臉書(Facebook)於今年11月底與美國聯邦貿易委員會(FTC)就2009年的隱私權控訴案達成和解。該控訴案指出「臉書欺騙消費者其在臉書上的資訊可以保持隱私,然而卻一再任這些資訊被公開分享與使用」。舉例而言,在2009年12月,臉書改版時未預先通知使用者進行設定,導致使用者的朋友名單被公開。除此之外,擁有全球8億用戶的臉書,允許廣告商在臉書使用者點選廣告時,蒐集其個人身分資訊。另外,縱使臉書的使用者將帳戶刪除,其照片等等影音資料仍能夠被該公司讀取。臉書的這些行為被聯邦貿易委員會指出,這是不公正的詐欺行為(unfair and deceptive)。
聯邦貿易委員會最終與臉書達成和解,未施加任何罰緩,也未指控臉書蓄意地違反任何法規。依照和解內容,臉書必須要在接下來的二十年內,每兩年一次受獨立公正第三人稽核其隱私保護措施。但假設臉書在未來違反了這些和解條款,臉書將被處以每行為每日16,000美元的罰緩。推特(Twitter)以及谷歌(Google)近來也與聯邦貿易委員會達成了類似的協議。
聯邦貿易委員會要求臉書必須要取得使用者「確切的同意」才可以變更其本身的隱私使用設定。比如說,假設使用者設定某些內容只能供「朋友」讀取,臉書就不能夠把這些內容提供給「朋友」以外的人,除非取得使用者的同意。
為避免數位科技轉換所可能發生的權利保護缺口,美國眾議院司法委員會主席 James Sensenbrenner Jr. 與議員 John Conyers 於本月 16 日共同提出了「 Digital Transition Content Security Act 」( DTCSA , H.R.4569 ),要求業者應在次世代的數位影像製品中加入反盜版技術。該草案的提出,無疑地為飽受盜版所苦的好萊塢注入一劑強心針。 原本可受到著作權法保護的數位內容,一旦由數位轉換為類比( analog )形式,再由類比轉換回數位後,其品質上雖稍受影響,但此一新的數位內容即不再受著作權法的保障,眾議員 John Conyers 將之稱為「類比漏洞」( analog hole ), DTCSA 的提出即在於因應此一棘手問題。未來草案若能順利通過,除非業者能提出有效阻斷違法複製的策略,否則在一年緩衝期過後,業者凡有製造或販售可將類比影像訊號轉換為數位訊號之設備,均將被宣布為違法。可能因此受到影響者,包括了電腦調頻器( PC-based tuner )與數位錄影機( digital video recorder )等。 全美電影協會( MPAA )對此新法大表歡迎,主席 Dan Glickman 認為 DTCSA 的提出,不僅保護了權利人,同時也將提供消費者更多的選擇。但另一方面,在 DTCSA 賦予商業部( Commerce Department )更大的權力以監視家電製造業者之下,草案無可避免地將遭致來自業者一方強大的反彈力量。
歐盟執委會規劃制訂「2050能源發展藍圖」歐盟執委會(European Commission)於去(2011)年12月公布「2050能源發展藍圖(Energy Roadmap 2050: a secure, competitive and low-carbon energy sector is possible)」,主要係執委會承諾將推動歐盟於2050年前達成溫室氣體80-95%減量目標(相較於1990年排放基準),建立具競爭力之低碳經濟社會,所以規劃擬訂「2050能源發展藍圖」,期望能導引歐盟走向「無碳化目標(Decarbonisation Objective)」,同時並確保能源供應安全及保持國際競爭優勢。 並且,奠基於之前「歐洲2020發展策略(Europe 2020)」所設立推動「20-20-20」溫室氣體減量及能源效率目標,歐盟執委會認為進一步擬訂「後2020時期策略(Post-2020 Strategies)」是非常亟需的,並且認為以現有規劃持續推動,2050年僅將達成減少40%減量目標,對於歐盟建立成為無碳化社會之目標,是非常不足夠的,所以擬訂此一發展藍圖。 