2009年02月17日美國總統簽署通過「2009年經濟復甦暨再投資法」(America Recovery and Reinvestment Act, ARRA),將醫療產業列為重點發展項目之ㄧ,擬由政府預算進行醫療資訊科技化計畫,俾使電子病歷的傳輸與交換得兼顧效率及安全。而以規範醫療資訊安全為主的「醫療保險可攜及責任法」之隱私權條款(HIPAA, Privacy Rule),亦因此有重大修正。
其中,最主要的變革在於擴充HIPAA的責任主體,由原有的健康照護業者、健康計畫業者及健康照護資訊交換業者,擴充至凡因業務關係而可能接觸個人健康資訊的個人或業者,包含藥劑給付管理公司、代理人及保險業者等,這些機構或個人原本與醫療院所或病患間係依據契約關係進行責任規範,但被納入HIPAA的責任主體範圍後,則需依此負擔民、刑事責任。
而於加強資訊自主權部份,亦有數個重要變革如下:(一)責任主體之通知義務:依據新規定,資料未經授權被取得、使用或揭露,或有受侵害之虞時,責任主體應即早以適切管道通知資訊主體有關被害之情事,以防備後續可能發生的損害。(二)資訊主體之紀錄調閱權:以往資料保管單位得拒絕個人調閱健康資料運用紀錄之請求,有鑒於病歷電子化後,保存及揭露相關紀錄已不會造成過重負擔;依據新規定,資訊主體有權調閱近三年內個人健康資料被使用次數及目的等紀錄。(三)資訊主體資料揭露之拒絕權:以往責任主體得逕行提供個人醫療資訊作為治療、計費及照護相關目的之使用,無論資訊主體曾表達拒絕之意與否;依據新規定,資訊主體得禁止其向保險人揭露相關資訊,除非保險人已全額支付醫療費用。
以上HIPAA之新增規範,預計於2010年02月17日正式施行。
本文為「經濟部產業技術司科技專案成果」
美國行政管理預算局(United States Office of Management and Budget, OMB)於2020年1月發布「人工智慧應用監管指南(Guidance for Regulation of Artificial Intelligence Applications)」備忘錄草案。該備忘錄草案係基於維護美國人工智慧(AI)領導地位之目的,而依據美國總統川普(Donald John Trump)於2019年2月簽署之「維持美國人工智慧領導地位(Maintaining American Leadership in Artificial Intelligence)─行政命令13859號」,並在啟動美國人工智慧計畫後180天內,經OMB偕同科技政策辦公室(Office of Science and Technology Policy, OSTP)、美國國內政策委員會(United States Domestic Policy Council)與美國國家經濟委員會(National Economic Council)與其他相關機構進行協商,最後再由OMB發布人工智慧應用監管指南備忘錄草案,以徵詢公眾意見。 該備忘錄草案不僅是為了規範新型態AI應用技術,更希望相關的聯邦機構,在制定AI應用產業授權技術、監管與非監管方法上,能採取彈性的制定方向,以避免過度嚴苛的規定,反而阻礙AI應用的創新與科技發展,繼而保護公民自由、隱私權、基本權與自治權等價值。同時,為兼顧AI創新與政策之平衡,應以十大管理原則為規範制定之依據,十大管理原則分別為: 培養AI公眾信任(Public Trust in AI); 公眾參與(Public Participation); 科學研究倫理與資訊品質(Scientific Integrity and Information Quality); AI風險評估與管理(Risk Assessment and Management); 獲益與成本原則(Benefits and Costs); 彈性原則(Flexibility); 公平與反歧視(Fairness and Non-Discrimination); AI應用之揭露與透明化(Disclosure and Transparency); AI系統防護與措施安全性(Safety and Security); 機構間之相互協調(Interagency Coordination)。 