前進歐盟數位市場!數位業者的法遵方法論
前進歐盟數位市場!數位業者的法遵方法論
范國華/主持律師、吳尊傑/法務專員
歐盟委員會於2020年12月15日提議對數位空間進行雄心勃勃的改革,為所有數位服務制定一套全面的新規則:《數位服務法》(Digital Services Act)和《數位市場法》(Digital Markets Act),對象包括社交媒體、線上市場及在歐盟運營的其他線上平台。新規則將更好地保護消費者及其線上的基本權利,並將為每個人帶來更公平、更開放的數位市場,為使用者提供新的、更好以及可靠的線上服務。它還將支持小型平台、中小型企業和新創企業去擴大規模,使它們能夠輕鬆接觸整個單一市場的客戶,藉此降低法律遵循的成本。另新法禁止已成為或預計將成為單一市場守門人的線上平台施加不公平條件。此兩項提案作為歐盟委員會實現歐洲數位十年計劃中核心而存在[1]。
其中,《數位市場法》是歐盟旨在使數位產業更加公平和更具競爭性的新法律。為此,新法建立了一套狹義的客觀標準,用於將大型線上平台視為「守門人」(Gatekeeper)。也就是說,只有「守門人」須遵守新法列出之注意事項,作為全面規範大型數位公司的守門人權力的首批舉措之一。當前,歐洲議會和理事會(代表 27 個歐盟成員國)於 2022 年 3 月 24 日晚上就新法律達成了政治協議,結束了長達 15 個月的立法辯論。當局預計最終的法案文本將在 2022 年 9 月或 2022 年10 月通過[2]。
《數位市場法》的監管範圍[3]
該法提供了一系列被視為「核心平台服務」的服務,諸如搜索引擎、社交網絡服務、視頻共享平台服務;操作系統、網絡瀏覽器、虛擬助手、雲計算服務、線上廣告服務等。並將適用於這些核心平台服務,但僅限於它們在立法下充當「守門人」的範圍內。
該法參考三個主觀標準來定義「守門人」的概念:
(1)對內部市場產生重大影響;
(2)企業用戶接觸終端使用者的重要門戶;
(3)在其運營中具有根深蒂固和持久的地位。該法假定核心平台服務滿足這些標準,如果它滿足以下門檻:
重大影響:過去三年每年的歐盟年收入為 75 億歐元,或上一財政年度的市值為 750 億歐元,並在至少三個成員國提供相同的服務;
重要門戶網站:每月至少建立 4500 萬活躍終端使用者,或位於歐盟,並且去年在歐盟建立了至少 10,000 名年度活躍業務使用者;
穩固和持久的地位:在過去三年中,每年都達到了上述最終使用者和商業使用者的門檻。
屬於這些門檻的組織有義務在兩個月內將其「守門人」狀態通知委員會。即使一個組織不滿足這些門檻,委員會仍可以使用一組不同的標準將其指定為守門人。無論哪一種方式,一旦被指定為守門人,該組織將有六個月的時間來履行以下概述的義務。
該法要求「守門人」承擔以下主要義務:
1. 根據要求免費為最終使用者提供有效的可移植性數據和如此做的工具;
2. 根據要求免費為業務使用者提供「有效、高質量、連續和實時」的聚合和非聚合數據的訪問和使用,包括個人數據;
3. 允許硬件和軟件與第三方(包括消息服務)的有效互操作性;
4. 允許「側載」,即允許應用程式使用者安裝和使用從第三方應用程式資源下載的應用程式,但網絡守門人可能會採取「正當合理的」措施來防止危及其硬件或操作系統的完整性;
5. 允許企業使用者每天訪問廣告信息,以及訪問守門人的績效衡量工具;
6. 允許廣告商和發布商運行自己的驗證和測量工具來評估守門人平台上的表現;和
7. 允許業務使用者在守門人平台之外與最終使用者推廣報價並簽訂契約。
不允許「守門人」為以下行為:
1. 在不同的核心平台服務之間合併或使用個人數據,除非最終使用者的同意是建立在GDPR的基礎上;
2. 限制企業和最終使用者提出投訴的能力;
3. 要求企業和最終使用者使用網絡守門人自己的識別服務、網絡瀏覽器引擎或支付服務;
4. 使用業務使用者的數據來強化其競爭優勢;
5. 與第三方在網絡守門人平台上提供的類似服務或產品相比,在排名(以及相關的索引和爬蟲)方面更優待自己的服務和產品;
6. 防止消費者與平台外的企業建立聯繫;和
7. 防止使用者卸載任何預裝的軟件或應用程式。
就 GDPR 和 《數位市場法》要求之間的相互作用而言,守門人和數據接收者的法律顧問將需要考慮以下關鍵問題:
1. 數據共享義務是否僅限於個人直接提供的數據,或者擴展到包括守門人通過日常使用者交互觀察、推斷和創建的數據,而不是直接提供數據?
2. 生成數據的競爭價值對共享活動是否重要?
3. 守門人的智慧財產權、隱私和安全利益在多大程度上適用於共享數據?
4. 需要採取哪些措施來防止重新識別已有效匿名的共享數據?
5. GDPR 下共享和進一步處理共享數據的適當法律依據。
6. 考慮到個人有權拒絕同意重複使用數據或隨時撤回數據,同意在多大程度上是符合 GDPR 的可行選擇?
7. 《數位市場法》下的法律義務本身是否可以提供適當的法律依據,或者是否認為此類義務對於依賴 GDPR下合法利益法律依據是必要的?
8. 遵守 GDPR 第 5 條的數據保護原則(例如,透明度、目的限制、數據最小化和問責制)以及 GDPR 下守門人和數據接收者在共享個人數據方面的個別義務和責任。例如,誰有責任針對數據保護進行影響評估?
9. 網絡守門人是否需要在根據《數位市場法》與接收者共享數據之前或之後執行隱私和安全盡職調查?
10. 共享後個人數據的任何後續濫用是否會終止守門人的責任?
總而言之,有關《數位市場法》和 GDPR 之間相互作用的更多詳細資訊,請聯繫本所專員(kitson.wu@zoomlaw.com.tw)以取得協助!
[1] European Commission (Press release), Europe fit for the Digital Age: Commission proposes new rules for digital platforms, 15 December 2020, https://ec.europa.eu/commission/presscorner/detail/en/ip_20_2347. Last visited 17 June 2022.
[2] European Commission, Competition Policy, https://ec.europa.eu/competition-policy/sectors/ict/dma_en. Last visited 17 June 2022.
[3] Bojana Bellamy and Aaron Simpson, EU Digital Markets Act: Key Aspects and Lingering Questions, cpo Magazine (7 June 2022). https://www.cpomagazine.com/data-protection/eu-digital-markets-act-key-aspects-and-lingering-questions/. Last visited 17 June 2022.
