美國食品藥物管理局（FDA）提案更新食品營養標示

再訪資料跨境流通政策與法制 資訊工業策進會科技法律研究所 2022年03月25日 壹、事件摘要 　　資訊科技與創新基金會[1]（Information Technology and Innovation Foundation, ITIF）於2021年7月發布「跨境資料流通障礙如何在全球層次擴散」（How Barriers to Cross-Border Data Flows Are Spreading Globally）報告，指出近四年內國際間個別國家生效的資料在地化措施增加一倍以上。惟設置資料流通障礙對於一國經濟會產生重大影響，將嚴重削減其貿易總量，依ITIF根據經合組織（Organisation for Economic Cooperation and Development, OECD）市場監控數據計算，一國對資料流通之限制每增加一項，將影響總體貿易輸出達七個百分點，連帶使生產力下降，下游供應鏈的成本亦將上漲[2]。 　　在2020年後，因疫情造成之實體阻隔的影響，加深各方運用數位與資訊科技之力道，資料更被視為戰略性資源，各國如何對資料加以運用與掌握，不僅對數位經濟發展有正相關，更可能與國家整體安全其他面向相互連結（如國防、財務與資訊安全等）。追蹤研析各國程度與類別不同的資料在地化政策法制，資料流通限制之方式或可區分為三種模式：（1）由國家規範或限制特定類型資料傳輸境外的條件。各國常見的限制類型包括個人資料、財務／稅務／金融資料、交易支付資料（payment data）、地圖地理空間資料、健康與基因資料、政府紀錄與雲端服務（government records & cloud services）、傳統電信與網際網路通訊服務的用戶資料與內容、資通訊技術與電信資料、公共部門在地雲端（public local cloud）資料、非個人資料（non personal data framework）等。（2）以不確定法律概念限制資料傳輸標的與範圍。各國對資料流通限制越來越寬泛和模糊，動輒以「敏感」（sensitive）、「重要」（important）、「核心」（core）或與國家安全（national security）等不確定法律概念框定所欲限制的資料範圍，但這些限制往往對商業性資料流通造成重大影響。（3）以事實上資料在地化手段替代法制規範。此因個別國家或組織政策使資料傳輸因過程變得複雜、昂貴和不確定，導致企業基本上已無其他選擇，事實上僅能將資料儲存在本地，否則將面對巨額罰款，其他事例尚有對個人資料傳輸要求須得當事人明確之同意，以及要求資料傳輸前須有特別之授權[3]等。 　　歸納上述資料流通限制型態後，本文進一步探討各國對資料跨境流通與資料落地議題之處理態度，更新近期中國大陸、俄、美、歐盟、印度及其他重要國家所採取之政策與立法，期為我國未來掌握資料流向及規劃在地化措施預做準備。 貳、重點說明 　　目前國際間對於資料在地化之立場不一，除少數國家對於資料在地化採取較全面性之要求、較高強度之立法外，大部分國家僅針對特定種類資料要求資料在地化，以下依國別與要求強度進行歸類與評析。 （一）高強度資料在地化要求：中國大陸與俄羅斯 1.中國大陸 　　觀測國家中，資料在地化措施管理強度最高者應屬中國大陸與俄羅斯。就中國大陸而言，其直接明確在地化的法律規定如2017年《網路安全法》第37條，要求關鍵資訊基礎設施的營運者應將其在中國大陸境內蒐集和產生的個人資料與重要數據儲存於中國大陸境內。近二年中國大陸採行資料在地化之範圍逐漸擴大，其涵蓋範圍除早期係以個人資料為範圍[4]，後續則涉及如金融稅務資料、支付資料、地理位置資料、健康與基因資料、政府紀錄與雲端服務資料、電信通訊資料等非僅限於個人資料之範圍，而依2021年之《數據安全法》第21條與31條，政府甚至有權定義何謂「重要數據」，並對境內營運中心蒐集和產生的重要數據制定其得否流出境外的安全管理機制，顯見中國大陸對於資料在地化之考量多出於維護國家安全之目的，近年更高舉維繫其數位主權的旗幟以強化其法制措施背後的論述，並以強大的科技監控能力為擔保，確保該國國家法令的落實。 2.俄羅斯 　　俄羅斯近年對於資料在地化措施之要求有逐漸增強之趨勢，規範密度雖未如中國大陸嚴格，但亦屬於高強度之國家，規範要求之資料種類從個人資料擴及金融稅務、電子支付資料、政府紀錄與雲端資料，乃至電信網路資料等。除要求個人資料之營運商應將處理及儲存俄羅斯公民個人資料之伺服器設置於俄羅斯境內，並向俄羅斯政府報備該伺服器之位置外，另要求每日流量超過一定數量之IT營運商應在俄羅斯建立分支機構或代表處，代表其母公司接受主管機關的管制，並規定強制執行的措施，如禁止蒐集個資、跨境傳輸個料與限制資訊使用等[5]。 　　中國大陸與俄羅斯因其國家體制屬性，其資料在地化法制規範與執行措施有其特定背景，往往出於國家安全整體性考量所為，但由於較不符民主憲政國家所施行之法治國原則（包括比例原則）等憲法核心要求，僅作為了解對象而較不具直接參考價值。 （二）中度資料在地化要求：美、歐、印、澳 1.美國：針對國防與稅務資料 　　美國因其對自由貿易的立場，加上對該國產業而言資料流通最符合該國的產業利益所在，故對於資料的限制與保護要求最為寬鬆，僅在涉及國防[6]與稅務[7]特定領域資料時，聯邦之行政規則層級有資料在地化之規定，要求資料存放於美國境內，除此之外則交由各州個別規範之。 2.歐盟：針對個人資料 　　歐盟利用強化網路基礎建設的政策措施，採取誘導性作法建立可信任架構，使企業更有意願使用歐盟自身的資料與服務，可認為是資料在地化的軟性誘因[8]。