2026年3月4日 星期三

歐盟數位服務條例規範網路平台營運概述(四之一)

 引言

歐盟《數位服務條例/法》(EU Digital Services Act, DSA, Regulation (EU) 2022/2065)旨在建立一個安全的數位空間,保護歐洲公民的基本權利,同時促進創新與競爭。有鑑於2000 年《電子商務指令,2000/31/EC》已無法處理新浮現的問題(如:社群平台、線上市集、App 商店、假訊息、違法內容等)。特制定DSA法適用於所有在歐盟營運的線上服務,包括市場平台、社交媒體、應用程式商店及線上旅行與住宿平台。其主要目標是規範非法內容傳播、保護未成年人、提升透明度,並要求大型平台進行風險評鑑與緩解措施。

此短文概述DSA內容,針對平台提供者、服務代理及相關方,提供合規指引,包括風險評鑑、檢查項目、適用立法、分析工具、工作步驟、接受標準、評估、緩解措施、剩餘風險、審查內容及摘要報告。

數位服務法(DSA)補充數位市場法(DMA,EU Digital Markets Act,2022/1925),並根據服務提供者的角色、規模及影響力採取比例原則。微型及小型企業負擔較輕,而大型平台承擔較重的責任。

© All Rights reserved。 版權聲明。CC BY-SA 4。0。
(內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。)

一、利害相關者與適用義務概觀

1.1 主要角色與數位服務法(DSA)義務層級

DSA 適用於歐盟內的所有線上中介服務(中介機構)的 B2B B2C 提供者,他們為接受者recipient, 通常稱為《使用者》)提供商品、服務和內容的存取權限。這包括以下提供者:

  • 單純傳輸mere conduit)服務:僅被動地「傳送」資料,不修改、不儲存、不主動干預內容。
    • 例如:電信商、網路存取服務(ISP)、Wi-Fi服務、VPN服務、DNS功能變數名稱解析服務、CA數位憑證服務、電子郵件轉發服務等。
    • 網際網路交換點、無線存取點、虛擬專用網路和 DNS 服務
  • 暫存/緩存caching)服務:為了提高傳輸效率,系統自動、臨時地儲存資料內容副本,但不會主動修改或干預內容,例如:CDN內容分發(網頁緩存)、內容交付網路、圖片壓縮代理、反向代理伺服器和內容適配代理等。
  • 主機服務hosting services),亦稱託管服務:長期儲存使用者提供的內容,服務商不主動審查,如雲端儲存/運算、網站託管、網站主機、第三者網路商城。
  • 線上平台:

o    一種特殊的主機服務:不只儲存,還「向公眾散佈」內容。

o    例如:社群媒體、線上市集、App 商店、影音平台。

o    須最小化非法及有害內容風險,包括對兒童的曝露。義務包括內容移除透明度、上訴機制、非法內容標記機制、未成年人保護(例如減少曝露於不適內容、禁止針對兒童的定向廣告)、大型平台提供非個人化饋送選項、廣告透明度(標記廣告、禁止基於敏感資料的廣告)、禁止黑暗模式(欺騙性設計)、市場平台查證賣家並顯示聯絡資訊。

  • 超大型線上平台Very Large Online Platforms / Search EnginesVLOP/VLOSE)、搜尋引擎(含市場、社群平台、App store 等)提供者
    • 若是每月歐盟用戶超過4500萬者,即10%歐盟總人口數,則需執行「系統性風險評鑑」(Art. 34)與緩解措施(Art. 35),並接受獨立稽核與提供透明報告(Art. 42(3))。
    • 所有平台都需有違法內容通報與行動流程、使用者訴怨機制、透明度報告等一般義務。
  • 服務代理商/企業用戶(例如利用平台提供自家服務的商家、品牌、廣告商)

o    屬於「交易者」或「企業用戶」,須配合平台義務,確保符合法規要求。需提供真實且完整的身分與聯絡資訊,並確保自身內容與產品符合適用法規(例如:產品安全、醫材 MDR/IVDRGPSR 等),平台要對這些資訊做合理程度的核查。

