidelines 07/2020 on the Concepts of Controller and Processor in the GDPR (version 1.0, 2020), at 3, available at https://edpb.europa.eu/sites/default/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf.

【171】Peter Leonard, Beyond Data Privacy: Data 「Ownership」 and Regulation of Data-Driven Business, American Bar Association (ABA) SciTech Lawyer, January 17, 2020, available at https://www.americanbar.org/groups/science_technology/publications/scitech_lawyer/2020/winter/beyond-data-privacy-data-ownership-and-regulation-datadriven-business/.

【172】GDPR, Article 3(1).

【173】GDPR, Article 5.

【174】GDPR, Articles 24(3), 40(3), and 42(2).

【175】GDPR, Article 5(1)(e).

【176】EU, What Is GDPR, the EU’s New Data Protection Law?, available at https://gdpr.eu/what-is-gdpr/?cn-reloaded=1.

【177】GDPR, Article 25.

【178】GDPR, Articles 33(1) and 83(4).

【179】GDPR, Article 6.

【180】United Kingdom Information Commissioner’s Office (ICO), Guide to the General Data Protection Regulations (GDPR)(1 January 2021), at 75, available at https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/.

【181】GDPR, Article 7.

【182】GDPR, Article 37(1).

【183】GDPR, Articles 38 and 39.

【184】GDPR, Article 13.

【185】GDPR, Article 15。消費者也可以口頭或書面行使此一權利，又稱為「主體取用要求」（Subject Access Request，簡稱SAR）。在《條例》施行前，行使「主體取用要求」必須承擔10歐元的手續費。《條例》基本上免除了這個費用。據報導，有媒體記者向交友網站Tinder索取對自己的相關數據處理資料，結果收到了800頁的記錄，其中包括了對該應用軟體的使用狀況、詳細的教育背景、適合交往的年齡層和所以有的約會地點，甚至包括購買觀賞現場足球賽的花費細節以及在亞馬遜網站上瀏覽購物時的每一個點擊記錄等等。參見Judith Duportail, I Asked Tinder for my Data. It Sent Me 800 Pages of My Deepest, Darkest Secrets, The Guardian, 26 September 2017, available at https://www.theguardian.com/technology/2017/sep/26/tinder-personal-data-dating-app-messages-hacked-sold。

【186】GDPR, Article 16.

【187】GDPR, Article 17。形式上這個權利是由歐盟法院於2014年出台的一個判決創設。這個案件是起因於一位名叫馬里歐˙岡薩雷斯（Mario Costeja González）的西班牙人不滿谷歌對於涉及他個人的搜索結果中出現了當地報紙在1998年所刊登、一則關於對其房屋予以沒收拍賣的消息而發。歐盟法院最終判決，從此一信息的年份和敏感性而言，其與谷歌搜索從事編列索引並從中提取信息的宗旨「顯然…不合適、不相關或是不再相關，甚至已經超越。」法院認為，谷歌方面未能舉證出實質明確的理由，顯示出它們對於該特定信息的取用，在檢索的內涵之下，具有優勢的公共利益（preponderance interest of the public）。法院還是依據歐盟1995年的《數據保護指令》判決本案，但是當時《條例》的草案已經提出，其中已列示了「刪除權」或「被遺忘權」（就是列在第17條）。所以這個判決顯然受到了制訂《條例》相關思維的影響。不過在沒有任何前例與配套規制的情況下，該判決引起了非常大的爭議，因為其中涉及如何與刊載「合法事實」與社會公眾「知的權利」相互平衡，是否會因此導致網絡搜尋引擎的檢索結果質量降低反而無法全面覆蓋、造成失真，以及此一判決是否具有針對性（美國的谷歌公司）等許多問題。此外，縱使谷歌依循了當事人的主張將特定的信息從檢索結果移除，依然無法刪除原始出處的信息或數據，況且房地產法拍原本就是公開信息，而且是法院的正式通知，受不利影響的當事人顯然無權要求刪除，所以也引起了這宗判決是否本末倒置的評論。參見Case C-131/12, Google Spain SL v. Agencia Española de Protección de Datos (AEPD) (May 13, 2014), ECLI:EU:C:2014:317, available at https://curia.europa.eu/juris/liste.jsf?num=C-131/12; 另參見EC, Proposal for a Regulation on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of such Data, COM/2012/011 final 2012/0011 (COD)（即《條例》的原始立法草案）。

【188】GDPR, Article 18(1).