此外，基於其一貫維護基本價值、保護個人資料的立場，對於跨境傳輸規範較為謹慎。歐盟於2018年施行GDPR以來，對資料跨境傳輸之限制採取原則禁止、例外許可的立法模式，雖無資料在地化之名，卻已經造成事實上的資料在地化結果。加上Schrem II案判決[9]後的發展，適用新版「標準契約條款」（Standard Contractual Clauses, SCCs）對於個人資料之跨境傳輸採取高標準之適足性規範[10]，令歐盟GDPR有可能變為世界上最大的事實上（de facto）資料在地化框架[11]。另外，從歐盟近來主張數位主權的觀點，這樣的狀況似乎亦合乎歐盟的主張，但這樣的趨勢否有益於對經濟流通與發展，將是未來觀察重點。 3.印度：針對敏感性與關鍵性資料 　　就印度部分，印度國會於2021年12月16日通過新修正個人資料保護法（Data Protection Bill, 2021）[12] ，原2019年時法案修正內容曾要求將所有個人資料（或至少一份副本）儲存於印度境內，但通過之新法則未再做此要求。修法方向的改變推測受西方國家影響而對資料在地化的政策有所緩和，但在法律分類上的敏感性個人資料（類似我國個資法之特種資料）與關鍵性個人資料（由中央政府所指定之資料種類）方面，則運用法律中的不確定法律概念，讓主管機關掌握較大裁量空間，決定何種資料可予在地化限制，形同擴大資料管控的範圍，甚至可泛稱出於國家安全考量，即可限制資料的傳輸、在地。由此觀之，印度對於資料在地化政策，其限制措施在其個人資料保護法新近修正後也朝向擴大的趨勢[13]。 4.澳洲：針對個人醫療資料 　　就澳洲部份而言，因考量到健康資料的高度敏感性，其針對健康資料採在地化政策，，目前規範電子健康紀錄資料庫系統內的資料不得在境外持有及處理[14]。 （三）其他國家 　　而本研究觀察的其他國家目前仍採取較為謹慎保守之立場，且立法動機較為分歧，如加拿大針對國家公共機構資料採取流通限制強度較高之要求態度[15]，但因受COVID-19影響有暫緩實施的狀況[16]。德國出於課稅原因要求業者留存會計紀錄於境內，或於可線上下載情形下得放置於境外[17]；法國則對於中央與地方政府機關之資料要求應儲存於境內[18]。總體而言，各國的立法背後考量，大體係有明確並更亟欲保護之法益和目的，但亦觀察到較為特別的發展，即歐盟資料傳輸政策似乎有逐漸從自由流通走向事實上在地化的狀況，甚至有提升為主權層次議題的可能，值得再予關注。 （四）世界及區域貿易協定：傾向資料自由流通 　　就世界及區域貿易協定部分，檢視「跨太平洋夥伴全面進步協定」（Comprehensive and Progressive Agreement for Trans-Pacific Partnership, CPTPP）[19]、「服務貿易協定」（Trade in Services Agreement, TiSA）[20]、「美加墨協定」（United States-Mexico-Canada Agreement）[21]以及「亞太經濟合作」（Asia-Pacific Economic Cooperation,下稱APEC）之《APEC隱私保護綱領》（APEC Privacy Framework）[22]，因貿易協定側重於國際貿易之發展，儘可能排除任何有礙貿易發展之障礙，故而其多強調資料之流通性，並以自由流通為原則。然近年因資安與隱私保護之觀念日益受到重視，故而轉為要求一定保護機制作為資料跨境傳輸之前提，雖然可能造成事實上的障礙，但整體而言國際間的貿易交流對於資料仍是採取自由流通之較開放立場，未見任何資料在地化之高強度要求。我國近期積極申請參與談判的CPTPP與TiSA，可看出參與談判的國家多半傾向不恣意限制資料的跨境流通，也傾向不任意規範外國服務者須在當地設置相關的電腦設備，CPTPP更是明訂除基於正當公共政策目標外，不得將資訊服務設施在地化列入於會員國境內執行業務之必要條件，我國將來如欲爭取加入，應確保這些國際義務的遵行。 參、事件評析 　　系統化觀察與分析上述國際間主要國家規範性主張之資料在地化法制政策，以及國際層級區域貿易協定與資料在地化相關之重要規定，可發現歐盟、澳、美、加針對特定類型資料，如個人醫療資料、稅務金融資料，或國家公共資料的跨境傳輸政策或資料在地化採取較強之要求，印度則出於國家安全考量亦有較強資料在地化之要求。至於相關國際與區域貿易協議雖傾向資料自由流通原則，各國談判則仍在進行中。 　　參考以上國際間相關法制或政策，建議我國在考量整體性資料跨境傳輸政策時：（一）可優先找出我國亟需保障的利益何在（如我國關鍵的半導體產業），並檢視其在整體產業鏈與供應鏈上的角色與定位，由此思考應採取何種模式（歐、美）的管制方式與強度。（二）確認要保護的核心利益後，可再檢視立法目的究為保護公民的隱私、確保執行機關執行公權或調查證據、保護國家安全、強化經濟成長跟競爭力、或建立公平的遊戲規則，以決定相應不同強度的資料控制手段（如單純禁止、有條件禁止到僅要求儲存副本於本地等態樣），建立起層級化規範架構。短期內建議我國或可再就資料傳輸原則予以檢視，例如現行個人資料保護法採取原則流通，例外禁止的方針是否需要變易。其次，資料傳輸與資料在地化政策法制相關規範，或可優先以金融支付資料、健康基因資料等高度敏感資料為主，基於特定部門產業之監理或數位國土、國家安全等原因，而針對性地要求採取在地化措施，並將資料類型化，針對不同屬性之資料採取不同規範標準。 [1] 資訊科技與創新基金會（ITIF）是美國非營利性公共政策智庫，總部位於華盛頓特區，研究主題專注於有關工業和技術的公共政策。美國賓州大學截至2019年為止都將ITIF列為世界上最權威的科學和技術政策智庫。ITIF， https://itif.org/（最後瀏覽日：2021/12/25）。 [2] 從該報告顯示中國大陸是對資料限制最多的國家，相關措施達29項，其次為印尼、俄羅斯與南非，其經濟均因而受影響，參考Nigel Cory & Luke Dascoli, How Barriers to Cross-Border Data Flows Are Spreading Globally, What They Cost, and How to Address Them, INFORMATION TECHNOLOGY & INNOVATION FOUNDATION[ITIF], Jul. 2021, at 4, https://itif.org/sites/default/files/2021-data-localization.pdf (last visited Dec. 25, 2021). [3] id. [4] 中國人大網，〈中華人民共和國個人信息保護法〉，2021/08/20，http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml（最後瀏覽日：2021/12/25）。 [5] Russian Federal Law No. 242-FZ, https://pd.rkn.gov.ru/authority/p146/p191/ (last visited Mar. 03, 2021). [6] Defense Federal Acquisition Regulation Supplement: Network Penetration Reporting and Contracting for Cloud Services(DFARS Case 2013– D018), 81 Fed. Reg. 72986, 72999(Oct. 21, 2016).(to be codified at 48 C.F.R. pt. 239). [7] INTERNAL REVENUE SERVICE, Tax Information Security Guidelines for Federal, State and Local Agencies 95 (2016). [8] Gaia-X, Gaia-X European, https://www.data-infrastructure.eu/GAIAX/Navigation/EN/Home/home.html (last visited Mar. 03, 2021). [9] Case C-311/18, Data Protection Commissioner v. Facebook Ireland Ltd, Maximillian Schrems, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62018CA0311 (last visited Mar. 03, 2021). [10] 歐盟法院（Court of Justice of the European Union）於2015年Schrems I案判決歐盟執委會「安全港隱私準則」（Safe Harbour Privacy Principles）失效後，歐盟執委會雖於2016年以第2016/1250號決定認可美國提出之「隱私盾架構」（EU-US Privacy Shield Framework），對於跨境傳輸有更嚴謹之規範，但其後的Schrems II案，經歐盟法院於2020年7月以判決宣告該隱私盾架構無效，其中理由除美國政府對外國人個資之監管與近用不符合比例原則外，美國法制架構亦無提供適當之救濟手段，令權利受侵害之人得以獲得賠償。惟歐盟法院對歐盟執委會通過第2010/87號決定之「標準契約條款」，則認為已納入有效之保障機制；倘資料傳輸方或接受方未能遵守SCCs或缺乏歐盟法律所要求之保護程度，歐盟主管機關可命令暫停或停止相關傳輸，因此仍肯認「標準契約條款」之有效性。但SCCs始終無法解決美國法欠缺法律救濟之爭議，故而歐盟法院採取較保留態度，另要求締約國之企業應確保資料接受方所在之各國法規可提供符合歐盟個資法保護相關規範之保護水準，並建議採取「補充措施」以保護跨境傳輸之資料，其後，歐盟執委會於2020年底以（EU）2021/914號執行決定（Implementing Decision）發布的新版SCCs取代舊版條款。