美國國家標準技術研究院公告制訂「智慧電網架構與互通性標準2.0版」

在中國大陸委託生產時應注意的智財風險 科技法律研究所 法律研究員　林中鶴 2015年03月31日 壹、前言 　　中國大陸向來有世界工廠之稱，即使在人事成本升高的今日，仍舊如此。台商為節省人事、物流成本，或就近服務市場等考量，常會委託中國大陸工廠進行生產以求增加獲利。然而，就在這樣的決策當中蘊藏一些台商必須事前注意的智財風險，稍一不慎，就有可能導致台商不可回復的重大損失。尤其，高科技產業是我國產業的重要命脈，流失關鍵技術，更是不可想像的惡夢。 貳、重點說明 一、台商中國大陸不可忽視智財風險 　　台灣科技大廠聯電在2014年10月宣布決定設立台資在中國大陸第一個12吋晶圓廠，台聯立委立即群起反對，擔心倘若草率西進，製程遭中國大陸廠商模仿、學習，將喪失我國晶圓的代工優勢[1]。類似的疑慮也出現在傳統產業，台灣菸酒公司為了能夠就近服務消費市場，在2010年也決定在中國大陸設立代工廠[2]，委由中國大陸代工，同樣也引發台灣啤酒配方與製程技術可能外流的輿論質疑。對於台商在中國大陸可能遭遇的技術外流疑慮，顯然不是空穴來風。 　　事實上，中國大陸產業發展，相當仰賴對於國外先進技術的學習與奪取，及知名品牌內容的仿冒與抄襲，各種各樣智慧財產權侵害的新聞不絕如縷，就連國際大廠也早就深受其害。蘋果iPhone 6 在未開賣前，網路上就已經出現披著iPhone 6外衣使用Android核心的山寨機[3]。同時間在中國大陸身為iPhone 6最大組裝廠的富士康，也傳出了有員工因竊取iPhone 6外殼轉賣獲利遭逮捕的消息[4]。由此可見，對於台商來說，委託中國大陸代工，除了技術外流風險之外，也一併伴隨著出現高水準仿冒品的風險。 二、委託中國大陸工廠生產時應注意的智財風險 　　台商為節省人事、物流成本，或為能就近服務市場，委託中國大陸台商製造產品是個常見的選擇。為了使代工的台商能夠生產符合所需的產品，台商往往除委託代工廠的生產外，必須提供代工廠商產品的精確規格、詳細的製程技術與商標或專利的使用權利，也因此面臨了下述可能的風險： (一) 法規遵循的風險 　　在委託代工過程中，台商經常也需要提供中國大陸的代工廠必要的製程技術、專利授權或技術指導等跨越國境的技術轉移，因此也涉及到中國大陸官方透過《技術進出口管理條例》對於技術進出口所採行的管制，或透過《專利法》、《專利法實施細則》及《最高人民法院關於審理技術合同糾紛案件適用法律若干問題的解釋》等對於技術轉讓所採取的管制。 　　由於中國大陸為技術發展中的國家，急欲吸收國外先進技術，因此在技術轉移[5]的管理上，著重在於對於技術受轉移方的保護。一方面禁止技術提供方簽訂不利於技術受轉移方的不當限制競爭條款[6]，另方面要求技術提供方負起較重的保證義務[7]，必須保證其為技術的真正權利人、技術實施能達成約定的目標、技術實施不侵害第三人權利等事項。 　　除此之外，在涉及跨國技術移轉的場合，官方復依《技術進出口管理條例》將技術進行分級管理，除條例規定禁止進出口之技術不得進出口[8]、限制進出口之技術應先經許可[9]外，自由進出口之技術於契約簽訂後尚須向地方商務部門申請契約備案[10]。未能遵循管制法令，輕則影響轉讓或授權費用匯出中國大陸，重則可能導致技術移轉契約無效，嚴重影響商業合作。 (二) 技術外流的風險 　　在委託代工過程中，台商常需提供其專有技術、專利技術、製造設備或模具等技術資料，必要時還得提供技術的指導或支援，以確保代工廠商的產能與品質。優質產品的製造技術正是台商重要的競爭力來源，跨越國境的技術移轉不僅增加了技術管理的難度，面對中國大陸積極吸收先進技術的高度競爭環境，技術輸入中國大陸更是大幅提高了技術外流的風險。 　　從簽署代工委託契約之前或一開始，就存在技術外流的風險。