Proprius21專案乃是日本東京大學提供企業界可以與該校共同進行研究的一種機制,屬產學合作方式之一。此專案之提出,係該校有鑒於過去產業界與學術界合作進行共同研究的模式,多以特定的企業與特定的研究室間進行一對一的研究為主。然此一共同研究方式雖可讓大學所產出的知識貢獻給社會。但仍嫌規模過小,課題及責任分擔或目標成果不夠明確,所以需要一個可以創造更大規模的創新的機制。基此,東京大學希望透過Proprius21專案創造一個可由該校內部數個單位或研究室,共同參與大型研究主題的專案,以實現從多樣化的觀點來因應數個或一個企業需求之共同研究(多對多或多對一),並結合校內能量完成提案的機制。
東京大學規劃在校內以三階段活動進行Proprius21專案:(1)公開交換意見,即讓「產業界與學術界相遇的場合」的廣場活動。(2)濃縮出最佳的主題,以及尋找最佳成員之個別活動。(3)由成員縝密地製作計畫,由成員以外的人審視計畫內容,打造一個更為優質計劃的篩選活動。
為了推動Proprius21專案,東京大學係由產學合作研究推進部協助日本企業與校內研究人員進行個別的會議及研討會或研習營等活動,同時也針對企業在決定研究主題後,至計畫成案為止間之各階段提供各種支援。此外,該部人員也會接受來自產業界的諮詢,並在製作計畫之際,適當地介紹校內的職員,提供技術建議或審視計畫的內容等各種支援。
本文為「經濟部產業技術司科技專案成果」
日本內閣府網路安全戰略本部(サイバーセキュリティ戦略本部)於2017年7月13日第14次會議中提出對2020年後網路安全相關戰略案之回顧(2020年及びその後を見据えたサイバーセキュリティの在り方(案)-サイバーセキュリティ戦略中間レビュー-),針對網路攻擊嚴重程度,訂立網路安全判斷基準(下稱本基準)草案。對於現代網路攻擊造成之嚴重程度、資訊之重要程度、影響範圍等情狀,為使相關機關可以做出適當之處理,進而可以迅速採取相應之行動,特制訂強化處理網路攻擊判斷基準草案。其後將陸續與相關專家委員討論,將於2017年年底發布相關政策。 本基準設置目的:為了於事故發生時,具有視覺上立即判斷標準,以有助於事故相關主體間溝通與理解,並可以做為政府在面對網路侵害時判斷之基準,成為相關事件資訊共享之體制與方法之基準。 本基準以侵害程度由低至高,分為第0級至第5級。第0級(無)為無侵害,乃對國民生活無影響之可能性;第1級(低)為對國民生活影響之可能性低;第2級(中)為對國民生活有影響之可能性;第3級(高)為明顯的對國民生活影響,並具高可能性;第4級(重大)為顯著的對國民生活影響,並具高可能性;第5級(危機)為對國民生活廣泛顯著的影響,並具有急迫性。除了對國民及社會影響,另外在相關系統(システム)評估上,在緊急狀況時,判斷對重要關鍵基礎設施之安全性、持續性之影響時,基準在第0級至第4級;平常時期,判斷對關鍵基礎設施之影響,只利用第0級至第3級。 本次報告及相關政策將陸續在一年內施行,日本透過內閣府網路安全戰略本部及總務省、經濟產業省與相關機構及單位之共同合作,按照統一之標準採取措施,並依據資訊系統所收集和管理之資料作出適當的監控及觀測,藉由構建之資訊共享系統,可以防止網絡攻擊造成重大的損失,並防止侵害持續蔓延及擴大,同時也將為2020年東京奧運會之資訊安全做準備。我國行政院國家資通安全會報目前公布了「國家資通安全通報應變作業綱要」,而日本以國民生活之影響程度標準列成0至5等級,其區分較為精細,且有區分平時基準及非常時期基準等,日本之相關標準可作為綱要修正時之參考。
