歐盟加值稅(EU Value-Added Tax)2015新制簡介
歐盟加值稅(EU Value-Added Tax)
2015新制簡介[1]
資策會科技法律研究所
法律研究員 吳建興
105年01月21日
壹、前言
在資通訊科技軟硬體發展下,現已邁向數位匯流的時代,傳統的電信、廣播電視業與網路業的界線已經模糊,而高速寬頻網路及行動載具的普及更促成新興數位內容服務業的發展,進而考驗著傳統經濟稅法的體制。由於數位經濟具有超越國界之特質,在數位經濟中跨境傳輸[2]加值稅之徵收造成很大挑戰[3],尤其更是對現代國家財政稅造成加深稅基侵蝕及企業利益移轉(BEPS)[4]之危險[5]。因此,歐盟經濟暨財政理事會於2008年通過[6]及公布[7]歐盟新制加值稅法案(VAT Package[8]),法案中關於電信、廣播及電子服務業服務提供地之規定於2015年1月1日正式生效,其目標便是針對數位服務業的加值稅課徵進行改革,以創造一個公平的數位服務市場,迎接數位經濟時代的來臨。
本文以下便就歐盟新制加值稅指令[9](Council Directive 2008/8/EC)區分為三個方向討論:首先界定加值稅新制影響標的和適用範圍以釐清影響範圍,其次說明改革的重點和規範效果,最後嘗試分析對服務提供者和納稅義務人的影響。
貳、新制適用對象
根據歐盟新制加值稅指令(Council Directive 2008/8/EC)第5條規定[10],本次新制規範對象限於數位服務業當中所稱之電信(Telecommunications)、廣播(Broadcasting)及電子(Electronic)服務業三大業別。換言之,「貨物的提供」與「電信、廣播及電子服務業之外其它服務業」則不在本次規範範圍中[11]。而所謂電信,廣播及電子服務,根據定義係指:
一、電信服務定義
電信服務是指經由有線、無線、光學或電子磁,為信號、文字、影像、聲音傳輸、發射、接收等服務。這些服務包含轉讓如此傳輸、發射、接收能力。此能力亦包含對全球資訊網路之連結[12]。具體實例如:固定與行動電話服務、視訊電話服務(Videophone)、經由廣播所傳輸訊息服務(paging services)、傳真、電報、網路連接服務及全球資訊網服務[13]。
二、廣播及電視服務定義
廣播及電視服務是指關於聲音,影音內容之服務,諸如基於一電視、廣播節目表,經由通訊網路(Communications Networks),在一媒體服務提供者之編輯責任下,所提供給大眾同時收聽或收看電視或無線廣播節目[14]。具體實例如:線上廣播服務、經由廣播及電視網路所傳輸廣播及電視節目[15]。
三、電子服務定義
依2006年11月之歐盟加值稅指令所指稱之電子服務是指透過網際網路(The Internet)或電子網路(An Electronic Network)所提供的服務,且依此方式所提供的服務性質是完全自動化並涉及人為最小的干涉,且無此資訊技術下便不能確保該服務之提供品質[16],具體實例如:VOD(Video on Demand),下載應用軟體(APPs)[17],線上下載音樂、線上遊戲、電子書、防毒軟體、線上拍賣等[18]。
貳、新制加值稅規範內容
歐盟新制加值稅規範主要內容是重新定義了所謂服務供應地(The place of supply),進而影響加值稅課徵地的認定。依新修正歐盟加值稅指令第58條規定,如電信服務、廣播及電視服務或電子服務業,對消費者提供服務,該服務之供應地為該消費者通常居所或永久居所。因此,歐盟新制加值稅最大改變,是將舊制中關於歐盟境內的電信,廣播,電子服務中B2C部分加值稅課徵地,由服務提供者所在地改為顧客所在地。至於B2B商業模式規範之課徵地,原即為顧客所在地,在此次新制則未調整。換言之,自2015年1月1日起,提供顧客如電信、廣播及電子服務業服務時,其課稅地為顧客所在地[19]。在新制下,係依照數位服務提供者之所在地位於歐盟境內或境外,認定納稅義務人及課稅地。可歸納如下[20]:
一、數位服務提供者在歐盟境內
數位服務提供者提供服務對象為歐盟會員國境內企業時,由該會員國徵收加值稅。加值稅納稅義務人即為接受該服務之企業。