「2050能源發展藍圖」主要設定了五項無碳化發展願景(Scenarios):包含提高能源效率(High Energy Efficiency)、多元化能源技術(Diversified Supply Technologies)、提昇再生能源比例(High Renewable Energy Sources)、 因應碳捕捉發展(Delayed CCS)、 降低核能發電(Low Nuclear)等,並對於「2020至2050發展規劃(Moving from 2020 to 2050)」,研析諸如提昇能源節省與管理需求(Energy Saving and Managing Demand)、移轉使用再生能源發電(Switching to Renewable Energy Sources)、天然氣過渡重要角色(Gas Plays a Key Role in the Transition)、智慧能源技術及儲存發展(Smart Technology, Storage and Alternative Fuels)、電力管理新思考(New Ways to Manage Electricity)、整合區域發電資源與集中系統(Integrating Local Resources and Centralised Systems)等重要議題。未來歐盟執委會如何進一步依據「2050能源發展藍圖」規劃制訂推動措施及配套機制,值得持續觀察研析。
文創法第26條第1項第4款適用疑義─營利事業對國家電影中心之捐贈列支為例文創法第26條第項第4款適用疑義─ 以營利事業對國家電影中心之捐贈列支為例 科技法律研究所 法律研究員 尤騰毅 2015年02月10日 壹、事實說明 日前根據報載「…金馬影后、也是湯臣影業負責人徐楓,響應搶救老電影計畫,一舉捐出510萬元修復胡金銓導演、也是她自己的代表作《俠女》,作為國家電影中心的開門之喜。…」(「國家電影中心」成立 徐楓捐款510萬,經濟日報,2014.07.28)。營利事業對於財團法人國家電影中心之捐贈列支,係依所得稅法第36條,或文創法第26條第1項第4款申請? 貳、法律評析 一、依所得稅法第36條第1款以專案核准方式辦理,得不受列支金額限制 營利事業針對政府捐助成立之特定財團法人,目前財政部依所得稅法第36條第1項規定,以專案核准方式作成多號函釋,其捐贈列支,不受金額限制,包括財團法人法律扶助基金會、財團法人中央廣播電台等,參附錄一。以本案例而言,若能依所得稅法第36條第1款向財政部申請以專案核准方式辦理,可享有無認列金額上限之待遇,係優於文創法的處理方式;惟本案捐贈款項有指定用途,捐贈人宜以捐贈契約明文,以確保捐贈目的的達成。 二、本案例事實亦可適用文創法第26條 (一)受贈對象 文創法第26條之立法意旨在於鼓勵民間企業參與,帶動文創產業發展,達到以短期租稅減收換取未來長期經濟發展之目的。希望將企業資金導入民間之文創產業,其受捐贈目的與所得稅法第36條第2款所稱之教育、文化、公益、慈善機關或團體有別。惟其受贈對象未限於營利之民間企業,亦包括從事文創事業之非營利法人,故本案捐助對象雖為財團法人國家電影中心,因其亦為從事文創產業活動之事業,仍屬文創法第26條之適用對象。 (二)捐贈事由 文創法第26條第1項所列3款法定事由,同項第4款並授權中央主管機關可認定得列為當年度費用或損失之事項(屬概括規定)[1]。關於文創法第26條所列3款法定事由,茲先說明如下: (一)購買由國內文化創意事業原創之產品或服務,並經由學校、機關、團體捐贈學生或弱勢團體。(文創法第26條第1項第1款) 所稱國內文化創意事業,係指「在我國依法設立之法人、合夥或獨資事業,或具有中華民國國籍之國民,從事文化創意產業者」(營利事業捐贈文化創意相關支出認列費用或損失實施辦法第2條,下稱認列辦法)。只要是國內文化創意事業所研發創作,提供消費者消費之產品或服務,均適用捐贈認列抵稅。 營利事業所捐贈之原創產品或服務,須經由學校、機關或團體,核轉給適格的捐贈對象。所稱「學校」,包括所有各級依法設立、實施正規教育的公、私立學校,故不包含補習學校與社區大學(認列辦法第2條)。另為確保捐贈為弱勢團體所用,針對受贈團體之認定標準,限於依法設立或登記之非營利組織。透過符合上述資格之學校、機關或團體,將購買之原創產品或服務核轉給各級公私立學校之在學學生,以及依法設立或登記專門協助身心障礙者、原住民及其他弱勢族群之團體。 (二)偏遠地區舉辦之文化創意活動。(文創法第26條第1項第2款) 所稱偏遠地區係指人口密度較低、或交通較為不便、地理位置偏遠之地區,如離島(認列辦法第2條)。