台商在締約前後提供技術資料、技術指導或支援時，就常發生不經意提供超過必要或契約範圍外的技術資訊，這等同於台商將自家技術拱手讓人。即使是在必要或契約範圍內的技術資訊，也可能因為代工廠商及其主管、員工、供應商、承包商等有業務往來關係者的故意或疏失，導致技術外流，影響競爭優勢。除此之外，倘若代工廠商利用台商提供的技術進行了改良，依照《技術進出口管理條例》及《合同法》相關規定，在沒有契約約定下，改良成果即歸屬於改良方，這將嚴重影響到台商原應享有的技術權益。 　　換句話說，台商除了必須面對中國大陸企業因故意竊密行為，導致技術的違法取得外，還必須留意避免因為自己契約或管理上的疏失導致技術的合法外流。此外，在原有技術外，忽略法令或契約限制造成技術改良的成果歸屬受讓方，也是技術外流的重要風險來源。 (三) 仿冒氾濫的風險 　　中國大陸的代工廠商一方面為台商生產製造產品，貼上台商的品牌商標，就近服務中國大陸市場，或外銷歐美及日本市場；另方面中國大陸的代工廠商也透過代工的過程不斷學習成長，成為台商潛在的競爭對手。事實上這也是台商一路走過的代工產業歷史。然而，正是這一層的代工關係，使得這些代工廠商成為台商品牌產品潛在的、高度的仿冒風險來源。 　　在中國大陸各城市或電子商務平台上經常可以看到低價的國外品牌商品，其中有一類俗稱外貿原單或尾單的產品[11]，品質幾乎與正牌商品無異。事實上這些商品並不是品牌廠商合法授權製造、銷售的產品，而是代工廠商將原訂單中基於備份需求額外製造的產品、未通過品質檢驗的不良品或次級品，或在訂單以外利用剩餘原料、零件自行製造的產品。除此之外，倘若代工廠商不僅自行在訂單數量外額外生產產品，外流產品上還貼原廠品牌商標，在價格或品質方面可能影響原廠的市場行銷策略。 　　除代工過程中流出的原單或尾單外，在代工關係結束後，中國大陸的代工廠商也可能在未經合法授權的情況下繼續製造、銷售原廠的品牌產品。由於透過為台商生產製造產品，不僅提升了製程能力、獲取了技術經驗，同時也建置了足以隨時生產製造產品的模具、設備與廠房規模。除此之外，過程中也可能獲得關於原料、零件或組件之供應商來源等寶貴資訊。這類代工廠商一旦脫離代工關係，從事仿冒生產，更可能因為其品質接近正品，對企業品牌的價值及對外授權的管理將產生更大的衝擊。 參、事件評析 一、明確約定契約條款內容，減輕技轉法令不利影響 　　面對中國大陸涉外或國內技轉法令的管制，為避免因為未能遵循法令的問題，導致授權契約無效或資金流通受阻，影響企業在中國大陸的生產委託活動，在涉及技術移轉時，建議企業應該留意下述基本事項： 　　1.契約涉及授權時應明確界定授權型態為獨佔、排他或普通授權 　　(1)約定不明確時，依司法解釋[12]將視為普通授權 　　2.契約應充分考慮技轉法令中的保證義務與限制條款 　　(1)應明確界定因技術實施導致侵害第三人權利之情況 　　(2)應明確界定技術實施之條件與達成技術目標之標準 　　(3)應避免不合理的限制競爭條款[13]以免影響契約之效力 　　(4)大陸商務部取得許可 3.自由輸入之技術移轉契約應行備案並留意外匯所需手續[14] 　　(1)應向地方商務部門提出必要文件取得技術進口合同登記證 　　(2)申請人憑技術進口合同登記證，辦理外匯、銀行、稅務、海關等相關手續。 二、設想技術外流的可能情境，運用契約與保密措施降低風險 　　面對委託代工過程中所涉惡意或無意的技術外流，及因技術改良產生的權利流失，節省中國大陸企業技術開發成本，影響我國企業面對中國大陸企業的優勢，建議企業應該留意下述基本事項： 　　1.事前應評估技術是否適合移轉、是否應先申請專利 　　(1)企業應評估技術移轉中國大陸是否可能影響核心競爭力 　　(2)企業應評估技術移轉中國大陸前是否應考慮申請專利保護 　　2.事前應調查委託生產之對象的生產能力與商業信用 　　3.