see Cross Border Transfer Master Class: Onward transfers from a US controller to a processor that is outside of the US and the EEA, NATIONAL LAW REVIEW, Dec. 24, 2021, https://www.natlawreview.com/article/cross-border-transfer-master-class-onward-transfers-us-controller-to-processor (last visited Dec. 25, 2021). [11] Nigel Cory, How ‘Schrems II’ Has Accelerated Europe’s Slide Toward a De Facto Data Localization Regime, INFORMATION TECHNOLOGY & INNOVATION FOUNDATION[ITIF], Jul. 8, 2021, https://itif.org/publications/2021/07/08/how-schrems-ii-has-accelerated-europes-slide-toward-de-facto-data (last visited Dec. 25, 2021). [12] The Data Protection Bill, TRILEGAL, Dec. 24, 2021, https://trilegal.com/knowledge_repository/the-data-protection-bill-2021/ (last visited Dec. 25, 2021). [13] The Personal Data Protection Bill(2018), MINISTRY OF ELECTRONICS & INFORMATION TECHNOLOGY, GOVERNMENT OF INDIA, https://www.meity.gov.in/writereaddata/files/Personal_Data_Protection_Bill,2018.pdf (last visited Mar. 03, 2021). [14] Stronger My Health Record privacy laws, AUSTRALIAN DIGITAL HEALTH AGENCY, Nov. 26, 2018, https://www.myhealthrecord.gov.au/about/legislation-and-governance/summary-privacy-protections (last visited Dec. 25, 2021). [15] Freedom Of Information And Protection Of Privacy Act § 30(1)(1996), BRITISH COLUMBIA, https://www.bclaws.gov.bc.ca/civix/document/id/complete/statreg/96165_00 (last visited Mar. 03, 2021). [16] Ryan Berger & Cory Sully, BC Government Relaxes “In Canada Only” Data Hosting Requirements for Public Bodies Due To COVID-19, PRIVACY, Mar. 30, 2020, https://www.lawsonlundell.com/change-your-privacy-settings-here/bc-government-relaxes-in-canada-only-data-hosting-requirements (last visited Dec. 25, 2021). [17] Handelsgesetzbuch (HGB) § 257(2020). [18] Martina F Ferracane, Restrictions on cross-border data flows(2017), EUROPEAN CENTRE FOR INTERNATIONAL POLITICAL ECONOMY (ECIPE), at 14, https://www.econstor.eu/bitstream/10419/174853/1/ecipe-wp-2017-01.pdf (last visited Dec. 25, 2021). [19] 「跨太平洋夥伴全面進步協定」（CPTPP）簡介，中華民國外交部，https://www.mofa.gov.tw/cp.aspx?n=2613（最後瀏覽日：2021/12/15）。 [20] Trade in Services Agreement (TISA), FEDERAL MINISTRY FOR ECONOMIC AFFAIRS AND CLIMATE ACTION, https://www.bmwk.de/Redaktion/EN/Artikel/Foreign-Trade/tisa.html (last visited Mar. 03, 2021). [21] United States-Mexico-Canada Agreement, OFFICE OF THE UNITED STATES TRADE REPRESENTATIVE[USTR], https://ustr.gov/trade-agreements/free-trade-agreements/united-states-mexico-canada-agreement (last visited Mar. 03, 2021) [22] APEC Privacy Framework (2015), APEC,https://www.apec.org/publications/2017/08/apec-privacy-framework-(2015) (last visited Mar. 03, 2021).