【189】GDPR, Article 20.

【190】GDPR, Article 21.

【191】GDPR, Article 22.

【192】GDPR, Article 22(2).

【193】GDPR, Article 82.

【194】主要包括歐洲數據保護理事會（European Data Protection Board，簡稱EDPB）和各成員國依其國內法設置的執法部門或機構。

【195】GDPR, Article 83.

【196】GDPR, Article 83(5).

【197】DLA Piper, GDPR Fines and Data Breach Survey: January 2021, available at https://www.dlapiper.com/en/us/insights/publications/2021/01/dla-piper-gdpr-fines-and-data-breach-survey-2021/.

【198】同上注。

【199】18 Biggest GDPR Fines of 2020 and 2021 (So Far), Tessian Blog, 21 May 2021, available at https://www.tessian.com/blog/biggest-gdpr-fines-2020/.

【200】EC, Communication on Data Protection as A Pillar of Citizens』 Empowerment and the EU’s Approach to the Digital Transition – Two Years of Application of the General Data Protection Regulation, COM(2020) 264 final (24 June 2020).

【201】C-362/14, Schrems v. Data Protection Commissioner (6 October 2015), EU:C:2015:650; C-311/18, Data Protection Commissioner v. Facebook Ireland Ltd., et al. (16 July 2020), EU:C:2020:559.

【202】Pub. L. 95-511, 92 Stat. 1783 (1978), codified at 50 U.S.C. ch. 36. § 1801 et seq.

【203】Commission Implementing Decision (EU) 2016/1250 of 12 July 2016 pursuant to Directive 95/46/EC on the Adequacy of the Protection Provided by the EU-U.S. Privacy Shield, [2016] O.J. L 207/1.

【204】據媒體的報導，愛爾蘭數據保護委員會已經於當地時間2020年9月9日簽發了一個臨時禁制令，立即禁止臉書公司將其歐洲的使用者數據傳輸到美國。此舉勢將引發一波新的跨大西洋數字危機。參見Adrian Weckler, Irish Data Regulator Orders Facebook to Stop Sending Personal Data to the US, Independent.ie (Irish Independent), September 9, 2020, available at https://www.independent.ie/business/technology/irish-data-regulator-orders-facebook-to-stop-sending-personal-data-to-the-us-39518775.html。

【205】歐盟於1998年開始施行1995年通過的《數據保護指令》後，歐、美之間於1998-2000年建構了一套名為《國際隱私安全港原則》（International Safe Harbor Privacy Principles）的機制來規制和對應雙方的數據傳輸，主要是為了防制涉及儲存消費者數據的非官方組織或機構（包括網際網路平台或電子商務的運營者）意外揭露或遺失個人數據。美國的企業可以選擇加入並需通過其中的認證程序。一旦獲得認證即取得了進入「安全港」的資格，可以自由從事跨境數據傳輸。參見https://webarchive.loc.gov/all/20150410181019/http://www.export.gov/safeharbor/eu/eg_main_018475.asp。歐盟法院於2015年10月6日在Schrems I案宣判這套安全港機制無效。法院認為，「當一個立法容許公權利可以在一個概括性的基礎上對〔私人的〕電子通信內容從事取用必須被視為破壞了尊重私人生活根本權利的本質」（其原文為：「… legislation permitting the public authorities to have access on a generalised basis to the content of electronic communications must be regarded as compromising the essence of the fundamental right to respect for private life」）。參見C-362/14, 前注190。為了補救此一判決出台後兩地之間數據傳輸所形成的缺口，美國商務部和歐盟執行委員會又重新協商制訂了「隱私盾框架」，並經歐盟執行委員會裁定通過，並於2016年7月12日生效啟用。參見上注。由於「隱私盾框架」在歐盟法院2020年7月16日對Schrems II案的判決出台時立即失效，歐、美雙方從當年的8月份便重新展開了新的協商。由於《條例》的規定和歐盟法院的判決沒有留下太大的彈性和空間，美國方面在短期內也不太可能為此去修改相關的法律，加上原本已然相當緊繃的貿易關係，這就使得相關的談判格外艱辛。參見EC, Intensifying Negotiations on Transatlantic Data Privacy Flows: A Joint Press Statement by European Commissioner for Justice Didier Reynders and U.S. Secretary of Commerce Gina Raimondo, 25 March 2021, available at https://ec.europa.eu/commission/presscorner/detail/en/STATEMENT_21_1443。

【206】Samuel Stolton, EP’s COVID Website Overrun with US Web Trackers, MEP Raises Data Concerns, Euractiv, 28 October 2020, available at https://www.euractiv.com/section/digital/news/eps-covid-website-overrun-with-us-web-trackers-mep-raises-data-concerns/.