數位服務提供者提供服務對象為歐盟會員國境內消費者時,由消費者所在國徵收加值稅,加值稅納稅義務人為服務提供者。
數位服務提供者提供服務對象為歐盟會員國境外企業或消費者時,數位服務提供者所在國不能徵收加值稅[21]。
二、數位服務提供者在歐盟境外
數位服務提供者提供服務對象為歐盟會員國境內企業時,由企業所在地會員國徵收加值稅,加值稅納稅義務人為接受該服務之企業。
數位服務提供者提供服務對象為歐盟會員國境內消費者時,由顧客所在國徵收加值稅,加值稅納稅義務人為服務提供者。
參、推動建立簡易報稅系統
承上,由於新制將課稅地由服務提供者所在地改為消費者所在地。此使得數位服務業者須向其消費者所在國家進行加值稅註冊登記,並繳納其應繳加值稅稅額。此對於數位內容服務業者而言,將造成龐大行政負擔。舉例而言,如果英國電子服務業者有一位保加利亞顧客在網路上每月支付10歐元作為會員費;根據新制,電子服務提供者需到保加利亞做加值稅登記及繳納,此時除非電子服務提供者學習保加利亞文,親自聯絡稅務當局做登記及繳納,否則繳納上產生相當困難。倘若英國電子服務業之消費者遍及全歐盟會員國,此時該英國電子服務業便須知道歐盟境內各國加值稅稅率及方式,管理成本將成重大負擔。歐盟預見到此不便,故為方便納稅人納稅,便推動建立了簡易型報稅系統(Mini One Stop Shop, MOSS)。歐盟新制加值稅指令[22]允許電信、廣播及電子服務提供業者透過此替代性納稅方式,只需在其企業建立據點之歐盟會員國內,使用MOSS報稅系統此單一線上窗口進行登記、申報及繳納加值稅,經由該MOSS系統即可達到移轉申報金額給相關消費者所在之會員國之功能,免除報稅上之不便。
肆、事件評析
數位時代的來臨,因為網路傳輸無國境,故以數位服務提供者所在地為課稅地已不能滿足數位時代的超越國界特性,以消費者所在地為提供地應是未來之數位時代稅制發展方向。
就歐盟新制加值稅改革旨在建立一公平競爭的數位內容服務市場而言,透過加值稅課徵地的調整,將能促使歐盟數位內容服務提供者已不能選擇將公司據點建立於低加值稅之會員國而提高其競爭力。此項改革不只符合歐盟內部之服務加值稅長期政策,且亦與加值稅改革之?國際潮流接軌。
就臺灣目前之現狀而觀察,在數位內容服務之加值稅徵收上仍有不公平之競爭現象存在於境外數位服務內容提供者與境內的提供者之間。按現行法令,雖加值稅課稅地是以消費者所在地為原則,亦即不論境外及境內之業者所適用之費率均以臺灣的加值稅稅率為主。然而按現行法令,台灣消費者在每一筆交易低於3000元以下得免此納稅義務[23],因數位內容交易存在低價格之特性,形成國家稅收為數不小之缺口。而且由於在境外數位服務的提供上,現行規定是由台灣消費者負擔申報義務[24],其結果造成境外數位服務的加值稅因為難以期待消費者自行申報而課徵困難,反而變相提高境外數位服務業者的價格競爭力,背離稅制之中立性原則。
在歐盟舊制加值稅改革前,因為歐盟數位服務業者選擇低稅率國去建立據點而造成不公平競爭之問題,已因為新制將課稅地改為消費者所在地而消除。臺灣現制是納稅義務是由消費者負擔,未在臺灣建立據點之境外業者亦無繳納加值稅之義務。對照台歐雙方制度,建議台灣未來之改革方向應將加值稅之納稅義務人改為跨境之數位服務提供者,且取消3000元以下得免繳納之義務,並參考前述MOSS系統提供境外業者便利申報繳納之精神,提供方便境外業者申報繳納之管道,以提高納稅意願,助益國內數位服務產業公平競爭環境之建立。
[1]簡介歐盟加值稅2015新制針對電子服務業,電信業及廣播電視業之規定
[2]特別是在企業提供對消費者之數位內容服務上,暨所謂的B2C(Business to Consumers)服務。
‘The digital economy also creates challenges for value added tax (VAT) collection, particularly where goods, services and intangibles are acquired by private consumers from suppliers abroad’. id. at 7.