應強化委託代工契約條款中關於營業秘密保護之規定與措施 　　(1)明確約定授權技術的機密範圍、保密義務與違約罰則 　　(2)要求代工廠商及其員工負保密義務，並採取保密措施(並視需要可約定禁止以反向工程破解取得技術秘密) 　　(3)明確記錄技術資料交付之項目，利於契約結束後回收 　　(4)明確約定發生技術外流疑慮時，進入現場調查的機制 　　(5)明確約定各種契約解除及中止之事由，便於代工爭議的善後 　　(6)明確約定契約後之保密義務與相關回收及銷毀的義務 三、落實委外代工契約管理與稽核，防堵高品質仿冒品的外流 　　面對代工廠商未經原廠合法授權將備份品、不良品、次級品外流獲利，或利用代工取得之技術、經驗、設備、模具或原材料來源等經營資源自行生產高品質仿冒品，流入中國大陸或海外市場，影響產品的銷售與品牌權益，建議企業應留意下述基本事項： 　　1.應強化並監督落實契約條款中關於營業秘密保護之規定與措施(同前) 　　2.契約載明授權的稽核措施且應保存記錄以管控產量 　　(1)要求代工廠商應保留產品與商標生產數量之相關記錄 　　(2)要求代工廠商應定期報告，以利權利人掌握生產數量 　　(3)明確約定權利人閱覽記錄及到現場調查的權利與機制 　　3.出貨前應作品質檢驗，管控不良品、次級品的銷毀 　　現場派員監控不良品、次級品的銷毀，避免流出市面 　　4.契約解除或終止時管控資料、設備或產品等的生產/銷售、回收/銷毀 　　(1)要求代工廠商立即停止生產、銷售行為 　　(2)返還持有之技術資料及其影本 　　(3)廢棄權利人提供之模具或專門製造設備 　　(4)廢棄或返還使用技術或商標之成品、半成品與包裝材料及商標標籤等 四、小結 　　台商進前中國大陸，將生產的活動委外，合理配置經營資源，以提升企業的成本優勢。然而，台商在中國大陸的委託生產相對於自行生產或國內生產，面臨了更高的法令遵循風險、技術外流風險與仿冒氾濫風險，尤其是技術的外流，甚至有可能讓台商一擊斃命，流失國際市場的競爭力。因此，正視前進中國大陸的智財風險，在前人的經驗上作好風險預防與因應之道，才能保存住商場廝殺的重要本錢。 [1] 自由時報，〈聯電赴廈門投資 台聯：恐技術外流〉，2014/10/30，http://news.ltn.com.tw/news/politics/breakingnews/1144387（最後瀏覽日：2015/01/26） [2] 自由時報，〈台酒中國設廠 養虎貽患〉，2010/02/24，http://news.ltn.com.tw/news/politics/paper/375069（最後瀏覽日：2015/01/26） [3] 新科技，〈iPhone 6被山寨了！披苹果皮怀揣“安卓心”〉，2014/07/14，http://www.hnetn.com/article/article.asp?id=920671&bid=8561（最後瀏覽日：2015/01/26） [4] 蘋果日報，〈iPhone 6被山寨了！披苹果皮怀揣“安卓心”〉，2014/09/18，http://www.appledaily.com.tw/appledaily/article/finance/20140918/36091338/（最後瀏覽日：2015/03/04） [5] 就《技術進出口管制條例》所稱技術轉移來說，包括專利權轉讓、專利申請權轉讓、專利實施許可、技術秘密轉讓、技術服務和其他方式的技術轉移。原則上技術跨越國境移動之所有型態皆有適用之可能性。 [6] 參見《技術進出口管理條例》第29條、《合同法》第329條及《最高人民法院關於審理技術合同糾紛案件適用法律若干問題的解釋》第10條規定。 [7] 參見《技術進出口管理條例》第24、25條及《合同法》第341、349、353條規定。 [8] 參見《技術進出口管理條例》第9條及第32條。 [9] 參見《技術進出口管理條例》第10條及第33條。 [10] 參見《技術進出口管理條例》第17條及第39條。 [11] 原單主要係指原訂單中代工廠額外生產之產品或未通過品檢的不良品或次級品；尾單主要係指原訂單中代工廠利用剩餘原料、零件自行製造之產品。 [12] 參見《最高人民法院關於審理技術合同糾紛案件適用法律若干問題的解釋》第25條第2款之規定。 [13] 參見《中華人民共和國技術進出口管理條例》第29條及《中華人民共和國合同法》第329條之規定。 [14] 參見《中華人民共和國技術進出口管理條例》第18、20條規定。