　　美國總統歐巴馬於2011年12月發布備忘錄（Presidential Memorandum），要求美國聯邦政府應加強「導入節能績效保證專案（Implementation of Energy Savings Projects and Performance-Based Contracting for Energy Savings）」，並宣布未來24個月內最少將投入20億（billion）美元經費，推動聯邦機構採購實施節能績效保證專案，以改善建築物能源效率。基於政策指示，美國能源部（Department of Energy）下屬聯邦能源管理推動機構（Federal Energy Management Program，以下簡稱FEMP），研議規劃配套機制，協助導入「節能績效保證專案（Energy Savings Performance Contract，以下簡稱ESPC）」，更精簡、效率、低成本之實施模式，並助益美國能源技術服務產業（Energy Service Companies，以下簡稱ESCO）發展。 　　美國FEMP於2012年2月公告ESPC採購關於「資金（Financing）」部分之「資訊徵求意見書（Request for Information，RFI）」，廣詢實務各界意見，希望能繼而落實於政府採購規範及契約範本之研議，並協助ESCO業者能更順利取得資金，並協助ESCO業者能更順利取得資金，及降低資金取得成本，如此亦可有利益於所採購導入之聯邦機構。 　　FEMP主要係規劃探討關於ESPC融資資金，最合理且有吸引力之利率，所應考慮各項要件及利率定價模式，並且規劃建立資金協助者之優先名單（Preferred Financiers），以利配套選用。再者FEMP為推動整合，特別探討ESPC跨專案（Project Aggregation (Combining)）時，可能影響資金協助者之融資與財務評估，例如數ESPC專案、數ESCO業者、由同一資金協助者承接，或是數ESPC專案、數實施地點、同一ESCO業者，同一資金協助者，亦或者數ESPC專案、數實施地點、數ESCO業者、但同一政府機構、且同一資金協助者，研析相關影響要件。 　　以及，FEMP並探討ESPC實施「量測驗證（Measurement and Verification），對於取得融資評估過程是否增加複雜影響因素，以及資金協助者對於量測驗證機制，是否認為將增加風險並致更高融資利率，均為重要探討議題。此項意見徵求書，未來將落實於聯邦機構政府採購之實務規範上，相關內容再持續觀察追蹤。

在中國大陸委託生產時應注意的智財風險 科技法律研究所 法律研究員　林中鶴 2015年03月31日 壹、前言 　　中國大陸向來有世界工廠之稱，即使在人事成本升高的今日，仍舊如此。台商為節省人事、物流成本，或就近服務市場等考量，常會委託中國大陸工廠進行生產以求增加獲利。然而，就在這樣的決策當中蘊藏一些台商必須事前注意的智財風險，稍一不慎，就有可能導致台商不可回復的重大損失。尤其，高科技產業是我國產業的重要命脈，流失關鍵技術，更是不可想像的惡夢。 貳、重點說明 一、台商中國大陸不可忽視智財風險 　　台灣科技大廠聯電在2014年10月宣布決定設立台資在中國大陸第一個12吋晶圓廠，台聯立委立即群起反對，擔心倘若草率西進，製程遭中國大陸廠商模仿、學習，將喪失我國晶圓的代工優勢[1]。類似的疑慮也出現在傳統產業，台灣菸酒公司為了能夠就近服務消費市場，在2010年也決定在中國大陸設立代工廠[2]，委由中國大陸代工，同樣也引發台灣啤酒配方與製程技術可能外流的輿論質疑。對於台商在中國大陸可能遭遇的技術外流疑慮，顯然不是空穴來風。 　　事實上，中國大陸產業發展，相當仰賴對於國外先進技術的學習與奪取，及知名品牌內容的仿冒與抄襲，各種各樣智慧財產權侵害的新聞不絕如縷，就連國際大廠也早就深受其害。蘋果iPhone 6 在未開賣前，網路上就已經出現披著iPhone 6外衣使用Android核心的山寨機[3]。