[4] 英文原文為: Base Erosion and Profit Shifting
[5] ‘While the digital economy and its business models do not generate unique BEPS issues, some of its key features exacerbate BEPS risks’. OECD, OECD/G20 Base Erosion and Profit Shifting : Project 2015 Final Reports: Executive Summaries, at 6. available at http://www.oecd.org/ctp/beps-reports-2015-executive-summaries.pdf (last visited, Oct. 15, 2015)
[6] VAT package: Commission welcomes adoption by the ECOFIN Council of new rules on the place of supply of services and a new procedure for VAT refunds , European Council:Press Release Database , Feb. 12, 2008 , http://europa.eu/rapid/press-release_IP-08-208_en.htm?locale=en (last visited, Oct. 15, 2015)
[7] Council Directive 2008/8/EC, 2008 O.J. (L44) 11.
[8] The "VAT package" contains:
- a Directive on the place of supply of services;
- a mini one stop shop for telecom, broadcasting and e-commerce services;
- a Directive on procedures for VAT refunds to non-established businesses;
- a Regulation on the exchange of information between Member States which is necessary to underpin the new arrangements
[9]歐盟指令2008/8/EC 修正所謂〈歐盟加值稅指令〉Directive 2006/112/EC: Council Directive 2008/8/EC of 12 February 2008 amending Directive 2006/112/EC as regards the place of supply of services,
[10] Council Directive 2008/8/EC, art. 5, 2008 O. J. (L44) 11, 17.
[11] EUROPEAN COMMISSION, Explanatory notes on the EU VAT changes to the place of supply of telecommunications, broadcasting and electronic services that enter into force in 2015 , (2014) , at, 11, http://ec.europa.eu/taxation_customs/taxation/vat/how_vat_works/telecom/index_en.htm#new_rules (last visited Oct. 20, 2015)
[12] Council Directive 2006/112/EC, art. 24(2) ,2006 O. J. (L347) 1, 14. 條文原文如下:Telecommunications services shall mean services relating to the transmission, emission or reception of signals, words, images and sounds or information of any nature by wire, radio, optical or other electron magnetic systems, including the related transfer or assignment of the right to use capacity for such transmission, emission or reception, with the inclusion of the provision of access to global information networks。
[13] Guichet Unique, Impots.gouv.fr, http://www2.impots.gouv.fr/e_service_pro/tva_miniguichet/moss.html p. 7 (last visited Oct. 14, 2015)
[14] Council Implementing Regulation (EU) No 1042/2013, art. 6b(1) ,2013 O. J. (L284) 1, 3.條文原文如下:
Broadcasting services shall include services consisting of audio and audio-visual content, such as radio or television programmes which are provided to the general public via communications networks by and under the editorial responsibility of a media service provider, for simultaneous listening or viewing, on the basis of a programme schedule
[15] Guichet Unique, Impots.gouv.fr http://www2.impots.gouv.fr/e_service_pro/tva_miniguichet/moss.html p.7 (last visited Oct. 14, 2015)
[16]Council Implementing Regulation (EU) No 282/2011, art. 7(1) ,2011 O. J. (L77) 1, 5. 條文原文如下:
Electronically supplied services’ as referred to in Directive 2006/112/EC shall include services which are delivered over the Internet or an electronic network and the nature of which renders their supply essentially automated and involving minimal human intervention, and impossible to ensure in the absence of information technology.
[17]"Applications (software)"
[18]Guichet Unique, Impots.gouv.fr, http://www2.impots.gouv.fr/e_service_pro/tva_miniguichet/moss.html p.7 (last visited Oct. 14, 2015)
[19] Council Directive 2008/8/EC, art. 5, 2008 O. J. (L44) 11, 17. 新修正歐盟加值稅第58條文原文如下:The place of supply of the following service to a non-taxable person shall be the place where that person is established, has his permanent address or usually resides:
(a) Telecommunications services; (b) radio and television broadcasting services; (c) electronically supplied services, in particular those referred to in Annex II. Where the supplier of a service and the customer communicate via electronic mail that shall not of itself mean that the service supplied is an electronically supplied service.