此外,為減少AI應用之阻礙,機構制定AI規則時,應採取降低AI技術障礙的方法,例如透過聯邦資料與模型方法來發展AI研發(Federal Data and Models for AI R&D)、公眾溝通(Communication to the Public)、自發性共識標準(Voluntary Consensus Standards)之制定及符合性評鑑(Conformity Assessment)活動,或國際監管合作(International Regulatory Cooperation)等,以創造一個接納並利於AI運作的環境。
保護、分級與言論(下) 美國合夥團體近期發展報告—由近10年有限合夥等團體資產與數量走勢談起美國合夥團體近期發展報告—由近10年有限合夥等團體資產與數量走勢談起 科技法律研究所 法律研究員 劉得正 101年4月26日 壹、前言 根據美國最新 (2011) 公布「國內稅收收入統計報告書」 (Internal Revenue Service Statistics of Income Bulletin Fall 2011 Washington, D.C. )[1]顯示,2000年至2009年間,美國有限合夥(Limited Partnership,LP)等合夥團體在數量與資產分佈上,有重大改變,簡要分析說明如下。 貳、美國有限合夥發展現況 一、各類合夥團體[2]總體數量呈現穩定成長 查美國國稅局最新 (2011) 發表之統計資料發現,至目前為止合夥團體仍就受到投資者的青睞。至2009年為止,以合夥身分報稅之企業,共計[3]3,168,728家,合夥人總數達21,141,979人,其申報擁有之總資產 (assets) 則達到約18.8兆美元。相對於2008年[4],合夥團體數量成長約2萬餘家,成長幅度0.7%;合夥人總數增加184萬餘人,成長幅度9.5%。值得注意的是,這是在2008年次級房貸風暴發生後,第二年成長幅度在1%左右,在2000年至2007年間,合夥數量成長幅度在3.6%-8.5%間。 數據顯示資產在1億美元以上的合夥團體,共有1萬8千餘家,占合夥團體申報資產72.3%,表示在美國合夥團體絕非僅受中小企業的偏愛。另外,若從行業別來看[5],金融保險業之合夥團體申報資產占全體54.4%,位居第一;其次為不動產相關業,占全體之23.7%。 二、有限合夥數量持平而獲利維持優勢 在所有以合夥身分報稅之團體中,有限合夥LP此種合夥形式,仍表現十分亮眼。在盈利 (Profits) 表現上,有限合夥2009年盈利金額[6]約達1393億美元,占全部合夥團體盈利34%。事實上自2000年起,有限合夥LP盈利金額占合夥團體總獲利比例,始終維持在31%-39%間。 至於在數量上,有限合夥LP則表現持平。2000年至2005年間,有限合夥數量以和緩幅度上升,2006年起則略微下降;以2008年至2009年間為計[7],有限合夥LP數量別為411,698家與396,611家,占總數12.5%。 三、有限責任公司(Limited Liability Company, LLC)數量大幅成長 相對於有限合夥LP在盈利上的表現,有限責任公司LLC則在數量上有驚人表現。2009年間有限責任公司LLC數量達到1,969,446家,占合夥團體總數62.2%[8]。與2008年相比,成長幅度達到3.8%[9],遠高於合夥團體總成長幅度0.7%。事實上自1995年起,有限責任公司LLC的數量每年皆有大幅度成長。2009年與1995年相比,有限責任公司LLC數量成長達15倍以上。且自2002年起,有限責任公司LLC數量便占合夥團體總數量50%以上[10]。 至於在盈利 (Profits) 方面,有限責任公司2009年則達到約889億美元。相較於有限責任公司LLC在數量上占總數62.2%,獲利量則僅占所有合夥團體21.6%[11],主要原因為其損失比例過高所致[12]。惟值得注意的是,在2008年發生次級房貸風暴前,有限責任公司LLC盈利占全體合夥團體比例亦約在3成左右,與有限合夥相近。