美國聯邦上訴法院認定,美國政府不得強取境外伺服器資料
微軟在美國政府索要用戶郵件的一起官司中獲得勝訴。美國政府第二巡迴上訴法院裁決,如果資料是儲存在美國境外伺服器,則不為美國聯邦政府的令狀效力所及。
這件訴訟案源於2013年的一起涉外毒品案件中,紐約區法院發布了一項搜查令,要求微軟提供公司一名用戶的郵件和相關訊息。然而因為有些資料是存放在微軟公司在愛爾蘭的伺服器,因此微軟爭辯說郵件本身是儲存在愛爾蘭的,因此不應受到美國政府令狀效力所及。2014年聯邦地方法院再次要求微軟提供郵件內容——但微軟上訴到了聯邦第二巡迴法院。
美國聯邦第二巡迴法院在判決中,認定基於《儲存通訊記錄法》(Stored Communications Act:SCA/下稱SCA)規定美國政府得以令狀要求連結網路使用者資料的規定並不適用於境外。法院所持理由為:
1. SCA規定搜索票/扣押票之核發應符合美國聯邦刑事訴訟法之相關規定,而美國聯邦刑事訴訟法第41條即規定搜索票/扣押票應由搜索/扣押標的物所在地之法院核發並交由該地或國內他地執法人員執行。
2. 法院曾於2010年之MORRISON ET AL. v. NATIONAL AUSTRALIA BANK LTD. ET AL.案判決理由中指明,如國會立法時認為某法規可能或必須有域外效力,應以明文定之,而SCA條文中並無任何規定寫明該法可於境外適用之。
3. SCA在第2703條所使用之搜索票/扣押票(warrant)一字,源自美國憲法增修條文第四條,即規定美國政府對其國內人民為搜索扣押時應以搜索票/扣押票(warrant)為之,且SCA更刻意以不同條款及不同強度區分搜索票/扣押票(warrant)與傳票(Subpoena),立法者之用意顯然是希望能以前者提供使用者更高度的隱私保護。 這是美國首例企業對獲取境外資料的政府搜查令提起上訴的案件,審判結果影響著美國法律界對於執法機關是否能就存放在世界上其他國家的美國用戶資料,進行合法調查。
吳柏凭
法律研究員 編譯整理
The New York Times, Nick Wingfield and Cecilia Kang, Microsoft Wins Appeal on Overseas Data Searches(2016年7月14日), http://www.nytimes.com/2016/07/15/technology/microsoft-wins-appeal-on-overseas-data-searches.html?_r=0(最後瀏覽日:2016年10月18日)
The Wall Street Journal, Devlin Barrett and Jay Greene, Microsoft Wins Appeals Ruling on Data Searches(2016年7月14日),http://www.wsj.com/articles/microsoft-wins-appeals-ruling-on-data-searches-1468511551(最後瀏覽日:2016年10月18日)
高科技企業申請促產條例相關租稅減免浮濫,尤其是在可享高額抵減的研發項目上,爭議最多。實務上,人才培育的投資抵減減稅空間較少,頂多幾十萬元或幾百萬元,但研發投資抵減最高可達幾十億元,因此常見的爭議也最多。由於研發費用可提列為費用、又可抵稅,對企業來說效益很高,因此很多公司都先申報為研發費用,等被國稅局查到再說;另將製造、銷售費用列為研發費用的情形不勝枚舉。 依照公司研究與發展及人才培訓支出適用投資抵減辦法審查要點第1點附表,研發支出只有包括全職研發人員薪資等九種支出才能抵減,而且業者須附薪資表及證明文件證明,才能減稅。但因為研發誘因優渥,企業總是先報再說,因此行政法院投資抵減的相關訴訟,十之八九都是國稅局勝訴。根據公司研究與發展及人才培訓支出適用投資抵減辦法第5條規定,公司的研發支出,在同一課稅年度內得按百分之三十抵減當年度應納營所稅額;支出總金額超過前二年度研發經費平均數者,超過部份得按百分之五十抵減當年度應納營所稅,當年度營所稅額不足抵減者,得在以後四年度營所稅額抵減。 國稅局提醒,申請研發減免企業必須提供研究計畫等證明,否則舉證不足反將被國稅局要求補稅,恐衝擊公司當年獲利。一般來說,適用投抵減稅金額愈高的公司,也愈常被選案查核,確保公司沒有僥倖逃稅心理。如果投抵項目涉及大陸地區,像是人才培訓支出,則應依臺灣地區與大陸地區人民關係條例第24、25、25條之1條等法令規定,經主管機關核准,否則也將遭國稅局剔除補稅。