同時間在中國大陸身為iPhone 6最大組裝廠的富士康，也傳出了有員工因竊取iPhone 6外殼轉賣獲利遭逮捕的消息[4]。由此可見，對於台商來說，委託中國大陸代工，除了技術外流風險之外，也一併伴隨著出現高水準仿冒品的風險。 二、委託中國大陸工廠生產時應注意的智財風險 　　台商為節省人事、物流成本，或為能就近服務市場，委託中國大陸台商製造產品是個常見的選擇。為了使代工的台商能夠生產符合所需的產品，台商往往除委託代工廠的生產外，必須提供代工廠商產品的精確規格、詳細的製程技術與商標或專利的使用權利，也因此面臨了下述可能的風險： (一) 法規遵循的風險 　　在委託代工過程中，台商經常也需要提供中國大陸的代工廠必要的製程技術、專利授權或技術指導等跨越國境的技術轉移，因此也涉及到中國大陸官方透過《技術進出口管理條例》對於技術進出口所採行的管制，或透過《專利法》、《專利法實施細則》及《最高人民法院關於審理技術合同糾紛案件適用法律若干問題的解釋》等對於技術轉讓所採取的管制。 　　由於中國大陸為技術發展中的國家，急欲吸收國外先進技術，因此在技術轉移[5]的管理上，著重在於對於技術受轉移方的保護。一方面禁止技術提供方簽訂不利於技術受轉移方的不當限制競爭條款[6]，另方面要求技術提供方負起較重的保證義務[7]，必須保證其為技術的真正權利人、技術實施能達成約定的目標、技術實施不侵害第三人權利等事項。 　　除此之外，在涉及跨國技術移轉的場合，官方復依《技術進出口管理條例》將技術進行分級管理，除條例規定禁止進出口之技術不得進出口[8]、限制進出口之技術應先經許可[9]外，自由進出口之技術於契約簽訂後尚須向地方商務部門申請契約備案[10]。未能遵循管制法令，輕則影響轉讓或授權費用匯出中國大陸，重則可能導致技術移轉契約無效，嚴重影響商業合作。 (二) 技術外流的風險 　　在委託代工過程中，台商常需提供其專有技術、專利技術、製造設備或模具等技術資料，必要時還得提供技術的指導或支援，以確保代工廠商的產能與品質。優質產品的製造技術正是台商重要的競爭力來源，跨越國境的技術移轉不僅增加了技術管理的難度，面對中國大陸積極吸收先進技術的高度競爭環境，技術輸入中國大陸更是大幅提高了技術外流的風險。 　　從簽署代工委託契約之前或一開始，就存在技術外流的風險。台商在締約前後提供技術資料、技術指導或支援時，就常發生不經意提供超過必要或契約範圍外的技術資訊，這等同於台商將自家技術拱手讓人。即使是在必要或契約範圍內的技術資訊，也可能因為代工廠商及其主管、員工、供應商、承包商等有業務往來關係者的故意或疏失，導致技術外流，影響競爭優勢。除此之外，倘若代工廠商利用台商提供的技術進行了改良，依照《技術進出口管理條例》及《合同法》相關規定，在沒有契約約定下，改良成果即歸屬於改良方，這將嚴重影響到台商原應享有的技術權益。 　　換句話說，台商除了必須面對中國大陸企業因故意竊密行為，導致技術的違法取得外，還必須留意避免因為自己契約或管理上的疏失導致技術的合法外流。此外，在原有技術外，忽略法令或契約限制造成技術改良的成果歸屬受讓方，也是技術外流的重要風險來源。 (三) 仿冒氾濫的風險 　　中國大陸的代工廠商一方面為台商生產製造產品，貼上台商的品牌商標，就近服務中國大陸市場，或外銷歐美及日本市場；另方面中國大陸的代工廠商也透過代工的過程不斷學習成長，成為台商潛在的競爭對手。事實上這也是台商一路走過的代工產業歷史。然而，正是這一層的代工關係，使得這些代工廠商成為台商品牌產品潛在的、高度的仿冒風險來源。 　　在中國大陸各城市或電子商務平台上經常可以看到低價的國外品牌商品，其中有一類俗稱外貿原單或尾單的產品[11]，品質幾乎與正牌商品無異。事實上這些商品並不是品牌廠商合法授權製造、銷售的產品，而是代工廠商將原訂單中基於備份需求額外製造的產品、未通過品質檢驗的不良品或次級品，或在訂單以外利用剩餘原料、零件自行製造的產品。除此之外，倘若代工廠商不僅自行在訂單數量外額外生產產品，外流產品上還貼原廠品牌商標，在價格或品質方面可能影響原廠的市場行銷策略。 　　