但在2008年有限責任公司盈利則下降為11%左右[13]。 四、普通合夥( General Partnership, GP)數量快速萎縮 另一項常見的合夥團體,為全體合夥人負無限責任之普通合夥GP。觀察本次統計發現,在2009年間,普通合夥GP數量為624,086家,相較於2008年669,601家,下降6.8%。且與1995年1,167,036家相比,更下降53.5%。顯見普通合夥GP在數量上呈現快速萎縮之趨勢,而逐漸不受到美國投資者的青睞[14]。至於在盈利表現上,除2009年約為621億美元外,2000年至2009年間皆在700-900億美元間起伏。 參、趨勢分析 針對上述針對美國近期合夥團體發展之歸納,本文提出下列看法: 一、稅制改變造成有限責任公司LLC數量成長 依據美國稅法規定,一般公司(Corporation)與合夥團體最大的差異在於,一般公司(Corporation)具備課稅主體地位,而公司在課稅後 尚須就股東個人所得再次課稅,形成雙重課稅(Double Taxation)。反之,合夥團體採單層課稅(Pass Through Taxation)方式[15],多半情況下納稅價額較低。因此,有限合夥LP等相關合夥組織過去十分受到投資人喜愛。 相較下,有限責任公司(LLC)之定位究竟屬於一般公司法人(C corporation)或是合夥,在發展初期並不明確,而未受到投資者廣泛運用。但此情況在1996年改採「勾選原則」(Check The Box Rule)後有了改變。在勾選原則下,除權益得公開交易之企業必須以一般公司法人(C corporation)方式課稅外,容許非公司型組織(unincorporated entities)可以自由選擇稅制[16]。此稅制上的改變,使得有限責任公司LLC得排除雙重課稅的不利,而享有合夥團體單層課稅之優惠。本文推測,1996年起有限責任公司 LLC 在數量上大幅度的成長,應係與此有關。 二、有限合夥LP在金融投資相關行業的運用未受影響 從數據上看來,相較於有限責任公司LLC數量的大幅提升,有限合夥LP則未出現明顯的排擠效益。有限合夥LP數量持續維持在40萬家左右。且如前述所提,有限合夥LP擁有相當高的獲利能力 ( 高達1393億美元 ) ,而深入觀察可發現,當中包括創業投資等「其他金融投資活動」 (Other financial investment activities)[17]獲利高達716億美元[18]。顯見 有限合夥LP在金融投資相關產業仍具有關鍵重要性。 從本次美國所提出的稅收統計報告可以發現,毋論是有限合夥LP抑或是有限責任公司LLC之組織形態,在未來都將具有相當重要性。面對如此之發展,我國實應思考立法開放此等新型態商業組織之可能。因唯有商業組織多元化的發展,才有機會使更多投資者找到符合其個人需求之投資模式,將資金投入市場,進而促進資金的流通與經濟的發展。在面對全球化的今日,各國間無不為吸引資金進入,爭相採取不同開放手段的此刻,謹慎而適度地開放商業組織政策,將能為國家競爭力帶來深遠的助益。 [1]Nina Shumofsky & Lauren Lee, Partnership Returns, 2009 , Internal Revenue Service Statistics of Income Bulletin Fall 2011 Washington, D.C. 68 (2011). [2]此處合夥團體是指依據美國國內稅法 (Internal Revenue Code, IRC) Subchapter K納稅之企業。依據IRC規定,商業團體報稅時,需依據其組織性質不同,分別按Subchapter C、Subchapter S、Subchapter K進行報稅。原則上一般公司 (Corporation) 應依據Subchapter C申報;符合Subchapter S條件之公司 (Corporation) 則可依Subchapter S申報,亦即俗稱之S公司;至於其他非公司 (Corporation) 之企業,則可依據「勾選原則」(Check The Box Rule)選擇依Subchapter C 或 Subchapter K進行報稅,包括有限合夥、普通合夥、有限責任公司、有限責任合夥、有限責任有限合夥。