文創法第26條第1項第4款適用疑義─營利事業對國家電影中心之捐贈列支為例
文創法第26條第項第4款適用疑義─
以營利事業對國家電影中心之捐贈列支為例
科技法律研究所
法律研究員 尤騰毅
2015年02月10日
壹、事實說明
日前根據報載「…金馬影后、也是湯臣影業負責人徐楓,響應搶救老電影計畫,一舉捐出510萬元修復胡金銓導演、也是她自己的代表作《俠女》,作為國家電影中心的開門之喜。…」(「國家電影中心」成立 徐楓捐款510萬,經濟日報,2014.07.28)。營利事業對於財團法人國家電影中心之捐贈列支,係依所得稅法第36條,或文創法第26條第1項第4款申請?
貳、法律評析
一、依所得稅法第36條第1款以專案核准方式辦理,得不受列支金額限制
營利事業針對政府捐助成立之特定財團法人,目前財政部依所得稅法第36條第1項規定,以專案核准方式作成多號函釋,其捐贈列支,不受金額限制,包括財團法人法律扶助基金會、財團法人中央廣播電台等,參附錄一。以本案例而言,若能依所得稅法第36條第1款向財政部申請以專案核准方式辦理,可享有無認列金額上限之待遇,係優於文創法的處理方式;惟本案捐贈款項有指定用途,捐贈人宜以捐贈契約明文,以確保捐贈目的的達成。
二、本案例事實亦可適用文創法第26條
(一)受贈對象
文創法第26條之立法意旨在於鼓勵民間企業參與,帶動文創產業發展,達到以短期租稅減收換取未來長期經濟發展之目的。希望將企業資金導入民間之文創產業,其受捐贈目的與所得稅法第36條第2款所稱之教育、文化、公益、慈善機關或團體有別。惟其受贈對象未限於營利之民間企業,亦包括從事文創事業之非營利法人,故本案捐助對象雖為財團法人國家電影中心,因其亦為從事文創產業活動之事業,仍屬文創法第26條之適用對象。
(二)捐贈事由
文創法第26條第1項所列3款法定事由,同項第4款並授權中央主管機關可認定得列為當年度費用或損失之事項(屬概括規定)[1]。關於文創法第26條所列3款法定事由,茲先說明如下:
(一)購買由國內文化創意事業原創之產品或服務,並經由學校、機關、團體捐贈學生或弱勢團體。(文創法第26條第1項第1款)
所稱國內文化創意事業,係指「在我國依法設立之法人、合夥或獨資事業,或具有中華民國國籍之國民,從事文化創意產業者」(營利事業捐贈文化創意相關支出認列費用或損失實施辦法第2條,下稱認列辦法)。只要是國內文化創意事業所研發創作,提供消費者消費之產品或服務,均適用捐贈認列抵稅。
營利事業所捐贈之原創產品或服務,須經由學校、機關或團體,核轉給適格的捐贈對象。所稱「學校」,包括所有各級依法設立、實施正規教育的公、私立學校,故不包含補習學校與社區大學(認列辦法第2條)。另為確保捐贈為弱勢團體所用,針對受贈團體之認定標準,限於依法設立或登記之非營利組織。透過符合上述資格之學校、機關或團體,將購買之原創產品或服務核轉給各級公私立學校之在學學生,以及依法設立或登記專門協助身心障礙者、原住民及其他弱勢族群之團體。
(二)偏遠地區舉辦之文化創意活動。(文創法第26條第1項第2款)
所稱偏遠地區係指人口密度較低、或交通較為不便、地理位置偏遠之地區,如離島(認列辦法第2條)。考量我國文化活動在城鄉的相較之下,仍多集中於城市,為兼顧文化創意產業之均衡發展,縮短城鄉差異,故以本款規定鼓勵營利事業捐贈國內文化創意事業於偏遠地區舉辦文化創意活動,以提高民眾參與文化創意活動意願及文化素養,同時達到發展國內文化創意事業之立法目標。凡屬於對公眾舉辦之展覽、表演、映演、拍賣或其他經各中央目的事業主管機關認定之活動,並應以公開且無償之方式服務偏遠地區之民眾者為限。
(三)捐贈文化創意事業成立育成中心。(文創法第26條第1項第3款)
雖然文創法第26條第1項第3款規定捐贈於「成立」的費用或損失才可認列,但避免育成中心設置過於浮濫,「營利事業捐贈文化創意相關支出認列費用或損失實施辦法」第5條規定設計育成中心應以設立後已有營運經營活動為限,且針對經營團隊管理階層人員之專業及其相關工作年資、育成空間之坪數空間,均有所規範,俾利徵納雙方遵循,以免流弊。
由於本案捐贈目的在於搶救老電影的修復費用,並不符合上述明列的事由,須由中央主管機關認定系爭事實是否得適用前述第4款規定。本文認為例舉之三款法定認列事由可歸納出以下三個構成要件,本件案例事實是否得適用文創法第26條第1項第4款之規定,中央主管機關得以下述要件檢視之:
1.應符合鼓勵民間企業參與文創事業活動,帶動產業發展之立法意旨
文創法第26條之立法意旨在於鼓勵民間企業參與,帶動文創產業發展,達到以短期租稅減收換取未來長期經濟發展之目的。因此,營利事業之捐贈、購買行為,應透過參與文創事業活動,而達到帶動文創產業發展之效。
2.為捐贈、購買或其他可促進文創產品創作、或舉辦文創活動所支出之費用
營利事業之捐贈、購買標的,包括文創產品或服務,以及可促進文創產品創作之行為(例如成立育成中心),以及舉辦文創活動(如對公眾公眾舉辦之展覽、表演、映演)等。