考量我國文化活動在城鄉的相較之下,仍多集中於城市,為兼顧文化創意產業之均衡發展,縮短城鄉差異,故以本款規定鼓勵營利事業捐贈國內文化創意事業於偏遠地區舉辦文化創意活動,以提高民眾參與文化創意活動意願及文化素養,同時達到發展國內文化創意事業之立法目標。凡屬於對公眾舉辦之展覽、表演、映演、拍賣或其他經各中央目的事業主管機關認定之活動,並應以公開且無償之方式服務偏遠地區之民眾者為限。 (三)捐贈文化創意事業成立育成中心。(文創法第26條第1項第3款) 雖然文創法第26條第1項第3款規定捐贈於「成立」的費用或損失才可認列,但避免育成中心設置過於浮濫,「營利事業捐贈文化創意相關支出認列費用或損失實施辦法」第5條規定設計育成中心應以設立後已有營運經營活動為限,且針對經營團隊管理階層人員之專業及其相關工作年資、育成空間之坪數空間,均有所規範,俾利徵納雙方遵循,以免流弊。 由於本案捐贈目的在於搶救老電影的修復費用,並不符合上述明列的事由,須由中央主管機關認定系爭事實是否得適用前述第4款規定。本文認為例舉之三款法定認列事由可歸納出以下三個構成要件,本件案例事實是否得適用文創法第26條第1項第4款之規定,中央主管機關得以下述要件檢視之: 1.應符合鼓勵民間企業參與文創事業活動,帶動產業發展之立法意旨 文創法第26條之立法意旨在於鼓勵民間企業參與,帶動文創產業發展,達到以短期租稅減收換取未來長期經濟發展之目的。因此,營利事業之捐贈、購買行為,應透過參與文創事業活動,而達到帶動文創產業發展之效。 2.為捐贈、購買或其他可促進文創產品創作、或舉辦文創活動所支出之費用 營利事業之捐贈、購買標的,包括文創產品或服務,以及可促進文創產品創作之行為(例如成立育成中心),以及舉辦文創活動(如對公眾公眾舉辦之展覽、表演、映演)等。 3.捐贈或購買對象應為文化創意事業 營利事業所捐贈或購買的對象應限定為文化創意事業,其範圍依照文化創意產業發展法第4條規定,係指從事文化創意產業之法人、合夥、獨資或個人。 因此,本案捐助對象為財團法人國家電影中心,亦為從事文創產業活動之事業,其費用雖非為購買特定產品、服務或捐贈特定活動,惟具備促進文創產品創作之效用,與文創法第26條鼓勵企業資源挹注文創產業之立法意旨相符,應有同條第1項第4款之適用。 參、結語 為善用民間企業挹注文化創意產業發展,文化創意產業發展法26條以認列損失或費用之方式,鼓勵民間營利事業購買文化創意事業之原創產品與服務,或贊助偏遠地區舉辦之文化創意活動,以及捐贈文化創意事業成立育成中心。其捐贈總額在新台幣1千萬元或所得額10%之額度內,以額度較高者為準,得列為當年度費用或損失,以租稅優惠作為營利企業團體支持文化創意產業之誘因。本案的捐贈金額並未超出文創法第26條的限額,若經主管機關認定為可認列之費用,其稅賦優惠其實與適用所得稅法第36條第1款以專案核准方式辦理相同,惟捐贈人所需考量者,在於上述二個租稅優惠途徑的申請程序繁簡與獲准機會。 台灣正面臨產業轉型階段,文化創意產業若干的活動(如設計、廣告、出版、文化等),可以提供製造業周邊服務並提高其附加價值,將是台灣未來升級轉型的希望所冀。從我國科技產業發展歷程觀之,運用租稅獎勵政策工具以發展特定產業,其成效卓著已獲得印證。為動文創產業發展,文創主管機關勢必會妥善利用租稅獎勵政策工具,因此以簡便且較容易獲租稅優惠角度來看,只要金額未超過限制,對於財團法人的文創活動捐贈,建議優先嘗試適用文創法第26條規定。 附錄一:財政部依所得稅法第36條第1款專案核准之函釋 【財政部 103.2.06. 臺財稅字第10304516880號函】 營利事業對財團法人法律扶助基金會之捐贈,可依所得稅法第36條第1款規定,列為當年度費用或損失,不受金額之限制。 【財政部 92.06.16. 台財稅字第 0920454411 號函】 營利事業對財團法人中央廣播電台之捐贈,准依所得稅法第三十六條第一款規定列為當年度費用或損失,不受金額之限制。 【財政部 92.04.09. 台財稅字第 0920452425 號】 設立財團法人證券人及期貨交易人保護中心之捐助款,准列為當年費用或損失,不受金額限制。 【財政部 90.11.09. 台財稅字第 0900457122 號】 金融機構對財團法人中小企業信用保證基金之捐助准列為當年度費用或損失,不受金額限制。 【財政部 85.12.19. 