[20] Telecommunications, broadcasting & electronic services, European Commission, http://ec.europa.eu/taxation_customs/taxation/vat/how_vat_works/telecom/index_en.htm (last visited, Oct. 15,2015)
[21]但倘若此服務在歐盟內實質被使用及享受,此相關會員國則可徵收。舉例而言,一匈牙利仿毒軟體在其網站提供仿毒軟體下載給澳大利亞之顧客,此服務是不用課徵加值稅。然而若此服務是在一歐盟會員國使用或享用,此歐盟會員國可決定去徵收。Telecommunications, broadcasting & electronic services, European Commission, http://ec.europa.eu/taxation_customs/taxation/vat/how_vat_works/telecom/index_en.htm (last visited, Oct. 15,2015). 此為歐盟執委會官網上的例子:“Example A Hungarian company sells an anti-virus program to be downloaded through its website to businesses or private individuals in Australia. NO VAT But if the service is effectively used & enjoyed in an EU country, that country can decide to levy VAT (option for Member States)”
[22] Council Directive 2008/8/EC, 2008 O.J. (L44) 11.
[23]依民國100年5月6日財政部台財稅字第10004500190號規定, 外國事業團體於中華民國境內無固定營業場所而有銷售勞務者,該買受人同一筆勞務交易應給付報酬總額在新臺幣3千元以下者免繳納營業稅。
[24]營業稅法第二條第三款之規定,外國之事業、機關、團體、組織,在中華民國境內無固定營業場所者,營業稅的納稅義務人為「其所銷售勞務之買受人」。又按照財政部於民國九十四年所頒布「網路交易課徵營業稅及所得稅規範」,其中亦規定「在中華民國境內無固定營業場所之外國事業、機關、團體、組織,其利用網路銷售勞務予我國境內買受人者,應由勞務買受人依營業稅法第36條規定報繳營業稅」。
吳建興
法律研究員 編譯整理
卡爾斯魯爾行政法院在今年6月7日公布第一個關於歐盟個人資料保護規則(Datenschutzgrundverordnung,DSGVO)的判決。在本案中,原告是一間負責處個人信用資料的民間公司,其依據現行BDSG(Bundesdatenschutzgesetz,聯邦個人資料保護法)的規定來蒐集、保存與傳輸個人資料給第三人。巴登符騰堡邦的主管機關在預見原告將來會違反DSGVO規定的情況下,向原告發出一份行政處分(Verfügung),要求原告必須依照DSGVO的相關規定調整作業流程以符合DSGVO的規範。但原告認為,其只需要在2018年5月24號之後,就相關作業流程符合DSGVO的規範即可。 本案的關鍵在於,主管機關是否已經可以用DSGVO的規定來規範民間企業?因為依據DSGVO第99條的規定,DSGVO現雖已生效,但必須到2018年5月25日才開始適用。 根據BDSG第38條第5項規定,監督機構可以採取必要措施,確保民間企業在收集、傳播和使用個人資料時遵守相關保護規定;且本案中,原告在2018年5月24號後可能會出現的違法情形也已顯而易見,但法院並不同意行政機關可以預先發布行政處分的看法。因為DSGVO雖已生效,但民間企業必須適用的期限仍未屆至。行政機關不得在未有法律授權的情況下,預先規範限制未來的可能違法行為。現行法律對於行政機關的授權範圍必須被嚴格遵守,在DSGVO未開始適用的情況下,目前行政機關仍只能依據BDSG及DSAnpUG(Datenschutzanpassungs- und Umsetzungsgesetz,個人資料保護調整和施行法)的規定,來處理相關的行政措施。
歐盟針對個人資料傳輸第三國之規範提出參考指引歐盟資料保護監督機關(European Data Protection Supervisor, 下稱EDPS)於2014年7月14日,針對利用雲端運算以及行動設備,將個人資料從歐盟境內傳輸至非歐盟國家之部分,提出意見書作為參考指引。EDPS通常會針對雲端業者在從事商業服務時,進行監督審查,當個人資料透過雲端運算服務進行傳輸或處理時,會由EDPS先行確認,以確保該傳輸是否符合歐盟之個人資料保護指令(Directive 95/46/EC)與規則(Regulation (EC) No 45/2001)之規範。 有鑑於跨境合作或使用傳輸服務等需求,歐盟境內將個人資料傳輸至第三國或國際組織之情形日益劇增,此參考指引之主要目的在於詳加解釋歐盟資料保護規則(Regulation (EC) No 45/2001)中關於國際間個人資料傳輸之規定以及應該如何適用。 首先,該指引針對何謂個人資料傳輸以及歐盟資料保護規則第9條之範圍做出說明,後續則分別就適當保護之意涵,以及由歐盟執委會基於規則第9.5條之規定依權限得決定第三國是否已達適當保護標準之國家等部分加以論述。最後,該指引則提供確認表,在資料傳輸前應經過一定的確認流程,包括確認資料接收的國家或組織是否已有適當的保護層級,若無,則是否尚有其他資料可證明。如上述皆無法證明,則應考慮是否有例外情況,例如:取得資料所有人同意得進行傳輸、資料所有人與資料控管者因契約約定同意傳輸、資料控管者與第三人因契約約定,基於資料所有人之利益而傳輸、基於重要公益事由或其他法律上之事項必要傳輸、基於保護資料所有人之重要利益而傳輸、基於資料提供於大眾而傳輸等。倘缺乏以上例外情形,則可考慮資料控管者是否得援引自己已經具備適當的安全機制而可進行資料傳輸。最後,如無任何安全之保護,則資料將無法進行傳輸至第三國。 綜上,歐盟針對資料傳輸予第三國之部分做出更詳細之說明作為參考指引,使資料之傳輸與流通更有明確的規範方向,其後續適用之成效為何應可持續觀察。