淺談個人資料跨境傳輸之管理淺談個人資料跨境傳輸之管理 科技法律研究所 2013年04月03日 由於資訊科技與全球商務型態之快速發展,企業將個人資料為跨境處理或利用的情況已相當的普遍,例如因人員的調動而傳輸個人資料至位於他國境內的關係企業、因作業委外對象位於他國境內而將個人資料傳輸至境外…等。然而,企業將個人資料為跨境處理或利用時,時常因為各地法令之不一,而面臨阻礙,進而影響其商務活動的進行。我國為一海島型國家,長年倚賴國際通商,是以,有關於個人資料跨境傳輸之課題,為有關當局所不能忽視者。本文擬就世界主要國家及機構之個人資料跨境傳輸國際合作機制精要說明,並提出我國公務機關可能採取之作法建議。 壹、事件摘要 對於個人資料跨境傳輸議題的管理,涉及了多個面向的課題,其中包括了對於各國國家主權的尊重、各國個人資料法令的不一致對於商務活動的影響、個人資料保護與國家利益的平衡…等。觀察各國與國際組織之動態,其基於政治以及經濟上利益,皆致力推動與調和國際間個人資料保護原則。 以歐盟為例,因對於人權的尊重與個人隱私的重視,歐盟所建立的跨國個人資料傳輸規範較為嚴格,而此舉對企業為個人資料之跨境處理或利用造成困擾,阻礙個人資料的自由流動。為此,歐盟採納了個人資料跨境傳輸時所需遵守之標準契約條款,以及具有拘束力之合作規則,以克服個人資料難以自由流動之困難。另一方面,觀察APEC之個人資料保護指令的內容,可以發現個人資料保護之課題受到重視係為了促進區域內電子商務活動之發展。 上述之說明更彰顯了國際組織或其他國家對於個人資料國際傳輸之重視不外乎為了經濟利益的追求、商務活動的進行,故其作法或可為重視國際通商的我國所參考。 貳、重點說明 一、歐盟對於個人資料跨境傳輸議題的管理 (一)標準契約範本之提出 歐盟執委會依歐盟個人資料保護指令第26條第4項提出標準契約範本(the Contractual Model and Standard Contractual Clauses),此標準契約範本之起草精神為,會員國簽訂標準契約後,即可不需徵求該國個人資料保護機關之准許,增進個人資料跨國傳輸之效率以及速度。雖然,此標準契約範本仍有發展空間,但國際上已有相當多國家利用該標準契約處理個人資料跨境傳輸。 目前歐盟已發展三套標準契約範本供會員國於跨境傳輸個人資料時參考,分別是2001/497/EC、2004/915/EC及2010/87/EU之標準契約附錄。依標準契約範本之內容,資料傳送者將個人資料傳輸至第三國時,縱使個人資料接收國已經採取合適的個人資料保護措施,個人資料的傳輸國仍必須採取額外的個人資料保護措施。其中,2001/497/EC與2004/915/EC主要針對會員國之資料管理者將個人資料傳輸至非會員國之資料管理者,而2010/87/EU除了針對會員國之資料管理者將個人資料傳輸至設立於非會員國之資料處理者之情形外,亦賦予當事人更廣泛之契約求償權利,亦即個人資料受侵害之當事人可採取法律行動先向個人資料傳送者請求損害賠償,若個人資料傳送者無賠償能力或發生逃避損害賠償責任之情形時,當事人可以向受個人資料進口者委託者(sub-processor)提出請求,要求就其責任範圍負擔損害賠償責任。 標準契約範本的起草與形成其實就是歐盟隱私保護原則的契約化,是以,該契約範本所定之要件過於嚴格又缺乏彈性,同時增加個人資料跨境傳輸之行政費用負擔,故傳輸以及接收個人資料之雙方不願意以標準契約條款作為其約定之內容。對於跨國傳輸個人資料之跨國企業而言,造成標準契約條款缺乏彈性的主要原因為實務上企業跨國傳輸個人資料時,不見得會設立完整傳輸系統,時常運用郵件交換、內部資料庫查詢以及內部網路等工具跨國傳輸個人資料,而標準契約條款並無法完全因應現況,故產生難以適用之情形。 (二)共同約束條款(Binding Corporate Rules)之提出 如前所述,歐盟執委會已體認到模範契約範本適用上之問題。考量到企業營運之利益,歐盟執委會增加了共同約束條款(Binding Corporate Rule, BCR)機制。BCR為歐盟工作小組依循歐盟個人資料保護指令之精神所提出,為跨國企業、團體以及國際組織於跨境傳輸個人資料至其位於其他未設有妥善個人資料保護法制制度之國家的分公司或子機構時,得以遵循之規則。 BCR建立乃是為了減少跨國組織簽署契約條款之行政負擔支出,並可以更有效率地於其集團內跨境傳輸個人資料。但,BCR僅適用在組織內部跨境移轉個人資料之情形,若是不同公司、企業或組織跨國傳輸個人資料情形時,則不適用BCR。 (三)安全港協議之簽署 為了犯罪偵查機關執行公務之目的,政府間時有合作跨傳輸個人資料之需求。以美國與歐盟為例,二者間成立高度密切聯絡小組(the High Level Contact Group)以統合處理歐盟會員國與美國政府機關就協議事項之協調事宜,同時,亦設定個人資料跨境傳輸保護之相關標準,以供歐盟及美國政府遵循之。 對於個人資料的保護,美國採取分散式之法律規範模式,此與歐盟各會員國之作法不同。此外,因為美國並未被歐盟執委會認定為具備充分(adequate)之個人資料保護措施地區,因此於個人資料跨境傳輸時,依歐盟個人資料保護指令,歐盟內之個人資料似不能傳輸至美國,除非符合其他例外情形。對此,為了弭平兩區域間因個資法規範不同所造成個資無法跨國傳輸之情形,美國商務部與歐盟執委會協議採取安全港架構,此安全港架構提供欲跨境傳輸個人資料之組織可自行評估並決定是否加入安全港架構的機制。 二、APEC亞太經濟合作組織對於個人資料跨境傳輸議題的管理 (一)資訊隱私開路者合作計畫之提出 APEC透過亞太經濟合作組織資訊隱私開路者合作計畫(APEC Data Privacy Pathfinder Projects)建立多邊隱私保護認證機制。開路者計劃之內容包含了自我評估、承諾審查、互相承認與接受、爭議解決與執行…等九項子計畫,期能夠在符合APEC隱私保護綱領之原則下,推動APEC跨境隱私保護規則(Cross-Border Privacy Rules, CBPRs)。總結來說,開路者計劃透過設計一連串的制度,提供企業經營者得以建立其內部之跨境資料傳輸規則,並且透過認證機制(Accountability Agents)之建立,使企業得以提供消費者可信之標章。 (二)APEC跨境隱私執行機制之提出 為使會員經濟體間個人資料之跨境傳輸更為流通,並且調合各國因個人資料保護法令要件不同而產生扞格之情形,APEC跨境隱私執行機制(APEC Cross-Border Privacy Enforcement Arrangement, CPEA)因應而生,而目前己加入本機制之會員經濟體,包括澳洲、加拿大、香港、紐西蘭以及美國。 (三)與其他區域之合作與整合 APEC已開始思考除了亞太地區之個人資料跨境機制之加強外,也思考如何與其他區域之跨境隱私機制進行合作或者整合,以歐盟為例,APEC思考如何將CBPRs機制與歐盟之共同約束條款作調和,以促進全球間之個人資料跨境傳輸。 2012年,APEC將依透明化、流通化、以及低成本化之目標建置更為完善之跨境傳輸個人資料制度。除了加強區域內各國對於跨境隱私系統之認識外,也希望區域內之會員經濟體可踴躍參與跨境隱私機制。 三、經濟合作與發展組織對於個人資料跨境傳輸議題的管理 經濟合作與發展組織(Organization for Economic Co-operation and Development, OECD)於1980年公佈「個人資料保護準則以及跨國資訊傳輸準則」(Recommendations of the Council Concerning Guidelines Government the Protection of Privacy and Trans-Border Flows of Personal Data),列出七項原則,包括: (一)通知(Notice):當個資被收集時,應通知當事人。 (二)目的(Purpose):資料僅得以說明之目的為使用,不得作為其他目的之使用。 (三)同意(Consent):未獲得當事人之同意時,不得揭露當事人之資訊。 (四)安全保障(Security):需保障被蒐集之資料被濫用。 (五)揭露(Disclosure):當事人應被告知誰在蒐集他們的資料。 (六)查閱(access):當事人應可查閱其個人資料並且可改正任何不精確之個人資料。 (七)責任原則(Accountability):當事人須被通知須負起個人資料蒐集使用以及管理責任者為何人。 