【207】European Parliament Resolution of 20 May 2021 on the ruling of the CJEU of 16 July 2020 – Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (『Schrems II』), Case C-311/18, P9_TA(2021)0256, available at https://www.europarl.europa.eu/doceo/document/TA-9-2021-0256_EN.html。例如，決議文對於愛爾蘭數據保護委員從2018年5月25日《通用條例》開始施行的當天便收到的多起申訴案件迄今只對其中的一件（被告是推特（Twitter））做成裁定表達了嚴重的關切；另外也對歐盟法院出台了Schrems II案的判決後該委員會迄今未對後續的事宜做出裁決表達了不滿。決議還對該委員會仍在使用老舊過時的系統表達嚴重的關切。這個決議之所以盯上了愛爾蘭的執法部門是因為該國為許多美國網際網路企業在歐洲的主要運營處所，相關的數據處理和轉移也幾乎都是在該國境內發生。

【208】Commission Implementing Decision (EU) 2021/914 of 4 June 2021 on Standard Contractual Clauses for the Transfer of Personal Data to Third Countries Pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council, [2021] O.J. L 199/31, available at https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en。與之前的版本只針對數據控制者彼此之間的轉移設定合同條款相較，新版採取了模塊組合方式（modular approach），就控制者與處理者之間可能產生的四種交叉組合分別列出相關的條款。此外，新版標準規範的第14條則是對Schrems II案判決的合規要求明確了當事人必須採取的步驟等。詳細的介紹與分析可參見Kwabena Appenteng, Zoe Argento, and Philip Gordon, The European Union’s New Standardized Data Transfer Agreement: Implications for Multinational Employers, Littler Insight, June 9, 2021, available at https://www.littler.com/publication-press/publication/european-unions-new-standardized-data-transfer-agreement-implications。

【209】EDPB, Recommendations 01/2020 on Measures That Supplement Transfer Tools to Ensure Compliance with the EU Level of Protection of Personal Data (v. 2.0), adopted 18 June 2021, available at https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en。歐洲數據保護理事會推薦的六個步驟是：（1）明確數據轉移或傳輸的內容（即須做好對數據的映射和配置（data mapping）），確保必須符合適當、相關與必要限度的要求；（2）確認從事數據轉移所依賴的傳輸工具，做到符合《通用條例》第五章的要求；（3）評估數據轉移目的地（第三國）的相關法規與實踐是否提供有效、等同的安保措施；（4）識別並採取必要的補充措施以確保相關的數據安保措施達到與歐盟相當的水平；（5）採取正式的程序以完善採用各項補充措施的要求，並充分配合《通用條例》第46條規定；（6）在適當的階段不斷從事再評估以確保對個人數據在第三國境內受到的保障維持歐盟規制的要求。

【210】Case C-131/12, 同前注187。

【211】GDPR, Article 17(3).

【212】EU Commissioner: Right to be Forgotten Is No Harder to Enforce Than Copyright, THE GUARDIAN, 4 June 2014, available at https://www.theguardian.com/technology/2014/jun/04/eu-commissioner-right-to-be-forgotten-enforce-copyright-google.

【213】Google, Requests to Delist Content under European Privacy Law, GOOGLE TRANSPARENCY REPORT, available at https://transparencyreport.google.com/eu-privacy/overview?hl=en_GB.

【214】Case C-507/17, Google LLC v. Commission nationale de l』informatique et des libertés (CNIL)(24 September 2019), ECLI:EU:C:2019:772, available at https://curia.europa.eu/juris/document/document.jsf?text=&docid=218105&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=980009.