3.捐贈或購買對象應為文化創意事業
營利事業所捐贈或購買的對象應限定為文化創意事業,其範圍依照文化創意產業發展法第4條規定,係指從事文化創意產業之法人、合夥、獨資或個人。
因此,本案捐助對象為財團法人國家電影中心,亦為從事文創產業活動之事業,其費用雖非為購買特定產品、服務或捐贈特定活動,惟具備促進文創產品創作之效用,與文創法第26條鼓勵企業資源挹注文創產業之立法意旨相符,應有同條第1項第4款之適用。
參、結語
為善用民間企業挹注文化創意產業發展,文化創意產業發展法26條以認列損失或費用之方式,鼓勵民間營利事業購買文化創意事業之原創產品與服務,或贊助偏遠地區舉辦之文化創意活動,以及捐贈文化創意事業成立育成中心。其捐贈總額在新台幣1千萬元或所得額10%之額度內,以額度較高者為準,得列為當年度費用或損失,以租稅優惠作為營利企業團體支持文化創意產業之誘因。本案的捐贈金額並未超出文創法第26條的限額,若經主管機關認定為可認列之費用,其稅賦優惠其實與適用所得稅法第36條第1款以專案核准方式辦理相同,惟捐贈人所需考量者,在於上述二個租稅優惠途徑的申請程序繁簡與獲准機會。
台灣正面臨產業轉型階段,文化創意產業若干的活動(如設計、廣告、出版、文化等),可以提供製造業周邊服務並提高其附加價值,將是台灣未來升級轉型的希望所冀。從我國科技產業發展歷程觀之,運用租稅獎勵政策工具以發展特定產業,其成效卓著已獲得印證。為動文創產業發展,文創主管機關勢必會妥善利用租稅獎勵政策工具,因此以簡便且較容易獲租稅優惠角度來看,只要金額未超過限制,對於財團法人的文創活動捐贈,建議優先嘗試適用文創法第26條規定。
附錄一:財政部依所得稅法第36條第1款專案核准之函釋
【財政部 103.2.06. 臺財稅字第10304516880號函】
營利事業對財團法人法律扶助基金會之捐贈,可依所得稅法第36條第1款規定,列為當年度費用或損失,不受金額之限制。
【財政部 92.06.16. 台財稅字第 0920454411 號函】
營利事業對財團法人中央廣播電台之捐贈,准依所得稅法第三十六條第一款規定列為當年度費用或損失,不受金額之限制。
【財政部 92.04.09. 台財稅字第 0920452425 號】
設立財團法人證券人及期貨交易人保護中心之捐助款,准列為當年費用或損失,不受金額限制。
【財政部 90.11.09. 台財稅字第 0900457122 號】
金融機構對財團法人中小企業信用保證基金之捐助准列為當年度費用或損失,不受金額限制。
【財政部 85.12.19. 台財稅字第 851172920 號】
營利事業或個人對財團法人中央通訊社之捐贈,可依所得稅法規定認列費用或列報扣除額。
【財政部 80.10.21. 台稅一發字第 800739322 號】
對海華文教基金會之捐款得限額列為費用。
為期望能打破歐盟長久以來因是否種植基因改造作物所陷入的政治僵局,近來根據一份歐盟內部策略報告文件(internal strategy paper)指出,歐盟執委會針對未來的基因科技政策首次建議表示,未來將授權由各會員國自行決定將批准或禁止基因改造作物於境內種植,並且透過調整相關基因科技法管理規範的方式予以落實推動。 以目前歐盟各會員國觀之,境內支持基因改造科技(gene-technology-friendly)與反對基因改造科技(gene-technology-unfriendly)的國家彼此呈現封鎖阻隔的局面,欠缺透明的決策程序,同時降低民眾對於政策決定了解程度。因此,歐盟執委會建議,關於基因改造作物的批准與種植,在此次建議中,擬朝向將歐盟權限與各會員國權限進行切割的做法,表示此一規劃對於後續選擇栽種與利用基因改造作物的國家將更為簡便,相對於無意栽種基因改造作物的國家則可核發禁令。 為執行上述建議做法,歐盟執委會進一步表示,修改相關法令規範必須取得歐盟議會之同意,如可行將嘗試於現行立法架構下採取政策調整的方式,同時應確保未來新修正的基因科技管理規範和WTO之規定相容,並且不會和其他國家政策立場造成衝突,尤其是向來支持發展基因改造作物的美國。 整體而言,歐盟執委會對於未來調整方向抱持樂觀態度,認為有鑑於目前的情況,此舉將為植物生物科技與相關種子產業帶來正面提升的力量。