台財稅字第 851172920 號】 營利事業或個人對財團法人中央通訊社之捐贈,可依所得稅法規定認列費用或列報扣除額。 【財政部 80.10.21. 台稅一發字第 800739322 號】 對海華文教基金會之捐款得限額列為費用。 [1]大法官釋字第508號解釋理由書(節錄):「…從立法技術而言,立法常有例示規定與概括規定並存,乃因一規範概念所得涵攝之事物類型不夠明確或範圍廣泛,立法者以例示規定表現此類型之典型社會事實,並輔以概括性規定以免繁複或掛一漏萬。對概括性規定之解釋適用,即必須從相關例示規定中探尋事物之共同特徵,以確認所欲規範的事物類型究竟為何?然後,再行判斷系爭事實是否具備這些共同特徵而為所欲規範之事物類型所涵蓋,如此方有引用概括規定之餘地。」
歐盟資料保護工作小組修正通過個人資料侵害通報指引歐盟資料保護工作小組修正通過「個人資料侵害通報指引」 資訊工業策進會科技法律研究所 法律研究員 李哲明 2018年3月31日 壹、事件摘要 因應歐盟「通用資料保護規則」(The General Data Protection Regulation,或有譯為一般資料保護規則,下簡稱GDPR)執法即將上路,針對個人資料侵害之通報義務,歐盟資料保護工作小組(Article 29 Data Protection Working Party, WP29)特於本(2018)年2月6日修正通過「個人資料侵害通報指引」(Guidelines on Personal data breach notification under Regulation 2016/679),其中就GDPR所規範個資侵害之定義、對監管機關之通報、與個資當事人之溝通、風險及高風險評估、當責與紀錄保存及其他法律文件所規定之通報義務等,均設有詳盡說明與事例。 貳、重點說明 一、何謂個資侵害?個資侵害區分為哪些種類? 依據GDPR第4條(12)之定義,個資侵害係指:「個人資料因安全性之侵害所導致意外或非法之毀損、喪失、修改、未經授權之揭露、存取、個資傳輸、儲存或其他處理。」舉例來說,個人資料之喪失包括含有控制者(controller)顧客資料庫的備份設備之遺失或遭竊取。另一例子則為整份個資的唯一檔案遭勒索軟體加密,或經控制者加密,但其金鑰已滅失。依據資訊安全三原則,個資侵害之種類區分為: 機密性侵害(Confidentiality breach):未經授權、意外揭露或獲取個人資料。 完整性侵害(Integrity breach):未經授權或意外竄改個人資料。 可用性侵害(Availability breach):在意外或未經授權之情況下,遺失個人資料存取權限或資料遭銷燬。 二、何時應為通知? 按GDPR第33條(1)之規定,當個資侵害發生時,在如果可行之情況下,控制者應即時(不得無故拖延)於知悉侵害時起72小時內,依第55條之規定,將個資侵害情事通報監管機關。但個資侵害不會對自然人之權利和自由造成風險者,不在此限。倘未能於72小時內通報監管機關者,應敘明遲延之事由。 三、控制者「知悉」時點之判斷標準為何? 歐盟資料保護工作小組認為,當控制者對發生導致個人資料侵害的安全事件達「合理確信的程度」(reasonable degree of certainty)時,即應視為其已知悉。以具體事例而言,下列情況均屬所謂「知悉」: 在未加密個人資料的情況下遺失USB密鑰(USB Key),通常無法確定是否有未經授權者將獲致存取資料權限。即使控制者可能無法確定是否發生機密性侵害情事,惟仍應為通知,因發生可用性侵害之情事,且已達合理確信的程度。 故應以控制者意識到該密鑰遺失時起為其「知悉」時點。 第三人通知控制者其意外地收到控制者的客戶個人資料,並提供該揭露係未經授權之證據。當侵害保密性之明確證據提交控制者時,即為其「知悉」時點。如:誤寄之電子郵件,經非原定收件人通知寄件者之情形。 當控制者檢測到其網路恐遭入侵,並針對其系統進行檢測以確認個人資料是否遭洩漏,嗣後復經證實情況屬實,此際即屬「知悉」。 網路犯罪者在駭入系統後,聯繫控制者以索要贖金。在這種情況下,控制者經檢測系統並確認受攻擊後,亦屬「知悉」。 值得注意的是,在經個人、媒體組織、其他來源或控制者自我檢測後,控制者或將進行短暫調查,以確定是否發生侵害之事實。於此調查期間內所發現之最新侵害情況,控制者將不會被視為「知悉」。然而,控制者應儘速展開初步調查,以形成是否發生侵害事故之合理確信,隨後可另進行更詳盡之調查。 