個人資料保護準則以及跨國資訊傳輸準則表達各國整合個人資料保護原則之共識,亦可了解OECD各會員國對於消除各國間對於個人資料保護差異以及建立更有效率之跨國個人資料傳輸制度有一致性的想法。 參、事件評析 我國目前已加入APEC跨境隱私規則機制之實驗小組,希望能透過國際參與之方式,推動個人資料跨境傳輸活動,並符合國際組織之隱私保護要求。由於我國並未被歐盟執委會認定為具有合適個人資料保護措施之地區。因此,我國企業如欲從歐盟會員國之地區接收個人資料時,必須注意援用其他之機制,例如與資料傳輸者簽訂模範契約條款或者是使用共同約束條款。另外,我國可比照美國與歐盟間所建立之安全港模式,與歐盟會員國簽訂安全港協議,以符合歐盟隱私權保護指令之要求。 在國際間,我國政府除了持續參加APEC所建立之跨境傳輸機制外,對於非APEC會員經濟體之地區,建議公務機關可透過雙邊擬定安全港架構或者簽訂合作備忘錄之方式,建立與他國間之個人資料傳輸跨境合作。透過安全港架構以及合作備忘錄之簽訂,可確保雙邊之合作內容、擬定跨境傳輸之必要注意原則、建立聯絡窗口等相關機制之健全,亦可使國內須要進行個人資料跨境傳輸之企業、組織以及個人有明確之法規範可依循。
Syngenta位於巴西Parana的基改研究機構遭到當地政府沒收瑞士跨國種子及作物科技公司Syngenta AG (SYT)正與巴西政府為基改活動展開訴訟。去(2006)年11月9日,Syngenta在巴西境內基改作物研究機構被迫關閉,研究機構所在地的Parana州州政府並以Syngenta違反巴西聯邦環保法規為由,沒收其所有投資的資產。Parana州境內有一座自然保護區-伊瓜蘇國家公園,伊瓜蘇國家公園是舉世著名的伊瓜蘇瀑布(Iguacu Falls)的所在地。根據巴西聯邦環保法規規定,基改作物不得栽種於自然保育區的十公里以內。 Syngenta位於Parana州的基改研究機構佔地達123公頃,然而距離伊瓜蘇國家公園卻僅約有六公里。1986年以來,Syngenta即已擁有該研究區域的產權,目前Syngenta已向巴西聯邦法院提出告訴,主張其得以合法在研究機構所在地進行相關研究。Syngenta抗辯理由主要有二:其一,Syngenta在該地進行基改作物田間試驗的許可,是由巴西聯邦政府的生物安全主管機關CTNBio所核發;其二,2006年初,巴西總統已將前述10公里的栽種間隔距離更改為500公尺。Parana州政府、巴西環境保護局Ibama、主張農業改革的活動份子等則主張,新的500公尺間隔規定不適用於Syngenta,蓋該公司早在巴西總統簽署新規定以前即已展開相關的試驗活動,Parana州環保主管機關早已祭出處罰,但Syngenta迄今未繳納罰鍰。
由歐盟數位單一市場著作權指令觀察國際數位內容智慧財產權保障趨勢由歐盟數位單一市場著作權指令觀察國際數位內容智慧財產權保障趨勢 資策會科技法律研究所 許椀婷 法律研究員 2019年1月17日 壹、背景說明 考量互聯網跨境傳輸,以及各國間著作權制度差異所帶來的影響,歐盟早於2015年即提出立法草案,討論至今預定於今年(2019)1月進行最終表決的「歐盟數位單一市場著作權指令草案(Directive on Copyright in the Digital Single Market, COD)」,其中第13條規定:「線上內容共享服務提供商和權利人應真誠合作,以確保排除未經授權的受保護作品或其他主題服務。」[1],對線上內容共享服務提供商在提供權利人的權利保障上義務進行規範,引發許多有大量轉載用戶的大型數位內容平台(如google)的抗議。 以我國現況而言,著作權法敘明網路服務提供者之民事免責事由,並在第90-4條規範網路服務提供者應以契約、電子傳輸、自動偵測系統等方式,告知使用者其著作權或製版權保護措施,並確實履行該保護措施。並在告知累計三次侵權情事下,終止其提供的全部或部分服務。上述保護措施經主管機關核可,網路服務提供者應配合執行。