德國向歐盟提交《人工智慧白皮書-歐洲卓越與信任概念》及《人工智慧,物聯網和機器人技術對安全和責任之影響報告》意見德國聯邦政府於2020年6月29日,針對歐盟執委會於2020年2月19日公布的《人工智慧白皮書-歐洲卓越與信任概念》(Weißbuch zur Künstlichen Intelligenz – ein europäisches Konzept für Exzellenz und Vertrauen)及《人工智慧,物聯網和機器人技術對安全和責任之影響報告》(Bericht über die Auswirkungen künstlicher Intelligenz, des Internets der Dinge und der Robotik in Hinblick auf Sicherheit und Haftung) 提交意見,期能促進以負責任、公益導向、以人為本的人工智慧開發及使用行為,並同時提升歐盟的競爭力及創新能力。 歐盟執委會所發布的人工智慧的白皮書及人工智慧對安全和責任的影響報告,一方面可促進人工智慧使用,另一方面則藉此提醒相關風險。本次意見主要集結德國聯邦經濟與能源部、教育與研究部、勞動與社會事務部、內政、建築及社區部以及司法與消費者保護部之意見。德國政府表示,投資人工智慧為重要計畫之一,可確保未來的創新和競爭力,以及應對諸如COVID-19疫情等危機。最重要的是,可透過人工智慧的應用扶持中小型公司。然而在進行監管時,必須注意應促進技術發展而非抑制創新。 在《人工智會白皮書-歐洲卓越與信任概念》中指出,人工智慧發展應在充分尊重歐盟公民的價值觀和權利的前提下,實現AI的可信賴性和安全發展之政策抉擇,並於整體價值鏈中實現「卓越生態系統」(Ökosystem für Exzellenz),並建立適當獎勵機制,以加速採用AI技術為基礎之解決方案。未來歐洲AI監管框架將創建一個獨特的「信任生態系統」(Ökosystem für Vertrauen),並確保其能遵守歐盟法規,包括保護基本權利和消費者權益,尤其對於在歐盟營運且具有高風險的AI系統更應嚴格遵守。此外,應使公民有信心接受AI,並提供公司和公共組織使用AI進行創新之法律確定性。歐盟執委會將大力支持建立以人為本之AI開發方法,並考慮將AI專家小組制定的道德準則投入試行階段。德國政府指出,除了要制定並遵守歐洲AI的監管政策外,應特別注重保護人民之基本權,例如個人資料與隱私、消費者安全、資料自決權、職業自由、平等待遇等,並呼籲國際間應密切合作,運用人工智慧技術克服疫情、社會和生態永續性等挑戰。另外,德國政府亦支持將人工智慧測試中心與真實實驗室(監理沙盒場域)相結合,以助於加速企業實際運用,也將帶頭促進AI在公部門之運用。 在《人工智慧,物聯網和機器人技術對安全和責任之影響報告》中則指出,歐洲希望成為AI、IoT和機器人技術的領導者,將需要清楚、可預測的法律框架來應對技術的挑戰,包括明確的安全和責任框架,以確保消費者保護及企業合法性。AI、IoT和機器人技術等新數位技術的出現,將對產品安全性和責任方面出現新挑戰,而在當前的產品安全法規上,缺乏相關規範,特別是在一般產品的安全指令,機械指令,無線電設備指令等,未來將以一致地在各框架內針對不同法律進行調修。在責任方面,雖然原則上現有法令尚仍可應對新興技術,但人工智慧規模的的不斷變化和綜合影響,將可能增加對受害者提供賠償的困難度,導致不公平或效率低下的情形產生,為改善此一潛在不確定性,可考慮在歐盟層級調修產品責任指令和國家責任制度,以顧及不同AI應用所帶來的不同風險。德國政府除了支持歐盟作法,在創新與監管取得平衡,更強調應不斷檢視產品安全和產品責任法是否可滿足技術發展,尤其是對重要特定產業的要求,甚至修改舉證責任。並可透過標準化制定,加速人工智慧相關產品與服務的開發。另外,應依照風險高低擬定分類方法,並建議創建高風險AI系統之註冊與事故報告義務,以及相關數據保存、記錄及資料提供之義務,針對低風險AI應用則採自願認證制度。
美國各州逐步研議透過立法豁免企業資安事件賠償責任美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架,美國已有幾州開始透過立法限縮企業資安事件賠償責任,企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準,則於資安攻擊事件所致損害賠償訴訟中,將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料,企業往往投入大量資源打造資安防護架構,惟在現今網路威脅複雜多變的環境下,仍可能受到惡意資安攻擊,導致資料外洩事件發生,導致企業進一步面臨訴訟求償風險,其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任,以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令,讓已實施適當安全維護措施之企業,豁免資安攻擊所致資料外洩之損害賠償責任,佛羅里達州和西維吉尼亞州近期亦提出相似法案,以下介紹兩州法案之重點: 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 (H.B 473: Cybersecurity Incident Liability)[4],法案納入「安全港條款」(Safe Harbor),當企業遭受資安攻擊致生個資外洩事件,如可證明已遵循產業認可的資安標準或框架,實施適當的資安措施與風險控管機制,則可免於賠償責任,以鼓勵企業採納資安標準或框架。 