四、共同(聯合)控制者之義務及其責任分配原則 GDPR第26條針對共同控制者及其如何確定各自之法遵義務,設有相關規定,包括決定由哪一方負責遵循第33條(對主管機關通報)與第34條(對當事人通知)之義務。歐盟資料保護工作小組建議透過共同控制者間之契約協議,約明哪一方係居主要地位者,或須負責盡到個資侵害時,GDPR所定之通知義務,並載於契約條款中。 五、通報監管機關與提供資訊義務 當控制者通報監管機關個資侵害情事時,至少應包括下列事項 (GDPR第33條(3)參照): 敘述個人資料侵害之性質,包括但不限於所涉之相關個資當事人、個資紀錄及其類別、數量。 傳達資料保護長(DPO)或其他聯絡人之姓名與聯絡方式,俾利獲得進一步資訊。 說明個資侵害可能之後果。 描述控制者為解決個資侵害業已採取或擬採行之措施,在適當情況下,酌情採取措施以減輕可能產生之不利影響。 以上乃GDPR要求通報監管機關之最基本事項,在必要時,控制者仍應盡力提供其他細節。舉例而言,控制者如認為其處理者係個資侵害事件之根因(root cause),此時通報並指明對象即可警示委託同一處理者之其他控制者。 六、分階段通知 鑒於個資事故之性質不一,控制者通常需進一步調查始能確定全部相關事實,GDPR第33條(4)爰設有得分階段通知(notification in phases)之規定。凡於通報時,無法同時提供之資訊,得分階段提供之。但不得有不必要之遲延。同理,在首次通報後之後續調查中,如發現該事件業已受到控制且並未實際發生個資侵害情事,控制者可向監管機關為更新。 七、免通報事由 依據GDPR第33(1)條規定,個資侵害不會對自然人之權利和自由造成風險者,毋庸向監管機關通報。如:該遭洩露之個人資料業經公開使用,故並未對個人資料當事人構成可能的風險。 必須強調的是,在某些情形下,未為通報亦可能代表既有安全維護措施之缺乏或不足。此時監管機關將可能同時針對未為通報(監管機關)或通知(當事人),以及安全維護措施之缺乏或不足,以違反第33條或(及)34條與第32條等獨立義務規定為由,而依第83條4(a)之規定,併予裁罰。 參、事件評析 一、我國企業於歐盟設有分支機構或據點者,宜指派專人負責法遵事宜 揆諸GDPR前揭規定,當個資侵害發生時,控制者應即時且不得無故拖延於知悉時起72小時內,將個資侵害情事通報監管機關。未能履踐義務者,將面臨最高達該企業前一會計年度全球營業額之2%或1千萬歐元,取其較高者之裁罰。我國無論金融業、航運業、航空運輸業、電子製造業及進出口貿易業者等,均或有於歐盟成員國境內或歐洲經濟區(European Economic Area)當地設立子公司或營業據點。因此,在GDPR法遵衝擊的倒數時刻,指派具瞭解GDPR規定、當地個資隱私法遵規範、擅長與隱私執法機構溝通及充要語言能力者專責法遵業務實刻不容緩。蓋此舉可避免我國企業母公司鞭長莫及,未能及時處置而致罹法典之憾。 二、全面檢視個資業務流程,完備個資盤點與風險評鑑作業,掌握企業法遵現況 企業應全面檢視業務流程,先自重要核心業務中析出個資作業流,搭配全面個資盤點,並利用盤點結果進行風險評鑑,再針對其結果就不同等級之風險採行相對應之管控措施。此外,於全業務流程中,亦宜採行最小化蒐集原則,避免蒐集過多不必要之個人資料,尤其是GDPR所定義之敏感個資(如:種族、民族血統、政治觀點、宗教信仰、哲學信仰、工會會員資格等個人資料,及遺傳資料的處理,用於識別特定自然人之生物識別資料、健康資料、性生活、性取向等)或犯罪前科資料,俾降低個人資料蒐集、處理、利用、檔案保存及銷燬之全生命週期流程中的風險。此舉亦契合我國個人資料保護法第5條所揭櫫之原則。 三、立法要求一定規模以上之企業須通過個資隱私法遵第三方認(驗)證,並建置認證資訊公開平台 鑒於國際法遵衝擊以及隱私保護要求之標準線日漸提升,我國企業除自主導入、建置並維運相關個資保護與管理制度以資因應,更有賴政府透過法令(如:修正個人資料保護法)強制要求一定規模以上之企業通過第三方專業驗證,俾消弭風險於日常準備之中。蓋我國具一定規模以上企業,無論其係屬何種業別,一旦違反國際法遵要求,遭致鉅額裁罰,其影響結果將不僅止於單一企業,更將嚴重衝擊該產業乃至於國家整體經貿發展。職是,採法律強制要求企業定期接受獨立、公正及專業第三方認(驗)證,咸有其實益性與必要性。