印度對TK( Traditional Knowledge傳統知識 )保護提出的建議修正案

新版個資法與個資保護管理制度 科技法律研究所 2013年4月1日 壹、事件摘要 　　國內於1995年制定施行「電腦處理個人資料保護法」，在資訊科技日新月異下，加諸法規本身適用上的限制，原有法制設計已不符實務需求。考量個資外洩事件日漸增加，歷經長時間討論，國內於2010年4月三讀通過新版個資法，將法律名稱調整為「個人資料保護法」，並在2012年10月1日正式實施新制。新法不僅全面調整法規內容，並大幅加重企業所負義務與責任，就民事責任而言，單一事件 賠償金額最高達到10億。對國內產業而言，如何有效因應個資法要求，採取妥適的對應策略降低風險，已成為企業運營上的關鍵課題。 貳、重點說明 一、新版個資法暨施行細則正式施行 　　個人資料保護可說是近期國內最受重視的議題，事實上國內早於1995年8月即制定施行「電腦處理個人資料保護法」，惟經過十餘年的發展，在電腦與資訊科技日新月異下，包括電子商務等新興商務模式，均廣泛蒐集個人資料，個人隱私的妥善保護，日益重要。然而，原有的「電腦處理個人資料保護法」，於適用主體方面，存在著行業別的限制，僅有「徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業」等八種特定事業，以及經由法務部會同中央目的事業主管機關共同指定的行業，方受到規範；此外，該法所保護的客體，亦限於經由「電腦或自動化設備」處理的個人資料，才受到保護，不包括非經電腦處理的個人資料，對於保護個人資料隱私權益規範，明顯不足。 　　個資外洩事件層出不窮下，2007年行政院消費者保護委員會提出的十大消費新聞中，「電子商務、電視購物個資外洩事件」即高居首位，促使法務部與經濟部透過「共同指定」方式，使無店面零售業（包括網路購物、型錄購物、電視購物等三種交易態樣）自2010年7月1日起適用「電腦處理個人資料保護法」。 　　為使個人資料保護法制規範內容，得以因應急速變遷的社會環境，行政院甚早即已提出「電腦處理個人資料保護法修正草案」，並將名稱修正為「個人資料保護法」，歷經立法院會多次討論，終於在2010年4月三讀通過，法律名稱調整為「個人資料保護法」，於5月26日由總統府正式公布。新法雖於2010年4月三讀通過，但為使企業及民眾有充分時間了解並因應新法，新版個資法並未於公布日施行，而是於該法第56條規定，由行政院另訂施行日期。經過長時間討論，「個人資料保護法」已由行政院決定在2012年10月1日正式實施，惟新法第6條關於特種資料原則上不得蒐集、處理與利用，以及第54條要求新法實施前已間接取得的個人資料，必須在一年內補行告知等二項規定，保留暫緩實施。 　　就個人資料保護法制而言，除最為重要的「個人資料保護法」外，依據母法制定的施行細則，也扮演著關鍵性的角色。原有的「電腦處理個人資料保護法施行細則」於1996年5月1日發布施行，鑒於「電腦處理個人資料保護法」已於2010年進行修正，並將名稱修正為「個人資料保護法」，法務部也配合新法修正內容，積極研商「電腦處理個人資料保護法施行細則修正草案」。隨著新版個人資料保護法確定於2012年10月1日正式上路，法務部另於2012年9月26日正式公告?正後的施行細則，並將細則名稱修正為「個人資料保護法施行細則」。新版個資法暨施行細則正式上路，促使國內個人資料保護工作，邁入全新的紀元。 二、個人資料管理制度與資料隱私保護標章 　　在「個人資料保護法」修正通過前，2008年6月立法院即已提案，建議政府參考國外作法，推動我國隱私權管理保護認證制度，隔年8月「行政院產業科技策略會議」（Strategic Review Board）中，決議推動「電子商務個人資料管理暨資訊安全行動方案」，並於同年12月核定放入99年至102年政府關鍵推動方案。 　　