網路團結法:歐盟成員國針對加強因應網路安全能力達成共同倡議歐盟成員國就《網路團結法》(Cyber Solidarity Act)草案於2024年3月達成臨時協議,目的是為了加強歐盟的團結以及偵測、準備和因應網路安全威脅事件的能力。 歐盟執委會(European Commission)提案的主要目標如下: (1)提供重大或大規模網路安全威脅事件的偵測和認識。 (2)強化準備、保護重要建設和必要服務。例如醫院和公共設施。 (3)加強歐盟的團結以及成員國之間有一致的危機管理與應變能力。 (4)最後,致力確保公民和企業皆有安全可靠的數位環境。 為了能快速且有效地偵測重大網路威脅,該法規草案建立了「網路安全警報系統」(cyber security alert system),這是一個由歐盟地區的國家和跨國界的網絡樞紐組成的泛歐洲基礎設施,將使用先進的資料分析技術以及時分享資訊,並警告有關跨境網路威脅的相關事件。 該草案亦建立網路緊急機制(cybersecurity emergency mechanism),以增強歐盟對網路安全事件應變的能力,它將包含: (1)準備行動:包含根據常見的危機情境和方法,測試高度關鍵部門(highly critical sectors)(醫療保健、運輸、能源等)的潛在漏洞。 (2)歐盟網路預備隊:係由經過認證且事先簽約的私人供應商所組成,在歐盟成員國及機構的請求下,對於發生大規模的網路安全事件進行干預及回應。 (3)財政互助:一成員國可以向另一個成員國提供援助。 最後,因應委員會及各國家當局的要求,研議中的法規建立了網路安全事件審查機制,事後對已發生的大規模網路安全事件進行審查、評估、汲取經驗,並提出一份建議報告,從而改善歐盟網路的態勢,以加強歐盟對此些事件的應變能力。 歐盟成員國此次的協議將進一步提高歐洲網路韌性,期能強化歐盟及其成員國在面對大規模網路威脅和攻擊時,能以更有效率的方式進行事前準備、預防以及提升事後從中恢復的能力。 網路安全事件是各國都會遇到的課題,《網路團結法》的發展與相關推動措施值得我們持續追蹤,以作為我國資通安全管理及網路資安事件應變機制之參考方向。
美國各州逐步研議透過立法豁免企業資安事件賠償責任美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架,美國已有幾州開始透過立法限縮企業資安事件賠償責任,企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準,則於資安攻擊事件所致損害賠償訴訟中,將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料,企業往往投入大量資源打造資安防護架構,惟在現今網路威脅複雜多變的環境下,仍可能受到惡意資安攻擊,導致資料外洩事件發生,導致企業進一步面臨訴訟求償風險,其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任,以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令,讓已實施適當安全維護措施之企業,豁免資安攻擊所致資料外洩之損害賠償責任,佛羅里達州和西維吉尼亞州近期亦提出相似法案,以下介紹兩州法案之重點: 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 (H.B 473: Cybersecurity Incident Liability)[4],法案納入「安全港條款」(Safe Harbor),當企業遭受資安攻擊致生個資外洩事件,如可證明已遵循產業認可的資安標準或框架,實施適當的資安措施與風險控管機制,則可免於賠償責任,以鼓勵企業採納資安標準或框架。 為適用安全港條款,企業須遵循佛羅里達州資訊保護法(The Florida Information Protection Act),針對資料外洩事件,通知個人、監管機關和消費者,並建立與法案內所列當前產業認可的資安標準、框架,或是特定法令規範之內容具一致性的資安計畫(Cybersecurity Programs): (一)當前產業認可的資安標準、框架 1. 國家標準暨技術研究院(National Institute of Standards and Technology, NIST)改善關鍵基礎設施資安框架(Framework for Improving Critical Infrastructure Cybersecurity)。 2. NIST SP 800-171-保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A- 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫(Federal Risk and Authorization Management Program, FedRAMP)安全評估框架。 5. 資安中心( The Center for Internet Security, CIS)關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟(The Health Information Trust Alliance, HITRUST)通用安全框架(Common Security Framework)[6]。 8. 服務企業控制措施類型二(Service Organization Control Type 2, SOC 2)框架。 9. 