其中有限責任合夥是指在普通合夥基礎下,使普通合夥人無需為其他合夥人不當或過失行為負責之組織;如是在有限合夥基礎下,賦予普通合夥人此有限責任範圍,則為有限責任有限合夥。 See Internal Revenue Code, 26 U.S.C. §§ 1-9834. (2012) [3]Nina Shumofsky & Lauren Lee ,supra note 1, at 84. [4]id., at 70. [5]id., at 72. [6]惟其金額卻由2008年約1782億美元,下降為1393億美元,Id., at 156-7. [7]Id., at 156-7. [8]Id., at 73. [9]Id., at 68. [10]Id., at 73. [11]Id., at 75. [12]Id., at 151. [13]Id., See Figure I, at 75. [14]至於以普通合夥為基礎所衍生的有限責任合夥,在數量上至2009年間僅達到117,660家,並未因普通合夥下降而大幅提升。See id ., at 157. [15]參見羅怡德,〈美國「有限合夥」之介紹與討論〉,《社經法制論叢》,第6期,頁193以下(1990)。 [16]Robert W. Hamilton著,齊東祥譯,《美國公司法(The Law of Corporations)》,法律出版社,第5版,頁26-27 (2007)。 [17]依據北美行業分類系統 (The North American Industry Classification System, NAICS) 定義,「其他金融投資活動」 (Other financial investment activities) 係指:1.除銀行、證券商、商業契約經銷商外,其他買賣金融契約之主體;2.除證券商、商業契約經紀人外,其他買賣金融契約之代理人或經理人;3.除證券商或商業契約經銷商外,提供其他投資服務,包括投資組合管理、投資諮詢、信託、保管服務等。available at http://www.census.gov/cgi-bin/sssd/naics/naicsrch?code=5239&search=2007%20NAICS%20Search (last visited 04/18,2012) [18]supra note 1, at 156.
淺談個人資料跨境傳輸之管理淺談個人資料跨境傳輸之管理 科技法律研究所 2013年04月03日 由於資訊科技與全球商務型態之快速發展,企業將個人資料為跨境處理或利用的情況已相當的普遍,例如因人員的調動而傳輸個人資料至位於他國境內的關係企業、因作業委外對象位於他國境內而將個人資料傳輸至境外…等。然而,企業將個人資料為跨境處理或利用時,時常因為各地法令之不一,而面臨阻礙,進而影響其商務活動的進行。我國為一海島型國家,長年倚賴國際通商,是以,有關於個人資料跨境傳輸之課題,為有關當局所不能忽視者。本文擬就世界主要國家及機構之個人資料跨境傳輸國際合作機制精要說明,並提出我國公務機關可能採取之作法建議。 壹、事件摘要 對於個人資料跨境傳輸議題的管理,涉及了多個面向的課題,其中包括了對於各國國家主權的尊重、各國個人資料法令的不一致對於商務活動的影響、個人資料保護與國家利益的平衡…等。觀察各國與國際組織之動態,其基於政治以及經濟上利益,皆致力推動與調和國際間個人資料保護原則。 以歐盟為例,因對於人權的尊重與個人隱私的重視,歐盟所建立的跨國個人資料傳輸規範較為嚴格,而此舉對企業為個人資料之跨境處理或利用造成困擾,阻礙個人資料的自由流動。為此,歐盟採納了個人資料跨境傳輸時所需遵守之標準契約條款,以及具有拘束力之合作規則,以克服個人資料難以自由流動之困難。另一方面,觀察APEC之個人資料保護指令的內容,可以發現個人資料保護之課題受到重視係為了促進區域內電子商務活動之發展。 