基於上述行動方案，經濟部自2010年10月起，委由財團法人資訊工業策進會執行「電子商務個人資料管理制度建置計畫」，並自2012年起續行推動「電子商務個人資料管理制度推動計畫」，建置推動「臺灣個人資料保護與管理制度」（Taiwan Personal Information Protection and Administration System, TPIPAS），期使企業於遵守個人資料保護法制的前提下，透過建立內部管理機制，適當保障消費者的個人資料，並在嚴謹的驗證要求下，確認導入企業是否符合制度要求，同時搭配「資料隱私保護標章」（Data Privacy Protection Mark, dp.mark）的發放，作為消費者判斷企業隱私維護能力的客觀指標。 　　針對個人資料管理制度的導入，事業應依循「臺灣個人資料保護與管理制度規範」逐步建立內容管理機制，該制度規範同時也是國內企業能否取得「資料隱私保護標章」（dp.mark）的審查指標。由於國內業者過往並無建立內部個資管理制度的經驗，「臺灣個人資料保護與管理制度」自2011年起，協助企業培訓「個人資料管理師」及「個人資料內評師」等制度專業人員，合格的個人資料管理師可協助企業於事業內部建立完整的制度，而內評師則是扮演確認企業建立的制度，是否符合制度規範要求的角色。截至2012年，國內已有近百家企業參與制度人員培訓，合計達426位管理師及131位內評師。在TPIPAS導入上，事業除了由合格的管理師自行建置導入管理制度外，也可尋求專業的外部輔導機構協助，「臺灣個人資料保護與管理制度」自2012年起，開放輔導機構登錄之申請，並於制度網站上公告符合資格要求的制度輔導機構，目前已有九家合格的輔導機構完成登錄作業，提供事業個資輔導服務。 　　事業完成內部管理體系建置後，便可向「臺灣個人資料保護與管理制度」提出驗證申請，驗證流程包括「書面審查」及「現場審查」二階段，事業通過驗證後，即具備使用「資料隱私保護標章」（dp.mark）的資格。目前國內已有統一超商、全家、博客來、樂天、亞東、康迅數位及欣亞等七家業者通過TPIPAS驗證並取得dp.mark，透過導入個資管理制度，強化消費者隱私資料的維護。 參、事件評析 　　「臺灣個人資料保護與管理制度」(TPIPAS)是以國內新版個人資料保護法內容為基礎，並參考國際組織對個人資料保護的最新要求，以及主要國家個資管理制度的推動經驗，所建立的專業個人資料管理制度。TPIPAS配合產業個人資料保護實務需求，將專業的法律要件轉化為內部個資管理流程，可有效協助產業建立完善妥適的個人資料管理制度，符合個資法規要求。在新版個人資料保護法上路之際，導入TPIPAS取得dp.mark，不啻是企業降低個資法風險，提升內部個人資料管理能力的最佳策略。

日本智慧財產推進計畫2015分析（上） 資策會科技法律研究所 法律研究員　蘇彥彰 104年08月26日 　　日本智慧財產戰略本部於今年6月19日公布了最新一期的「智慧財產推進計畫2015」[1]，分析其內容，除仍以智慧財產的創造、保護、活用及三者間的有效連接作為宗旨外，並以少子高齡化與地方經濟衰退、智財糾紛處理機制的使用狀況和便利性、以及內容產業海外拓展的潛力及對智財戰略之重要性為背景，特別提出了「推動中小企業智財活用」、「活化智財紛爭處理機制」、「推動內容產業及週邊產業整體性的海外拓展」等三項核心議題，並分別剖析各項議題其現狀課題及主管部會應努力之方向，其內容如下： 一、推動中小企業智財活用 （一）現狀與課題 　　日本全國目前約有385萬間中小企業，不僅對於支持日本經濟具有重要地位，同時也是產業競爭力的來源。若中小企業能發展自身的智慧財產（包括技術、品牌等），以經營策略為基礎，有效透過智財戰略的權利化、標準化、隱密化等方式，應可將智慧財產活用於商業行為中，並且成功連結地域經濟的發展。然而以2013年而言，日本中小企業之中，將所擁有之技術或知識等加以權利化，申請發明專利、新型專利或商標其中之一的企業只有約3.3萬間，不到全部中小企業總數的1％[2]，可知日本目前將智慧財產活用於商業活動的中小企業非常有限。 　　而於2015年度的智財推進計畫中，日本依據對智財的掌握度將中小企業區分為「智財活用挑戰型」和「智財活動發展型」二類，前者是指能將自身所擁有的智慧財產和構想加以權利化後，將之活用於產品的開發、生產乃至於拓展海外市場等挑戰性活動之中小企業，後者則是指尚未擁有足以權利化之智慧財產（尤其是技術），對智財的意識尚屬薄弱，生產產品的通路和交易對象偏向固定，多半處於承攬者地位之中小企業。 　　