安全控制措施框架(Secure Controls Framework)。 10. 其他類似的產業標準或框架。 (二)特定法令規範 企業(entity)如受以下法令規範,亦得適用安全港條款,如法令有修訂,企業應在發布修訂後的一年內更新其資安計畫: 1. 健康保險可攜與責任法(The Health Insurance Portability and Accountability Act, HIPAA)之安全要求。 2. 金融服務現代化法(The Gramm-Leach-Bliley Act)第五章。 3. 2014 年聯邦資訊安全現代化法(The Federal Information Security Modernization Act of 2014)。 4. 健康資訊科技促進經濟和臨床健康法(The Health Information Technology for Economic and Clinical Health Act, HITECH)之安全要求。 5. 刑事司法資訊服務系統 (The Criminal Justice Information Services, CJIS)安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過,但於2024年6月26日遭州長否決[7],其表示法案對於企業的保障範圍過於廣泛,如企業採取基礎的資安措施與風險控管機制,便得主張適用安全港條款,將可能導致消費者於發生個資外洩事件時,無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會(Florida Cybersecurity Advisory Council)合作,探求法案的替代方案,以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8],修訂西維吉尼亞法典(Code of West Virginia),增訂第8H章資安計畫安全港條款(Safe Harbor for Cybersecurity Programs),如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫,包含個人資訊和機敏資料的管理、技術和企業保障措施,將能夠於侵權訴訟中,主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素,包含: 1. 企業的規模和複雜性; 2. 企業的活動性質和範圍; 3. 受保護資訊的敏感性; 4. 使用資安防護工具之成本和可用性; 5. 企業可運用的資源。 (一)當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同,另增加: 1 NIST SP 800-76-2個人身分驗證生物辨識規範(Biometric Specifications for Personal Identity Verification)[9]。 2. 資安成熟度模型認證(The Cybersecurity Maturity Model Certification, CMMC)至少達到第2級,並經外部驗證(external certification)。 (二)特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同,另增加:由聯邦環境保護局(Environmental Protection Agency, EPA)、資安暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)或北美可靠性公司(North American Reliability Corporation)[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11],其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好,但也可能遭濫用而帶來不當影響,例如TikTok等大型國際企業,如在違背公民意願情況下共享個人資料時,將免於訴訟,恐有損其公民權益,未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案,內容亦為相似,西維吉尼亞州之法案目前已遭否決,主要係擔心該豁免條款遭到不當濫用;佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量,而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令,有助企業明確遵循與採納,建立與實施資安計畫,惟如何舉證所建立之資安計畫或實施之資安措施,與法案所列之資安標準、框架,或是特定法令規範,具有實質上的一致性,仍不明確,將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障,仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心( The Center for Internet Security, CIS)為美國非營利組織,負責推動CIS Controls,針對實際發生的資安攻擊行為提供防禦建議,作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源:About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司(North American Electric Reliability Corporation, NERC),為一家非營利機構,致力推動關鍵基礎設施保護相關標準,以強化北美大規模電力系統(亦即電網)的可靠性和安全性,資料來源:https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).