o    中介服務及託管提供者:須遵守非法內容標記、內容移除透明度及調解決定上訴等規則。市場平台需查證賣家、顯示聯絡資訊,並進行隨機檢查或採用追蹤技術。

  • 其他相關方
    • 資安與託管供應商:支撐平台的營運韌性與資安管制,通常採用 ISO/IEC 27001:2022 + ISO/IEC 27701:2025 作為現今科技水準的基礎要求。
    • 獨立稽核者、風險管理顧問、權益團體與研究者:參與數位服務法(DSA)要求的外部稽核與風險治理對話。
在實務應用面向,DSA進一步要求受影響的中介服務具有《實質聯繫substantial connection》到歐盟。這可以在各地建立面向歐盟境內的服務提供者。然而,由於 DSA 也旨在規範歐盟/歐洲經濟區以外的第三國向歐盟提供的中介服務,因此這也可能是由於大量服務造成的《接受者》,涉及一個或多個歐盟成員國的中介服務與其人口的關係;或者《企及對象》係針對一個或多個歐盟成員國的活動。在此背景下,確定《實質聯繫》的指標包括歐盟成員國的語言、貨幣或頂級域名,或向歐盟提供的產品或服務。

 
二、適用 EU 法規與標準
2.1 核心法規
  • Digital Services ActRegulation (EU) 2022/2065
    • §14–24:所有中介服務的一般義務(通報與行動、訴怨處理、透明度報告等)。
    • §30–32:線上市場與平台需查證商家資訊、確保產品与服務的合法性。
    • §34–35VLOP/VLOSE 必須每年至少一次執行「系統性風險評鑑」與「合理且有效的緩解措施」。
  • 其他常見關聯法規(視業務性質之相關作用)
    • GDPR2016/679):保護個人資料與隱私。
    • NIS22022/2555):關鍵與重要實體的網路與資訊安全義務,對大型平台與關鍵服務影響越來越大。
    • CRACyber Resilience Act):針對具數位元素產品的資安要求(未來與平台軟體供應鏈相關)。
    • 通用產品安全條例(GPSR (EU) 2023/988)(另文介紹
    • 歐盟電子商務指令(EU Directive on electronic commerce2000/31/EC
    • 產業界特定法規:如醫療平台同時需遵守醫療器材條例(EU MDR 2017/745)、體外診斷醫療器材條例(EU IVDR 2017/746)與 MDCG 指引文件等。
2.2參考標準與文獻(風險評鑑時的引用來源參考)

  • ISO/IEC 27001:2022(資訊安全管理系統)+ ISO/IEC 27701(資安、網路安全及隱私資訊管理要求與指引):建立風險導向的資訊安全與隱私資訊管理系統(ISMS/Privacy MS),支撐數位服務法(DSA)對營運韌性、事件管理與資料保護的期許事項。
  • ISO 31000:2018(風險管理原則與架構)(另文介紹):作為整體數位服務法(DSA)系統性風險管理方法學的母體架構。
  • 一般資料保護條例 (GDPR EU 2016/679):補充數位服務法(DSA)保護用戶資料及基本權利。
  • 電子識別條例 (Regulation (EU) No 910/2014):賣家查證相關的電子識別系統及內容的合規使用。
  • 歐盟市場監督條例 (EU) 2019/1020 另文介紹)協調市場監督主管機關、海關、經濟營運者、產品警戒與通報系統的職責與義務,完善產品在歐盟市場的監督實務。
  • 歐盟協調成員國間實施消費者保護法規的條例 (EU) 2017/2394
  • 行政合作指令 (DAC7EU 2021/514):數位平台通報義務,第七次增補事項,提及線上賣家的盡職調查及報告的義務。
  • 歐盟人工智慧(AI)法(2024/1689):人工智慧(AI)調解工具的透明度及準確性的法規要求。
  • 業界人權與內容風險工具,如:GNI / DTSP實施 DSA 風險評鑑工作坊材料」,2023年版:給出如何依§34做系統性風險評鑑的實務指引,涵蓋治理、審查、緩解與文件化要求。
  • 歐盟消費者爭議的替代性爭議解決方式指令 2012/11/EU

(未完,見續篇)

張貼者:
標籤: , , , , , ,

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)