　　英國資訊委員會（Information Commissioner’s Office, 以下簡稱ICO）最近對於2014年「巨量資料與個資隱私保護報告」（Big Data and Data Protection）進行公眾意見徵集。其中有意見認為ICO過度聚焦於以取得資料當事人同意為前提，才得以進行巨量資料統計分析技術應用；且未充分認知當資料控制者（企業或組織）具合法權益（legitimate interest）時，可能得以處理個人資料的可能。意者並進一步建議當資料控制者（企業或組織）符合合法權益時，應可將個人資料用於新用途，強調這種依據合法權益所進行之資料處理，應著重於該資料控制者（企業或組織）對於個人資料的責任（accountability），而非各別取得資料當事人的同意。 　　對此，ICO回覆，認為巨量資料統計分析技術的應用，應在資料控制者（企業或組織）的合法權益、與資料當事人的權利、自由與合法權益間，取得平衡。依據歐盟資料保護指令（Data Protection Directive）與英國資料保護法（Data Protection Act）的規定，資料控制者（企業或組織）得於具法定依據時，處理個人資料，例如取得個資當事人的同意處理其個人資料，或資料控制者（企業或組織）具法定義務處理個人資料（例如法院命令）。除此之外，企業或組織還可以主張於其對於個人資料具合法權益（legitimate interest），主張進一步處理個人資料（新用途），除非資料處理對於資料當事人的權利、自由與合法權益造成過份偏頗（unduly prejudice）的損害。ICO亦同意，資料的應用應著重監督資料控制者（企業或組織）與加強其責任（accountability）。 　　ICO除再度闡明在「巨量資料與個資隱私保護報告」，資料控制者（企業或組織）必須公平且通透（transparent）地處理個人資料，對於當資料控制者（企業或組織）發現個人資料的新用途時，亦明列出得依據先前所取得之資料當事人的同意進行個人資料的各種情況。 　　ICO建議，資料控制者（企業或組織）應當先行檢視資料當事人是否確實同意其個人資料的處理，或該資料控制者具處理個人資料之其法定依據。再者，如果不具上述二者之一，資料控制者（企業或組織）若需將使用個人資料於新用途，則必須另行取得資料當事人的同意，始得為之。此時，必須同時評估為了新用途所為之個人資料處理，是否與資料蒐集之特定目的相容（compatible）。 　　至於，判斷新用途是否與個人資料蒐集與處理之特定目的相容，部分取決於個人資料處理是否公平（fair）。這意味著資料控制者（企業或組織）必須對於為新用途所為之個資處理，提出對於資料當事人隱私影響之評估，以及該個資的使用與處理，是否仍合於資料當事人的合理期待。