關於強化中小企業智財戰略的作法，就「智財活用挑戰型」之中小企業而言，有鑑於對於非都會區之中小企業，能從智慧財產和商業經營兩個不同角度提供建言的機能，在現行體制下仍有所不足，故有必要針對如何策略性取得並活用智財，以助於事業經營之經營意識進行強化，特別是思維上應不侷限於申請並取得專利權，而是針對關於權利化、標準化、隱密化進全面性強化輔導的專門體系實為重點；另就「智財活動發展型」之中小企業而言，則將重點置於利用各種可能機會，協助喚起其對智財的認知及意識，特別是對金融機構等中小企業的相關事業人員進行智財啟發。 　　另一方面，關於對非都會區十分重要的農林水產領域，隨著近年來全球化和資訊化的高度發展，日本認為除需要對於仿冒品和技術外流提出對應作法外，也有必要活用2015年6月開始採用的「地理標示保護制度」[3]，以提高品牌價值、強化產業國際競爭力並活化地方經濟。 （二）今後施政方向 　　日本根據上述的現狀與課題，為強化中小企業等的智財戰略，同時促進大企業、大學和地方中小企業合作活用其智財，指示各主管部會應著手推動下列的施政方向： 1.強化地方中小企業智財戰略： 　　強化在各個都道府縣的支援據點數量，並且進行諮商體制及支援資源的強化，經由與中小企業的商業活動相關諮詢，發掘中小企業中與智慧財產相關的潛在需求，並且進一步透過智財綜合支援窗口，促進地域性中小企業活用自身之智慧財產，例如將其設計、品牌與活化產業或地域資源連結加以活用，提高中小企業所具有之無形資產之「能見度」，創造高附加價值的產品。 2.強化地方中小企業、大企業以及大學之智慧財產互助： 　　充實開放專利資料庫，使企業、大學、研究機關等之開放專利可直接透過網路進行整體性檢索，並在各地方行政機關配置支援人力，協助大企業將其所保有但未能有效利用之智慧財產（例如所謂之「休眠專利」），透過相對缺乏外部知識和技術等經營資源，但有意願接受技術移轉之中小企業進行事業化，以達成智財的有效活用；另針對大學與企業間共同研發情形進行調查，了解包括共同研發的專利申請型態、運用狀況和契約實務，以檢討共同研發之專利申請和契約內容的處理方式妥適性，進而從促進大學智財活用目標，以及兼顧中小企業、大企業、大學等個別需求和立場觀點下，設計具有彈性、可有效應用於在大學和企業間的契約內容。 3.推動農林水產領域智財戰略： 　　為推進農林水產領域的品牌化，在對於新導入的「地理標示保護制度」進行徹底宣導時，也應一併針對與地域品牌戰略有關的「地域團體商標制度」[4]間的選擇/搭配進行介紹，促進兩項制度的實際運用；對於海外市場，則透過與已導入地理表示保 護制度國家間的合作，使正牌日本特產能為當地市場所熟悉，整頓日本各地農林水產品向外輸出的環境。 （三）小結 　　與日本類似，我國的產業結構亦以中小企業為主，依經濟部中小企業處之統計，2013年我國中小企業有133萬1182家，占全體企業97.64%，就業人數858萬8000人，亦占全國就業人口78.3%[5]，足見中小企業不僅是我國經濟之命脈，更是支撐就業及分配所得的基石。 　　經濟部中小企業處於2013年至2014年6月間，為協助企業經營體質創新發展、創新中小企業智財價值，協助具技術創新之中小企業，進行智慧財產經濟價值及多元智財運用之評估，並輔導企業強化重視智財權及協助導入智財管理制度，以縮短研發時程及節省相關研發投入成本，已完成67家中小企業智財權之短期診斷服務、完成4家中小企業專案輔導、完成2家中小企業產品安規及檢測服務、輔導6家中小企業導入智財管理制度、為企業節省研發先期投入成本650萬元/年、帶動後續投資金額及流通運用衛生收入金額達3085萬元/年等[6]，已見相當成效。 　　我國後續或可參考前述日本作法，除持續加強中小企業智財戰略思維外，對於中小企業與大學或大企業間之智財互助，以及製造業以外之農林水產領域智財品牌化工作投注心力，以進一步實現中小企業之智財活用目標。 [1] 〈知的財産推進計画2015〉，知的財産戦略本部，http://www.kantei.go.jp/jp/singi/titeki2/kettei/chizaikeikaku20150619.pdf（最後瀏覽日：2015/08/14） [2] 〈中小企業・地域知財支援研究会 参考資料〉，特許庁， https://www.jpo.go.jp/shiryou/toushin/kenkyukai/pdf/chusho_chizai_shien/betten.pdf（最後瀏覽日：2015/08/13） [3] 〈地理的表示保護制度(GI)〉，農林水産省，http://www.maff.go.jp/j/shokusan/gi_act/（最後瀏覽日：2015/09/02） [4] 〈地域団体商標制度〉，特許庁，https://www.jpo.go.jp/torikumi/t_torikumi/t_dantai_syouhyou.htm（最後瀏覽日：2015/09/02） [5] 〈2014中小企業白皮書〉，經濟部，頁2（2014），http://book.moeasmea.gov.tw/book/doc_detail.jsp?pub_SerialNo=2014A01203&click=2014A01203#（最後瀏覽日：2015/08/26） [6] 同前註，頁252。

　　美國醫療產業使用境內或境外雲端服務（Cloud Services）急速成長，導致「健康保險可攜與責任法」（Health Insurance Portability and Accountability Act，以下簡稱HIPAA）規範下之「適用機構」（Covered Entities）與其「商業夥伴」（Business Associate），對於雲端服務業者如何適用HIPAA感到疑惑。因此，衛生及公共服務部民權辦公室（Department of Health and Human Services, Office for Civil Rights）於10月7日公布相關業者如何適用HIPAA之指引，以釐清爭議。 　　於該指引中，該部指出，雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」（Protected Health Information），則該雲端業者就被視為HIPAA下規範之商業夥伴，原因在於該服務具有儲存與維護醫療資訊功能，非屬該法排除適用之「網路服務業者」（Internet Service Providers）資料傳輸服務類型。 　　該指引有幾大重點：首先，雲端服務業者如將該醫療資訊提供加密儲存服務，仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者，雲端業者皆須與委託方簽署商業夥伴協議（Business Associate Agreements）。此外，使用雲端服務儲存資療資訊時，委託方皆能使用行動設備進入雲端儲存之醫療資料，但應建立合乎HIPPA所要求相關之安全措施。最後，HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者，但使用前應自行評估該資訊遭駭客攻擊之可能性。

　　英國支持一項由智慧財產權組織（World Intellectual Property Organization/WIPO）草擬的廣電協議（Treaty on the Protection of Broadcasting Organizations），引起一陣反對聲浪。反對者聲稱，這無疑是送給大財團一項操控媒體內容製作的新權利。 2006年6月21日，在西班牙召開的此項協議的討論會議，賦予無線、有線廣電業者和網路廣播業者一項全新的智慧財產權利。業者將對他們所傳輸的任何作品，擁有「五十年、類似著作權的權利（copyright-like rights）」。此協議的目的是為了讓法律更合乎時代性，特別是要處理數位傳送上所產生剽竊數位訊號的問題。不過，網路廣播業者和podcasters卻擔心，如果WIPO將該規範擴張到網路，將使原無需經過授權散播的作品，或者內容是獲得「Creative Commons」授權，可無限制次數的發表，在某些情況下更可不付費的作品，反將經過網路廣播的傳送，讓一些團體組織獲得新的權利。如此一來，恐怕除了限制民眾獲取文化知識的自由外，更會讓那些原屬於創作者和公眾的權利，落入廣電業者手中。Podcasters認為，podcasting 和廣播不能相提並論，更不該受同樣法規的規範。