【215】目前美國已有48個州、哥倫比亞特區（首都華盛頓市）以及波多黎各和維京群島、關島、馬歇爾群島等託管地等都以《統一商業秘密法》（Uniform Trade Secrets Act，簡稱USTA，載於https://www.uniformlaws.org/HigherLogic/System/DownloadDocumentFile.ashx?DocumentFileKey=e19b2528-e0b1-0054-23c4-8069701a4b62&forceDialog=1）做為藍本通過了自己的商業秘密保護法，不過最終的具體條文內容還是互有差異，相關的司法實踐也還不一致，所以並不是真正的「統一」。還未採納的是紐約（New York）與北卡羅來納（North Carolina）兩州。至於聯邦層級的立法是《2016年防衛商業秘密法》（Defend Trade Secrets Act of 2016, Pub. L. 114-153, 130 Stat. 376 (2016), codified at 18 U.S.C. § 1836, et seq.）和《1996年經濟間諜法》（Economic Espionage Act of 1996, Pub. L. 104-294, 110 Stat. 3488 (1996), codified at 18 U.S.C. § 1831 et seq.），後者是關於涉及竊取商業秘密的刑事責任規定，只能由檢察官提起公訴，當事人沒有自訴權。

【216】RESTATEMENT (SECOND) OF TORTS, §§ 766, 766B (1979).

【217】「第82條求償權及責任

1．任何人因控制者或處理者對本條例的違反而受到重大或非重大的損害都有權從請求損害賠償。

2．任何涉及數據處理的控制者應對其違反本條例的處理所導致的損害承擔責任。處理者僅於未符合本條例針對處理者的義務要求，或是其行為逾越或違反了控制者的合法指示時應對其處理所導致的損失承擔責任。

3．控制者或處理者如能證明對引起損失的事件無論如何均無須負責時，即可免除承擔第2款所規定的責任。……」參見GDPR art. 82。另參見《歐洲聯盟運行條約》（Treaty on the Functioning of the European Union，簡稱TFEU）第102條。

【218】Case C-420/11, Leth v. Republik Österreich (Republic of Austria)(14 March 2013), ECLI:EU:C:2013:166, available at https://curia.europa.eu/juris/document/document.jsf;jsessionid=33DE46A998FB414166CECAD24A3D3948?text=&docid=135025&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=1023324.

【219】Tim F. Walree and Pieter T. J. Wolters, The Right to Compensation of A Competitor for A Violation of the GDPR, 10 International Data Privacy Law 346, 350 (¶ 3.3.1) (2020), available at https://academic.oup.com/idpl/article-pdf/10/4/346/36139160/ipaa018.pdf.

【220】GDPR, arts 2(2)(c), 4(1), (4), (5), (13), (14), (15), 6(1)(d), 9(1), (2)(c), 12(6), 32(4), and 35(3)(a); recitals 14, 18, 24, 26, 34, 35, 46, 51, 57, 71, 85, 86, 94, 148, and 162.

【221】Case C-253/00, Antonio Muñoz y Cia SA (17 September 2002), ECLI:EU:C:2002:497, available at https://curia.europa.eu/juris/document/document.jsf?text=&docid=47664&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=1031281.

【222】同前注218，351-2 (¶ 3.3.1)。

【223】Gesetz gegen den unlauteren Wettbewerb (UWG) § 3a （其原文為：「Rechtsbruch Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen」）。

【224】例如，PAUL VOIGT AND AXEL VON DEM BUSSCHE, THE EU GENERAL DATA PROTECTION REGULATION (GDPR): A PRACTICAL GUIDE (2017), at 205-207; Heledd Lloyd-Jones and Peter Carey, The Rights of Individuals, as chapter 7 in PETER CAREY (ED.), DATA PROTECTION. A PRACTICAL GUIDE TO UK AND EU LAW (5TH ed. 2018) at 122, 153; PHILIP LAUE AND SACHA KREMER, DAS NEUE DATENSCHUTZRECHT IN DER BETRIEBLICHEN PRAXIS (2019) 370–71; Roman Dickmann, Nach dem Datenabfluss: Schadenersatz nach art 82 der Datenschutz-Grundverordnung und die Rechte des Betroffenen an seinen personenbezogenen Daten, [2018] RECHT UND SCHADEN 345。

【225】Oberlandesgericht Hamburg, 25 October 2018, 3 U 66/17.

【226】Oberlandesgericht München, 7 February 2019, 37 O 6840/17; Landgericht Würzburg, 13 September 2018, 11 O 1741/18 UWG.