歐盟考慮設立中央網路犯罪防制機構歐盟部長理事會(Council of Ministers)已於今(2010)年4月27日要求執委會檢視其網路犯罪防制目標,並調查是否有需要設立一中央機構,以儘速達成下列幾項目標,包括:提高調查人員、檢察官、法官及法院相關人員的專業標準、鼓勵各國警方資訊分享以及協調歐盟27個會員國間打擊網路犯罪所採取之方式。 部長理事會提議由執委會進行設立專責機構之可行性調查研究,擬由該專責機構負責前述目標之達成,亦須評估並監督預防性與調查性措施之實行。該調查研究中應特別考量欲設立專責機構之目的、範圍及可能的經費來源,另外亦需考慮是否將其設置於位於海牙的歐盟刑警組織(European Police Office, Europol)中。考量網路犯罪跨國界之特性,為使打擊網路犯罪之相關措施更有效,必須有良好的國際合作及司法執行互助配合。部長理事會認為藉由專責機構之設立,不僅能夠協助培訓法官、警方及檢察官,亦能做為聯繫網路使用者、受害者組織及其他私部門的常設機構。 本部長理事會將歐盟現有之網路犯罪防制相關計畫分成短、中、長期計畫,要求執委會定期追蹤各項相關計畫之執行情況,亦將設立網路犯罪防制專責機構列入執委會後續四年所持續執行有關犯罪與安全治理的斯德哥爾摩計畫(Stockholm Programme)中。 此外,部長理事會也呼籲歐盟各國追蹤用於網路犯罪之IP位置及網域名稱,同時要求執委會協助建立共通的廢止機制,以進行網路犯罪防制。 位於希臘的歐盟網路與資訊安全機構(European Network and Information Security Agency, ENISA),是現階段歐盟網路犯罪防治的研究機構,其進行資訊安全威脅行為之調查,並提供相關建議,但僅是資訊服務單位,未實際投入打擊犯罪行動。
歐洲議會針對3D列印技術所涉及的智財權及相關法律責任提出意見「數位轉型監視站(the Digital Transformation Monitor)」為歐盟執委會中小企業執行機構(Executive Agency for Small and Medium-sized Enterprise, EASME)所資助執行的一項計畫,主要是研析數位轉型發展與知識並提供政策提案,3D列印技術為其計畫知識庫鎖定的項目之一。去(2017)年11月23日歐洲議會法律事務委員會(the European Parliament’s Committee on Legal Affairs)公告一份關於3D列印技術之智財權及法律責任之意見書(Working Document on three-dimensional printing, a challenge in the fields of intellectual property rights and civil liability,下簡稱意見書),提出3D列印技術對產業界所帶來的影響,範圍包括:醫療、航太、以及汽車零組件、玩具、電器等產品製造,甚至涉及古文物之修復、考古等。 該意見書點出智財權與法律責任兩個關鍵議題,前者係考量當物品透過數位設計,其後續將可能產生無數次的調修或應用,為了從根本上預防仿製造成侵權,應發展合法之3D列印服務,確保作者得到公平報酬;後者則基於3D列印技術包括數位及實體兩層面,個人可透過線上編修檔案,而開啟了大眾參與創新之生產形式,然而當有人被3D列印產品侵害權益,該由產品製造者、3D列印機生產者、或者是軟體創作者負起責任? 此意見書雖未提出具體解決方式,但試著勾勒出可能的緩解方案,包括:建置全球資料庫以使具著作權保護的3D物品受到重製管制;規範合法之私製3D物品次數以避免違法重製;施行3D列印稅以補償智財所有權人之損失等。儘管3D列印技術未使一般傳統製造業造成巨大影響,但其所衍生的相關問題,未來是否需要專為3D列印技術制定新歐盟法規或者在現行法規之下特例規範,仍值得持續觀察。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」