上述之說明更彰顯了國際組織或其他國家對於個人資料國際傳輸之重視不外乎為了經濟利益的追求、商務活動的進行,故其作法或可為重視國際通商的我國所參考。 貳、重點說明 一、歐盟對於個人資料跨境傳輸議題的管理 (一)標準契約範本之提出 歐盟執委會依歐盟個人資料保護指令第26條第4項提出標準契約範本(the Contractual Model and Standard Contractual Clauses),此標準契約範本之起草精神為,會員國簽訂標準契約後,即可不需徵求該國個人資料保護機關之准許,增進個人資料跨國傳輸之效率以及速度。雖然,此標準契約範本仍有發展空間,但國際上已有相當多國家利用該標準契約處理個人資料跨境傳輸。 目前歐盟已發展三套標準契約範本供會員國於跨境傳輸個人資料時參考,分別是2001/497/EC、2004/915/EC及2010/87/EU之標準契約附錄。依標準契約範本之內容,資料傳送者將個人資料傳輸至第三國時,縱使個人資料接收國已經採取合適的個人資料保護措施,個人資料的傳輸國仍必須採取額外的個人資料保護措施。其中,2001/497/EC與2004/915/EC主要針對會員國之資料管理者將個人資料傳輸至非會員國之資料管理者,而2010/87/EU除了針對會員國之資料管理者將個人資料傳輸至設立於非會員國之資料處理者之情形外,亦賦予當事人更廣泛之契約求償權利,亦即個人資料受侵害之當事人可採取法律行動先向個人資料傳送者請求損害賠償,若個人資料傳送者無賠償能力或發生逃避損害賠償責任之情形時,當事人可以向受個人資料進口者委託者(sub-processor)提出請求,要求就其責任範圍負擔損害賠償責任。 標準契約範本的起草與形成其實就是歐盟隱私保護原則的契約化,是以,該契約範本所定之要件過於嚴格又缺乏彈性,同時增加個人資料跨境傳輸之行政費用負擔,故傳輸以及接收個人資料之雙方不願意以標準契約條款作為其約定之內容。對於跨國傳輸個人資料之跨國企業而言,造成標準契約條款缺乏彈性的主要原因為實務上企業跨國傳輸個人資料時,不見得會設立完整傳輸系統,時常運用郵件交換、內部資料庫查詢以及內部網路等工具跨國傳輸個人資料,而標準契約條款並無法完全因應現況,故產生難以適用之情形。 (二)共同約束條款(Binding Corporate Rules)之提出 如前所述,歐盟執委會已體認到模範契約範本適用上之問題。考量到企業營運之利益,歐盟執委會增加了共同約束條款(Binding Corporate Rule, BCR)機制。BCR為歐盟工作小組依循歐盟個人資料保護指令之精神所提出,為跨國企業、團體以及國際組織於跨境傳輸個人資料至其位於其他未設有妥善個人資料保護法制制度之國家的分公司或子機構時,得以遵循之規則。 BCR建立乃是為了減少跨國組織簽署契約條款之行政負擔支出,並可以更有效率地於其集團內跨境傳輸個人資料。但,BCR僅適用在組織內部跨境移轉個人資料之情形,若是不同公司、企業或組織跨國傳輸個人資料情形時,則不適用BCR。 (三)安全港協議之簽署 為了犯罪偵查機關執行公務之目的,政府間時有合作跨傳輸個人資料之需求。以美國與歐盟為例,二者間成立高度密切聯絡小組(the High Level Contact Group)以統合處理歐盟會員國與美國政府機關就協議事項之協調事宜,同時,亦設定個人資料跨境傳輸保護之相關標準,以供歐盟及美國政府遵循之。 對於個人資料的保護,美國採取分散式之法律規範模式,此與歐盟各會員國之作法不同。此外,因為美國並未被歐盟執委會認定為具備充分(adequate)之個人資料保護措施地區,因此於個人資料跨境傳輸時,依歐盟個人資料保護指令,歐盟內之個人資料似不能傳輸至美國,除非符合其他例外情形。對此,為了弭平兩區域間因個資法規範不同所造成個資無法跨國傳輸之情形,美國商務部與歐盟執委會協議採取安全港架構,此安全港架構提供欲跨境傳輸個人資料之組織可自行評估並決定是否加入安全港架構的機制。 