為適用安全港條款,企業須遵循佛羅里達州資訊保護法(The Florida Information Protection Act),針對資料外洩事件,通知個人、監管機關和消費者,並建立與法案內所列當前產業認可的資安標準、框架,或是特定法令規範之內容具一致性的資安計畫(Cybersecurity Programs): (一)當前產業認可的資安標準、框架 1. 國家標準暨技術研究院(National Institute of Standards and Technology, NIST)改善關鍵基礎設施資安框架(Framework for Improving Critical Infrastructure Cybersecurity)。 2. NIST SP 800-171-保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A- 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫(Federal Risk and Authorization Management Program, FedRAMP)安全評估框架。 5. 資安中心( The Center for Internet Security, CIS)關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟(The Health Information Trust Alliance, HITRUST)通用安全框架(Common Security Framework)[6]。 8. 服務企業控制措施類型二(Service Organization Control Type 2, SOC 2)框架。 9. 安全控制措施框架(Secure Controls Framework)。 10. 其他類似的產業標準或框架。 (二)特定法令規範 企業(entity)如受以下法令規範,亦得適用安全港條款,如法令有修訂,企業應在發布修訂後的一年內更新其資安計畫: 1. 健康保險可攜與責任法(The Health Insurance Portability and Accountability Act, HIPAA)之安全要求。 2. 金融服務現代化法(The Gramm-Leach-Bliley Act)第五章。 3. 2014 年聯邦資訊安全現代化法(The Federal Information Security Modernization Act of 2014)。 4. 健康資訊科技促進經濟和臨床健康法(The Health Information Technology for Economic and Clinical Health Act, HITECH)之安全要求。 5. 刑事司法資訊服務系統 (The Criminal Justice Information Services, CJIS)安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過,但於2024年6月26日遭州長否決[7],其表示法案對於企業的保障範圍過於廣泛,如企業採取基礎的資安措施與風險控管機制,便得主張適用安全港條款,將可能導致消費者於發生個資外洩事件時,無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會(Florida Cybersecurity Advisory Council)合作,探求法案的替代方案,以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8],修訂西維吉尼亞法典(Code of West Virginia),增訂第8H章資安計畫安全港條款(Safe Harbor for Cybersecurity Programs),如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫,包含個人資訊和機敏資料的管理、技術和企業保障措施,將能夠於侵權訴訟中,主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素,包含: 1. 企業的規模和複雜性; 2. 企業的活動性質和範圍; 3. 受保護資訊的敏感性; 4. 使用資安防護工具之成本和可用性; 5. 企業可運用的資源。 (一)當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同,另增加: 1 NIST SP 800-76-2個人身分驗證生物辨識規範(Biometric Specifications for Personal Identity Verification)[9]。 