【227】其原文為：「[A]ny possible issues relating to the sensitivity of personal data are not, as such, a matter for competition law, they may be resolved on the basis of the relevant provisions governing data protection」。參見Case C-238/05, Asnef-Equifax, Servicios de Información sobre Solvencia y Crédito, SL v. Asociación de Usuarios de Servicios Bancarios (Ausbanc) (23 November 2006) ¶ 63 (citing Advocate General’s opinion at ¶ 56), ECLI:EU:C:2006:734, available at https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:62005CJ0238&from=EN。

【228】U.S. HOUSE OF REPRESENTATIVES SUBCOMMITTEE ON ANTITRUST, COMMERCIAL AND ADMINISTRATIVE LAW OF THE COMMITTEE ON THE JUDICIARY, INVESTIGATION OF COMPETITION IN DIGITAL MARKETS: MAJORITY STAFF REPORT AND RECOMMENDATIONS (OCTOBER 2020), available at https://judiciary.house.gov/uploadedfiles/competition_in_digital_markets.pdf.

【229】同上注，第51頁（其原文為：「The persistent collection and misuse of consumer data is an indicator of market power in the digital economy. Traditionally, market power has been defined as the ability to raise prices without a loss to demand, such as fewer sales or customers. Scholars and market participants have noted that even as online platforms rarely charge consumers a monetary price—products appear to be 「free」 but are monetized through people’s attention or with their data—traditional assessments of market power are more difficult to apply to digital markets」）。

【230】Complaint, United States v. Google LLC, Case No. 1:20-cv-03010 (D.D.C. October 20, 2020), available at https://www.justice.gov/atr/case-document/file/1329131/download.

【231】Executive Order 14036, Promoting Competition in the American Economy, § 1, ¶ 7, 88 FED. REG. 36987 (2021), available at https://www.govinfo.gov/content/pkg/FR-2021-07-14/pdf/2021-15069.pdf（其原文為：「The American information technology sector has long been an engine of innovation and growth, but today a small number of dominant Internet platforms use their power to exclude market entrants, to extract monopoly profits, and to gather intimate personal information that they can exploit for their own advantage. Too many small businesses across the economy depend on those platforms and a few online marketplaces for their survival. And too many local newspapers have shuttered or downsized, in part due to the Internet platforms』 dominance in advertising markets」[Emphasis added.]）。

【232】JACQUES CRÉMER, YVES-ALEXANDRE DE MONTJOYE, AND HEIKE SCHWEITZER FOR EUROPEAN COMMISSION, COMPETITION POLICY FOR THE DIGITAL ERA (FINAL REPORT)(2019), available at https://op.europa.eu/en/publication-detail/-/publication/21dc175c-7b76-11e9-9f05-01aa75ed71a1/language-en.

【233】Proposal for a Regulation on Contestable and Fair Markets in the Digital Sector (Digital Markets Act), COM/2020/842 final (15 December 2020), available at https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52020PC0842&from=en; Proposal for a Regulation on a Single Market for Digital Services (Digital Services Act) and Amending Directive 2000/31/EC, COM/2020/825 final (15 December 2020), available at https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52020PC0825&from=en.

【234】European Commission, Data Act & Amended Rules on the Legal Protection of Databases, available at https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13045-Data-Act-&-amended-rules-on-the-legal-protection-of-databases_en.

【235】European Commission, Antitrust: Commission Opens Investigation into Possible Anticompetitive Conduct by Google in the Online Advertising Technology Sector, 22 June 2021, available at https://ec.europa.eu/commission/presscorner/detail/en/ip_21_3143.

【236】這句話是英國的數學家Clive Robert Humby在2006年首創。其原文是：「Data is the new oil. It’s valuable, but if unrefined it cannot really be used. It has to be changed into gas, plastic, chemicals, etc. to create a valuable entity that drives profitable activity; so must data be broken down, analyzed for it to have value」。參見Michael Palmer, Data is the New Oil, CMO News, November 3, 2006, available at https://ana.blogs.com/maestros/2006/11/data_is_the_new.html.

【237】Carrick Mollenkamp, Serena Ng, Liam Pleven and Randall Smith, Behind AIG’s Fall, Risk Models Failed to Pass Real-World Test, WALL STREET JOURNAL, October 31, 2008, available at https://www.wsj.com/articles/SB122538449722784635。可以預期，戈頓教授本人會有非常不同的觀點，後來更出版了多本書為自己辯解。例如，GARY B. GORTON, MISUNDERSTANDING FINANCIAL CRISES: WHY WE DON』T SEE THEM COMING (2012)。

【238】摘引自美國電腦程式專家及科幻小說作家Daniel Keys Moran的表述，原始出處待考（其原文為：「You can have data without information, but you cannot have information without data」）。