二、APEC亞太經濟合作組織對於個人資料跨境傳輸議題的管理 (一)資訊隱私開路者合作計畫之提出 APEC透過亞太經濟合作組織資訊隱私開路者合作計畫(APEC Data Privacy Pathfinder Projects)建立多邊隱私保護認證機制。開路者計劃之內容包含了自我評估、承諾審查、互相承認與接受、爭議解決與執行…等九項子計畫,期能夠在符合APEC隱私保護綱領之原則下,推動APEC跨境隱私保護規則(Cross-Border Privacy Rules, CBPRs)。總結來說,開路者計劃透過設計一連串的制度,提供企業經營者得以建立其內部之跨境資料傳輸規則,並且透過認證機制(Accountability Agents)之建立,使企業得以提供消費者可信之標章。 (二)APEC跨境隱私執行機制之提出 為使會員經濟體間個人資料之跨境傳輸更為流通,並且調合各國因個人資料保護法令要件不同而產生扞格之情形,APEC跨境隱私執行機制(APEC Cross-Border Privacy Enforcement Arrangement, CPEA)因應而生,而目前己加入本機制之會員經濟體,包括澳洲、加拿大、香港、紐西蘭以及美國。 (三)與其他區域之合作與整合 APEC已開始思考除了亞太地區之個人資料跨境機制之加強外,也思考如何與其他區域之跨境隱私機制進行合作或者整合,以歐盟為例,APEC思考如何將CBPRs機制與歐盟之共同約束條款作調和,以促進全球間之個人資料跨境傳輸。 2012年,APEC將依透明化、流通化、以及低成本化之目標建置更為完善之跨境傳輸個人資料制度。除了加強區域內各國對於跨境隱私系統之認識外,也希望區域內之會員經濟體可踴躍參與跨境隱私機制。 三、經濟合作與發展組織對於個人資料跨境傳輸議題的管理 經濟合作與發展組織(Organization for Economic Co-operation and Development, OECD)於1980年公佈「個人資料保護準則以及跨國資訊傳輸準則」(Recommendations of the Council Concerning Guidelines Government the Protection of Privacy and Trans-Border Flows of Personal Data),列出七項原則,包括: (一)通知(Notice):當個資被收集時,應通知當事人。 (二)目的(Purpose):資料僅得以說明之目的為使用,不得作為其他目的之使用。 (三)同意(Consent):未獲得當事人之同意時,不得揭露當事人之資訊。 (四)安全保障(Security):需保障被蒐集之資料被濫用。 (五)揭露(Disclosure):當事人應被告知誰在蒐集他們的資料。 (六)查閱(access):當事人應可查閱其個人資料並且可改正任何不精確之個人資料。 (七)責任原則(Accountability):當事人須被通知須負起個人資料蒐集使用以及管理責任者為何人。 個人資料保護準則以及跨國資訊傳輸準則表達各國整合個人資料保護原則之共識,亦可了解OECD各會員國對於消除各國間對於個人資料保護差異以及建立更有效率之跨國個人資料傳輸制度有一致性的想法。 參、事件評析 我國目前已加入APEC跨境隱私規則機制之實驗小組,希望能透過國際參與之方式,推動個人資料跨境傳輸活動,並符合國際組織之隱私保護要求。由於我國並未被歐盟執委會認定為具有合適個人資料保護措施之地區。因此,我國企業如欲從歐盟會員國之地區接收個人資料時,必須注意援用其他之機制,例如與資料傳輸者簽訂模範契約條款或者是使用共同約束條款。另外,我國可比照美國與歐盟間所建立之安全港模式,與歐盟會員國簽訂安全港協議,以符合歐盟隱私權保護指令之要求。 在國際間,我國政府除了持續參加APEC所建立之跨境傳輸機制外,對於非APEC會員經濟體之地區,建議公務機關可透過雙邊擬定安全港架構或者簽訂合作備忘錄之方式,建立與他國間之個人資料傳輸跨境合作。透過安全港架構以及合作備忘錄之簽訂,可確保雙邊之合作內容、擬定跨境傳輸之必要注意原則、建立聯絡窗口等相關機制之健全,亦可使國內須要進行個人資料跨境傳輸之企業、組織以及個人有明確之法規範可依循。