印度政府公告個人資料保護法草案2018年7月27日印度電子及資訊科技部(Ministry of Electronics and Information Technology, MeitY)公告個人資料保護法草案(Protection of Personal Data Bill),若施行將成為印度首部個人資料保護專法。 其立法背景主要可追溯2017年8月24日印度最高法院之判決,由於印度政府立法規範名為Aadhaar之全國性身分辨識系統,能夠依法強制蒐集國民之指紋及虹膜等生物辨識,國民在進行退稅、社會補助、使用福利措施等行為時都必須提供其個人生物辨識資料,因此遭到人權團體控訴侵害隱私權。最高法院最後以隱私權為印度憲法第21條「個人享有決定生活與自由權利」之保護內涵,進而認為國民有資料自主權,能決定個人資料應如何被蒐集、處理與利用而不被他人任意侵害,因此認定Aadhaar專法與相關法律違憲,政府應有義務提出個人資料專法以保護國民之個人資料。此判決結果迫使印度政府成立由前最高法院BN Srikrishna法官所領導之專家委員會,研擬個人資料保護法草案。 草案全文共112條,分為15章節。主要重點架構說明如下: 設立個資保護專責機構(Data Protection Authority of India, DPAI):規範於草案第49至68條,隸屬於中央政府並由16名委員所組成之委員會性質,具有獨立調查權以及行政檢查權力。 對於敏感個人資料(Sensitive personal data)[1]之特別保護:草案在第4章與第5章兩章節,規範個人與兒童之敏感個人資料保護。其中草案第18條規定蒐集、處理與利用敏感個人資料前,必須獲得資料主體者(Data principal)之明確同意(Explicit consent)。而明確同意是指,取得資料主體者同意前,應具體且明確告知使用其敏感個人資料之目的、範圍、操作與處理方式,以及可能對資料主體者產生之影響。 明確資料主體者之權利:規範於草案第24至28條,原則上資料主體者擁有確認與近用權(Right to confirmation and access)、更正權(Right to correction)、資料可攜權(Right to data portability)及被遺忘權(Right to be forgotten)等權利。 導入隱私保護設計(Privacy by design)概念:規範於草案第29條,資料保有者(Data fiduciary)應採取措施,確保處理個人資料所用之技術符合商業認可或認證標準,從蒐集到刪除資料過程皆應透明並保護隱私,同時所有組織管理、業務執行與設備技術等設計皆是可預測,以避免對資料主體者造成損害等。 指派(Appoint)資料保護專員(Data protection officer):散見於草案第36條等,處理個人資料為主之機構、組織皆須指派資料保護專員,負責進行資料保護影響評估(Data Protection Impact Assessment, DPIA),洩漏通知以及監控資料處理等作業。 資料保存之限制(Data storage limitation):規範於草案第10條與第40條等,資料保有者只能在合理期間內保存個人資料,同時應確保個人資料只能保存於本國內,即資料在地化限制。 違反草案規定處高額罰金與刑罰:規範於草案第69條以下,資料保有者若違反相關規定,依情節會處以5億至15億盧比(INR)或是上一年度全球營業總額2%-4%罰金以及依據相關刑事法處罰。 [1]對於敏感個人資料之定義,草案第3-35條規定,包含財務資料、密碼、身分證號碼、性生活、性取向、生物辨識資料、遺傳資料、跨性別身分(transgender status)、雙性人身分(intersex status)、種族、宗教或政治信仰,以及與資料主體者現在、過去或未來相連結之身體或精神健康狀態的健康資料(health data)。