除代工過程中流出的原單或尾單外，在代工關係結束後，中國大陸的代工廠商也可能在未經合法授權的情況下繼續製造、銷售原廠的品牌產品。由於透過為台商生產製造產品，不僅提升了製程能力、獲取了技術經驗，同時也建置了足以隨時生產製造產品的模具、設備與廠房規模。除此之外，過程中也可能獲得關於原料、零件或組件之供應商來源等寶貴資訊。這類代工廠商一旦脫離代工關係，從事仿冒生產，更可能因為其品質接近正品，對企業品牌的價值及對外授權的管理將產生更大的衝擊。 參、事件評析 一、明確約定契約條款內容，減輕技轉法令不利影響 　　面對中國大陸涉外或國內技轉法令的管制，為避免因為未能遵循法令的問題，導致授權契約無效或資金流通受阻，影響企業在中國大陸的生產委託活動，在涉及技術移轉時，建議企業應該留意下述基本事項： 　　1.契約涉及授權時應明確界定授權型態為獨佔、排他或普通授權 　　(1)約定不明確時，依司法解釋[12]將視為普通授權 　　2.契約應充分考慮技轉法令中的保證義務與限制條款 　　(1)應明確界定因技術實施導致侵害第三人權利之情況 　　(2)應明確界定技術實施之條件與達成技術目標之標準 　　(3)應避免不合理的限制競爭條款[13]以免影響契約之效力 　　(4)大陸商務部取得許可 3.自由輸入之技術移轉契約應行備案並留意外匯所需手續[14] 　　(1)應向地方商務部門提出必要文件取得技術進口合同登記證 　　(2)申請人憑技術進口合同登記證，辦理外匯、銀行、稅務、海關等相關手續。 二、設想技術外流的可能情境，運用契約與保密措施降低風險 　　面對委託代工過程中所涉惡意或無意的技術外流，及因技術改良產生的權利流失，節省中國大陸企業技術開發成本，影響我國企業面對中國大陸企業的優勢，建議企業應該留意下述基本事項： 　　1.事前應評估技術是否適合移轉、是否應先申請專利 　　(1)企業應評估技術移轉中國大陸是否可能影響核心競爭力 　　(2)企業應評估技術移轉中國大陸前是否應考慮申請專利保護 　　2.事前應調查委託生產之對象的生產能力與商業信用 　　3.應強化委託代工契約條款中關於營業秘密保護之規定與措施 　　(1)明確約定授權技術的機密範圍、保密義務與違約罰則 　　(2)要求代工廠商及其員工負保密義務，並採取保密措施(並視需要可約定禁止以反向工程破解取得技術秘密) 　　(3)明確記錄技術資料交付之項目，利於契約結束後回收 　　(4)明確約定發生技術外流疑慮時，進入現場調查的機制 　　(5)明確約定各種契約解除及中止之事由，便於代工爭議的善後 　　(6)明確約定契約後之保密義務與相關回收及銷毀的義務 三、落實委外代工契約管理與稽核，防堵高品質仿冒品的外流 　　面對代工廠商未經原廠合法授權將備份品、不良品、次級品外流獲利，或利用代工取得之技術、經驗、設備、模具或原材料來源等經營資源自行生產高品質仿冒品，流入中國大陸或海外市場，影響產品的銷售與品牌權益，建議企業應留意下述基本事項： 　　1.應強化並監督落實契約條款中關於營業秘密保護之規定與措施(同前) 　　2.契約載明授權的稽核措施且應保存記錄以管控產量 　　(1)要求代工廠商應保留產品與商標生產數量之相關記錄 　　(2)要求代工廠商應定期報告，以利權利人掌握生產數量 　　(3)明確約定權利人閱覽記錄及到現場調查的權利與機制 　　3.出貨前應作品質檢驗，管控不良品、次級品的銷毀 　　現場派員監控不良品、次級品的銷毀，避免流出市面 　　4.契約解除或終止時管控資料、設備或產品等的生產/銷售、回收/銷毀 　　(1)要求代工廠商立即停止生產、銷售行為 　　(2)返還持有之技術資料及其影本 　　(3)廢棄權利人提供之模具或專門製造設備 　　(4)廢棄或返還使用技術或商標之成品、半成品與包裝材料及商標標籤等 四、小結 　　台商進前中國大陸，將生產的活動委外，合理配置經營資源，以提升企業的成本優勢。然而，台商在中國大陸的委託生產相對於自行生產或國內生產，面臨了更高的法令遵循風險、技術外流風險與仿冒氾濫風險，尤其是技術的外流，甚至有可能讓台商一擊斃命，流失國際市場的競爭力。