　　德國聯邦政府（Bundesregierung）於2020年12月16日通過「提升資訊科技系統安全性的第二版法律（Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme）」草案，又稱「資訊科技安全法2.0（IT-Sicherheitsgesetz 2.0）」，該草案概述如下： (1)加強德國聯邦資訊安全局（Bundesamt für Sicherheit in der Informationstechnik, BSI）權限： BSI可對聯邦行政事務行使控制與審查權、檢測資訊系統和公共電信網路相連的安全弱點、發展分析惡意軟體和攻擊的系統與程序，並擴張其對聯邦通訊技術紀錄資料的儲存期間至12個月。 (2)加強消費者保護： 導入IT安全標籤（IT-Sicherheitskennzeichen），製造商應於該標籤中置入產品安全性聲明與由BSI提供之IT安全性資訊；此外BSI有權要求電信服務業者和產品製造商提供其儲存資料與相關必要資訊。 (3)加強企業作為義務： 關鍵基礎設施提供者有報告及使用攻擊檢測系統檢測安全威脅的義務，該報告義務在草案中將擴張適用於具特定公共利益之公司，如與國防和保密資訊IT產業相關、具經濟上重要性的公司，以及受重大事故條例（Störfallverordnung, StöV）所規範者。 (4)加強國家保護功能： 國家應建立認證機制，並課予關鍵基礎設施的供應者通過該認證的義務，即供應者需確保其設施內的零件不具不適當的技術特性，尤其可能被間諜活動或恐怖主義用以破壞關鍵基礎設施的安全與功能之重要零件。 　　該草案目前於德國聯邦議院（Deutscher Bundestag）進行審查。

新版個資法與個資保護管理制度 科技法律研究所 2013年4月1日 壹、事件摘要 　　國內於1995年制定施行「電腦處理個人資料保護法」，在資訊科技日新月異下，加諸法規本身適用上的限制，原有法制設計已不符實務需求。考量個資外洩事件日漸增加，歷經長時間討論，國內於2010年4月三讀通過新版個資法，將法律名稱調整為「個人資料保護法」，並在2012年10月1日正式實施新制。新法不僅全面調整法規內容，並大幅加重企業所負義務與責任，就民事責任而言，單一事件 賠償金額最高達到10億。對國內產業而言，如何有效因應個資法要求，採取妥適的對應策略降低風險，已成為企業運營上的關鍵課題。 貳、重點說明 一、新版個資法暨施行細則正式施行 　　個人資料保護可說是近期國內最受重視的議題，事實上國內早於1995年8月即制定施行「電腦處理個人資料保護法」，惟經過十餘年的發展，在電腦與資訊科技日新月異下，包括電子商務等新興商務模式，均廣泛蒐集個人資料，個人隱私的妥善保護，日益重要。然而，原有的「電腦處理個人資料保護法」，於適用主體方面，存在著行業別的限制，僅有「徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業」等八種特定事業，以及經由法務部會同中央目的事業主管機關共同指定的行業，方受到規範；此外，該法所保護的客體，亦限於經由「電腦或自動化設備」處理的個人資料，才受到保護，不包括非經電腦處理的個人資料，對於保護個人資料隱私權益規範，明顯不足。 　　個資外洩事件層出不窮下，2007年行政院消費者保護委員會提出的十大消費新聞中，「電子商務、電視購物個資外洩事件」即高居首位，促使法務部與經濟部透過「共同指定」方式，使無店面零售業（包括網路購物、型錄購物、電視購物等三種交易態樣）自2010年7月1日起適用「電腦處理個人資料保護法」。 　　為使個人資料保護法制規範內容，得以因應急速變遷的社會環境，行政院甚早即已提出「電腦處理個人資料保護法修正草案」，並將名稱修正為「個人資料保護法」，歷經立法院會多次討論，終於在2010年4月三讀通過，法律名稱調整為「個人資料保護法」，於5月26日由總統府正式公布。新法雖於2010年4月三讀通過，但為使企業及民眾有充分時間了解並因應新法，新版個資法並未於公布日施行，而是於該法第56條規定，由行政院另訂施行日期。經過長時間討論，「個人資料保護法」已由行政院決定在2012年10月1日正式實施，惟新法第6條關於特種資料原則上不得蒐集、處理與利用，以及第54條要求新法實施前已間接取得的個人資料，必須在一年內補行告知等二項規定，保留暫緩實施。 　　