2. 資安成熟度模型認證(The Cybersecurity Maturity Model Certification, CMMC)至少達到第2級,並經外部驗證(external certification)。 (二)特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同,另增加:由聯邦環境保護局(Environmental Protection Agency, EPA)、資安暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)或北美可靠性公司(North American Reliability Corporation)[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11],其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好,但也可能遭濫用而帶來不當影響,例如TikTok等大型國際企業,如在違背公民意願情況下共享個人資料時,將免於訴訟,恐有損其公民權益,未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案,內容亦為相似,西維吉尼亞州之法案目前已遭否決,主要係擔心該豁免條款遭到不當濫用;佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量,而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令,有助企業明確遵循與採納,建立與實施資安計畫,惟如何舉證所建立之資安計畫或實施之資安措施,與法案所列之資安標準、框架,或是特定法令規範,具有實質上的一致性,仍不明確,將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障,仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心( The Center for Internet Security, CIS)為美國非營利組織,負責推動CIS Controls,針對實際發生的資安攻擊行為提供防禦建議,作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源:About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司(North American Electric Reliability Corporation, NERC),為一家非營利機構,致力推動關鍵基礎設施保護相關標準,以強化北美大規模電力系統(亦即電網)的可靠性和安全性,資料來源:https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).
新加坡個人資料保護法修正草案新加坡通訊及新聞部(Ministry of Communications and Information, MCI)與新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於西元2020年5月14日至28日間針對其「個人資料保護法修正草案」進行民眾意見諮詢,總共收到87份回覆。綜合民眾回覆之意見後,同年10月5日,於議會提出了「個人資料保護法修正草案」,修正重點如下: 提高外洩個人資料者罰鍰金額,至該公司在新加坡年營業額10%或1000萬美元。MCI / PDPC說明,實際上於裁罰前會綜合考量個案事實與相關因素(如:嚴重性、可歸責性、影響狀況、組織有無採取任何措施減輕個資外洩造成的影響等),作為裁罰金額的判斷依據。此外,新加坡的個人資料保護法也加入了個資外洩通知義務,但與歐盟一般資料保護規範(General Data Protection Regulation, GDPR)仍有不同,例如:其多了評估是否通知的機制。 組織基於商業改善之目的,且遵守法定條件下,得未經同意使用個人資料,此處商業改善目的包含:(1)改善或加強提供之商品或服務,或開發新的商品或服務;(2)改善或發展新的營運方式;(3)瞭解客戶喜好;(4)客製化商品或服務所需。 在公司併購、重組、出售股份以及經營權轉讓等關於公司資產處置情形,得例外無需經當事人同意而蒐集、處理與利用個人資料。 新增資料可攜權相關規定。 處罰未經授權者處理個人資料之行為。針對民眾回覆之疑慮(認為草案內容不明確),MCI / PDPC說明預計在《法規與諮詢指南》中闡明有關授權行為的細節性規定,包含採取的形式。