[2]國家通訊傳播委員會更於2017年提出「數位通訊傳播法草案[3]」,賦予數位通訊平台業者(如:Facebook)概念相同之避風港條款:若平台提供者接獲有人檢舉平台內容侵權,業者將侵權內容下架就能免責,相對歐盟的立法方向,是以提供誘因以協助保障智慧財產權為核心作法。本文將對COD第13條所引發的爭議進行討論,做為我國後續相關修法之借鏡。 貳、侵權行為的刪除 COD第13條爭議之一,為該條款賦予線上內容共享服務提供商應刪除侵權內容之義務,但各界對應如何識別和刪除尚未達成共識。該指令過往版本中的「內容識別技術(content recognition technologies)」,普遍被解讀為要求平台使用自動化過濾器來掃描每一段上傳內容,阻止任何可能侵害著作權的行為。該識別技術讓人聯想到YouTube行之有年的Content ID[4],其對影片和音訊進行侵權比對,標記平台內重複的內容,權利人經系統通知可透過下述方式維護權利,包括封鎖內容或追蹤、獲取觀看者資訊,作為行銷分析之用;或直接於影片中插入廣告增加收入。此外,權利人還能在Content ID無法檢測到重覆內容下進行手動聲明。Content ID在實務運作上飽受抨擊,原因包括配合「數位千禧年著作權法(Digital Millennium Copyright Act, DMCA)」的通知與刪除制度,增加平台業者封鎖或復原影片的負擔;Content ID的比對更有因自動化產生錯誤、資料庫既存錯誤、或惡意舉報等風險。[5]Youtube雖已在技術開發上耗費6,000萬美元[6],且尚需負擔Content ID每日檢查大量數位內容的傳輸成本,結果仍然不是人人滿意,可見為何大眾會對內容識別技術的要求如此擔憂。由Content ID的案例可觀察出,辨識原始內容就遭遇如此多的困難,更不用說要準確辨識現在時下流行的二次創作,如對擷取新聞、電影畫面進行評論,或將圖片進行創意、詼諧嘲諷的改作等影片利用是否合法了。未來COD草案該條款的施行,恐對二次創作的流通產生一定程度的限制。 回顧我國目前著作權、及數位通訊傳播法草案等法規,針對網路服務提供者[7]、數位通訊傳播服務提供者[8]避風港,對業者的歸責較COD相對輕。而在業者需提供的技術上,經濟部智慧局已對著作權法第90條內提及之「通用辨識或保護技術措施」提出解釋,用以辨識(identify)或保護(protect)著作權或製版權之相關措施,如過濾網路侵權資訊、監測網路流量之技術等,均屬之,且強調該條款並非課予網路服務提供者負有發展該等技術措施之義務,智慧局將徵詢網路服務提供者、權利人及相關技術專家意見,並考量負擔成本等因素[9]。 參、結論與建議 在COD的進展上,目前COD的最新修訂草案已移除了內容識別技術的用詞,並補充例外應特別考慮基本權利,以例外和限制確保中小企業的負擔仍然適當,並避免自動封鎖內容[10]。回應大眾對於無法負擔技術成本的抗議,避免一些小規模網站可能無法負擔聘用人員監管成本的問題。此外,歐盟更釋出新聞稿說明指令草案並未具體說明需要以哪些工具來實踐目標,故自動化過濾器僅為一種可能的解決方案之一。[11] COD草案若通過,歐盟各成員國將被要求於2年內修改國內法規,以符合該指令之規定。若屆時該指令所產生的成本負擔,在業者評估下仍過於沉重,許多平台可能選擇避開歐盟市場,造成歐盟成員國民眾可獲取的內容驟減。 在內容創作者越來越重視自身權益的年代,針對數位平台與創作者間的權利與義務不斷被拿出來討論,不管是著作權法或是數位通訊傳播法草案,都有可能被要求配合國際趨勢和科技發展進行調整。未來若考量進一步導入如歐盟COD的審核機制,提供數位內容平台通知下架以外的義務,以促進著作權的合法授權及合理分配,應同理審慎評估我國實際可執行的技術能力範疇為何,估計產業可能需負擔的成本,降低對產業產生的衝擊,並檢視實施此類機制所能帶來的效益程度,作為增添此義務之佐證依據。 [1] European Parliament,Copyright in the Digital Single Market(2018), http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+TA+P8-TA-2018-0337+0+DOC+PDF+V0//EN (last visited Jan. 15, 2019 [2]《著作權法》第90-4條:「符合下列規定之網路服務提供者,適用第九十條之五至第九十條之八之規定:一、以契約、電子傳輸、自動偵測系統或其他方式,告知使用者其著作權或製版權保護措施,並確實履行該保護措施。二、以契約、電子傳輸、自動偵測系統或其他方式,告知使用者若有三次涉有侵權情事,應終止全部或部分服務。三、公告接收通知文件之聯繫窗口資訊。四、執行第三項之通用辨識或保護技術措施。連線服務提供者於接獲著作權人或製版權人就其使用者所為涉有侵權行為之通知後,將該通知以電子郵件轉送該使用者,視為符合前項第一款規定。著作權人或製版權人已提供為保護著作權或製版權之通用辨識或保護技術措施,經主管機關核可者,網路服務提供者應配合執行之。」 [3] 行政院,《數位通訊傳播草案》(2017) [4] Youtube,Content ID 的運作方式(2019),https://support.google.com/youtube/answer/2797370?hl=zh-Hant [5] PlagiarismToday,(2019), YouTube’s Copyright Insanityhttps://www.plagiarismtoday.com/2019/01/10/youtubes-copyright-insanity/ (last visited Jan. 15, 2019) [6] Google,How Google Fights Piracy 2016(2016), https://drive.google.com/file/d/0BwxyRPFduTN2cl91LXJ0YjlYSjA/view (last visited Jan. 15, 2019) [7] 指提供下列服務者:(一)連線服務提供者:透過所控制或營運之系統或網路,以有線或無線方式,提供資訊傳輸、發送、接收,或於前開過程中之中介及短暫儲存之服務者。(二)快速存取服務提供者:應使用者之要求傳輸資訊後,透過所控制或營運之系統或網路,將該資訊為中介及暫時儲存,以供其後要求傳輸該資訊之使用者加速進入該資訊之服務者。(三)資訊儲存服務提供者:透過所控制或營運之系統或網路,應使用者之要求提供資訊儲存之服務者。(四)搜尋服務提供者:提供使用者有關網路資訊之索引、參考或連結之搜尋或連結之服務者。 [8] 指提供使用者數位通訊傳播服務(指提供公眾或他人使用數位通訊傳播-以有線、無線、衛星或其他電子傳輸設施傳送數位格式之聲音、影像、文字、數據或其他訊息之服務)之自然人、商號、法人或團體。 [9] 經濟部智慧財產局,著作權法網路服務提供者ISP民事免責事由Q&A(2013),https://www.tipo.gov.tw/ct.asp?xItem=207034&ctNode=7193&mp=1 [10] Special account shall be taken of fundamental rights, the use of exceptions and limitations as well as ensuring that the burden on SMEs remains appropriate and that automated blocking of content is avoided. [11] European Parliament, Q and A on the draft digital copyright directive(2019), http://www.europarl.europa.eu/news/en/press-room/20190111IPR23225/q-and-a-on-the-draft-digital-copyright-directive (last visited Jan. 15, 2019)