就個人資料保護法制而言，除最為重要的「個人資料保護法」外，依據母法制定的施行細則，也扮演著關鍵性的角色。原有的「電腦處理個人資料保護法施行細則」於1996年5月1日發布施行，鑒於「電腦處理個人資料保護法」已於2010年進行修正，並將名稱修正為「個人資料保護法」，法務部也配合新法修正內容，積極研商「電腦處理個人資料保護法施行細則修正草案」。隨著新版個人資料保護法確定於2012年10月1日正式上路，法務部另於2012年9月26日正式公告?正後的施行細則，並將細則名稱修正為「個人資料保護法施行細則」。新版個資法暨施行細則正式上路，促使國內個人資料保護工作，邁入全新的紀元。 二、個人資料管理制度與資料隱私保護標章 　　在「個人資料保護法」修正通過前，2008年6月立法院即已提案，建議政府參考國外作法，推動我國隱私權管理保護認證制度，隔年8月「行政院產業科技策略會議」（Strategic Review Board）中，決議推動「電子商務個人資料管理暨資訊安全行動方案」，並於同年12月核定放入99年至102年政府關鍵推動方案。 　　基於上述行動方案，經濟部自2010年10月起，委由財團法人資訊工業策進會執行「電子商務個人資料管理制度建置計畫」，並自2012年起續行推動「電子商務個人資料管理制度推動計畫」，建置推動「臺灣個人資料保護與管理制度」（Taiwan Personal Information Protection and Administration System, TPIPAS），期使企業於遵守個人資料保護法制的前提下，透過建立內部管理機制，適當保障消費者的個人資料，並在嚴謹的驗證要求下，確認導入企業是否符合制度要求，同時搭配「資料隱私保護標章」（Data Privacy Protection Mark, dp.mark）的發放，作為消費者判斷企業隱私維護能力的客觀指標。 　　針對個人資料管理制度的導入，事業應依循「臺灣個人資料保護與管理制度規範」逐步建立內容管理機制，該制度規範同時也是國內企業能否取得「資料隱私保護標章」（dp.mark）的審查指標。由於國內業者過往並無建立內部個資管理制度的經驗，「臺灣個人資料保護與管理制度」自2011年起，協助企業培訓「個人資料管理師」及「個人資料內評師」等制度專業人員，合格的個人資料管理師可協助企業於事業內部建立完整的制度，而內評師則是扮演確認企業建立的制度，是否符合制度規範要求的角色。截至2012年，國內已有近百家企業參與制度人員培訓，合計達426位管理師及131位內評師。在TPIPAS導入上，事業除了由合格的管理師自行建置導入管理制度外，也可尋求專業的外部輔導機構協助，「臺灣個人資料保護與管理制度」自2012年起，開放輔導機構登錄之申請，並於制度網站上公告符合資格要求的制度輔導機構，目前已有九家合格的輔導機構完成登錄作業，提供事業個資輔導服務。 　　事業完成內部管理體系建置後，便可向「臺灣個人資料保護與管理制度」提出驗證申請，驗證流程包括「書面審查」及「現場審查」二階段，事業通過驗證後，即具備使用「資料隱私保護標章」（dp.mark）的資格。目前國內已有統一超商、全家、博客來、樂天、亞東、康迅數位及欣亞等七家業者通過TPIPAS驗證並取得dp.mark，透過導入個資管理制度，強化消費者隱私資料的維護。 參、事件評析 　　「臺灣個人資料保護與管理制度」(TPIPAS)是以國內新版個人資料保護法內容為基礎，並參考國際組織對個人資料保護的最新要求，以及主要國家個資管理制度的推動經驗，所建立的專業個人資料管理制度。TPIPAS配合產業個人資料保護實務需求，將專業的法律要件轉化為內部個資管理流程，可有效協助產業建立完善妥適的個人資料管理制度，符合個資法規要求。在新版個人資料保護法上路之際，導入TPIPAS取得dp.mark，不啻是企業降低個資法風險，提升內部個人資料管理能力的最佳策略。