因此，正視前進中國大陸的智財風險，在前人的經驗上作好風險預防與因應之道，才能保存住商場廝殺的重要本錢。 [1] 自由時報，〈聯電赴廈門投資 台聯：恐技術外流〉，2014/10/30，http://news.ltn.com.tw/news/politics/breakingnews/1144387（最後瀏覽日：2015/01/26） [2] 自由時報，〈台酒中國設廠 養虎貽患〉，2010/02/24，http://news.ltn.com.tw/news/politics/paper/375069（最後瀏覽日：2015/01/26） [3] 新科技，〈iPhone 6被山寨了！披苹果皮怀揣“安卓心”〉，2014/07/14，http://www.hnetn.com/article/article.asp?id=920671&bid=8561（最後瀏覽日：2015/01/26） [4] 蘋果日報，〈iPhone 6被山寨了！披苹果皮怀揣“安卓心”〉，2014/09/18，http://www.appledaily.com.tw/appledaily/article/finance/20140918/36091338/（最後瀏覽日：2015/03/04） [5] 就《技術進出口管制條例》所稱技術轉移來說，包括專利權轉讓、專利申請權轉讓、專利實施許可、技術秘密轉讓、技術服務和其他方式的技術轉移。原則上技術跨越國境移動之所有型態皆有適用之可能性。 [6] 參見《技術進出口管理條例》第29條、《合同法》第329條及《最高人民法院關於審理技術合同糾紛案件適用法律若干問題的解釋》第10條規定。 [7] 參見《技術進出口管理條例》第24、25條及《合同法》第341、349、353條規定。 [8] 參見《技術進出口管理條例》第9條及第32條。 [9] 參見《技術進出口管理條例》第10條及第33條。 [10] 參見《技術進出口管理條例》第17條及第39條。 [11] 原單主要係指原訂單中代工廠額外生產之產品或未通過品檢的不良品或次級品；尾單主要係指原訂單中代工廠利用剩餘原料、零件自行製造之產品。 [12] 參見《最高人民法院關於審理技術合同糾紛案件適用法律若干問題的解釋》第25條第2款之規定。 [13] 參見《中華人民共和國技術進出口管理條例》第29條及《中華人民共和國合同法》第329條之規定。 [14] 參見《中華人民共和國技術進出口管理條例》第18、20條規定。

　　在 Freedman v. America Online 一案中，原告 Freedman 使用 AOL(ISP 業者 ) 的電子郵件帳號匿名寄送一封載有「末日近了 (The end is near) 」之郵件給另外兩個康乃迪克州之居民，該郵件之收文者將其視為對於安全威脅之信件並立即報警處理。警員 Young 和警官 Bensey 雖製作了筆錄與提出搜索令 ( 授權令 ) 之申請，然而在將該等文件送交州檢察官辦公室並經同意前， Young 即將該等文件傳真給 AOL 法務部門，一周後 AOL 即提供 Freedman 之姓名、地址、電話號碼與其他許多與原告之 AOL 電子郵件帳號有關之訊息，原告因而提起訴訟，主張提供其帳戶資料之行為侵犯其隱私權，已違反美國憲法修正條文第四條。 　　法院認為在美國憲法修正條文第四條之意旨下，網路使用者不能合理期待其用戶資訊為其隱私權所及範圍，主要理由為當網路使用者申請使用服務前，用戶本身已在其本身知悉之情況下將其資訊提供給 ISP 業者，使該 ISP 業者得以提供相關服務，且 AOL 已在其使用合約中註明，倘於其用戶或他人受有人身威脅 (physical threat) 之個別案例之情況下 ( 如同本案例事實 ) ， AOL 將提供用戶資訊，而「電子通訊隱私權法案 (The Electronic Communications Privacy Act) 」第 2510 條以下條文亦規定，於有人身損害之虞 (the risk of physical injury) 之情況下，用戶資料之揭露即具正當性。