保護、分級與言論（下）

新加坡資料共享法制環境建構簡介 資訊工業策進會科技法律研究所 2019年12月31日 壹、事件摘要 　　如何有效運用資料創造最大效益為數位經濟（Digital Economy）重點，其中資料共享（data sharing）是有效方法之一。新加坡自2018年以來推動「資料共享安排」機制（Data Sharing Arrangements, 下稱DSAs）與「可信任資料共享框架」（Trusted Data Sharing Framework），建構資料共享環境，帶動國內組織[1]資料經濟發展與競爭力。 貳、重點說明 　　自從2014年新加坡政府推行「2025智慧國家（Smart Nation）」以來，即積極鋪設國家數位經濟建設，大數據資料分析等數位科技發展為其重點，預估2022年60%國內生產總值將與數位經濟有關[2] 。其中，希望透過資料共享促進組織、政府、個人三方間資料無障礙流通，降低蒐集、處理與利用成本，創造更多合作機會進行創新應用，因此從法制面、環境面與技術應用層面打造完善的資料共享生態系統（data sharing ecosystem）[3]。 　　然而依據《個人資料保護法》（Personal Data Protection Act 2012，下稱個資法）第14條以下規定，組織蒐集、處理與利用個人資料應取得當事人同意，除非符合第17條研究目的等例外情形。由於資料共享強調可將資料進行多節點快速傳遞近用，使資料利用價值最大化，因此若依據個資法規定每次共享皆須事前獲得當事人同意，將使近用成本增高並間接造成資料流通產生障礙。因此為因應國家政策與產業需求，新加坡個人資料保護委員會（Personal Data Protection Commission, 下稱個資委員會）依據個資法第62條所賦予的豁免權（exemption），個人或組織可在遵循個資委員會訂定的規則下，依照個案給予組織免除個資法部分規範[4] ，而DSAs機制即是一種[5]。 　　DSAs是由個資委員會於2018年設立的沙盒（sandbox）計畫，如組織所進行的共享模式是在特定群體並範圍具體明確，同時不會造成個人有負面影響等情事，可在不須經個人同意下進行資料共享[6]。並且，為進一步提升組織與消費者間信任，2019年6月個資委員會與資訊通信媒體發展局（Info-Communication Media Development Authority of Singapore，下稱資通發展局）共同推出「可信任資料共享框架」指南建議，由政府擔任監管角色，組織只要符合指南建議方向，如遵循法律、達到一定資料技術應用品質與實施資安與個資保護措施下，可以進行個人與商業資料之共享，DSAs機制是共享方法之一。以下簡述新加坡個資法規範、指南建議與DSAs機制運作方式。 圖1：資料共享環境建構 資料來源：新加坡資通發展局 一、新加坡個人資料保護法規範 　　在沒有個資法第17條所列之例外情形下，依據第14條以下規定，組織如近用個人資料應獲得個人同意，同時應符合目的使用及通知義務，尤其應給予個人可隨時撤回同意之權利[7]。 　　同時組織應根據個人要求，提供近用個人資料之方法、範圍與內容，以及更正錯誤資料權利[8]。並且組織必須任命資料保護官（Data Protection Officer, DPO）隨時向大眾提供通暢的個資聯絡管道，來確保個資透明性與完整性[9]。 　　在資料保護措施上應有合理安全的資安防護技術，以保障資料不被未經授權近用的風險。當使用目的不在時，需妥善保留或予以去識別化，同時如須境外轉移資料時，境外之資料保護措施應至少與新加坡個資法規範標準相同[10]。 二、免除同意之DSAs機制 　　DSAs機制是由個資委員會於2018年設立的沙盒（sandbox）計畫，也就是組織可透過申請免除資料共享前必須獲得個人同意之規範。然而如組織擬向個資委員會申請DSAs機制，必須符合三個條件[11]： 共享範圍需在特定群體、期間與組織內：即只限定在具體特定的應用情境內，若超出申請範圍，例如分享至其他非申請範圍的組織，則須再經過個資委員會批准[12]。 近用目的需具體明確：即資料共享必須應用於特定且明確目的，如以「社會研究目的」作為申請則範圍過大不夠明確[13]。 近用資料對於個人不會有不利影響，或公共利益大於個人利益：例如共享目的不是直接用於銷售或存在合法利益，或是共享本身具備公共利益且明顯大於個人可預見的（foreseeable）不利影響，此時個資委員會可考慮同意組織申請免除[14]。 三、建立以信任為基礎之資料共享模式 　　雖然取得DSAs機制免除同意可以使資料近用方式更為簡便，然而在進行資料共享前，仍應有完善的技術品質與資安保護措施，因此在「可信任資料共享框架」指南建議中，組織應透過法律遵循、導入AI或區塊鏈等新興技術，並具備相應資安保護措施來建構可信任的資料共享環境，實際步驟可分為以下四階段[15]： 圖2：可信任資料框架 資料來源：新加坡資通發展局 　　第一階段為「資料共享建構」[16]，由組織自行評估存有的商業或個人資料是否具共享價值與潛在利益，並要如何進行共享，例如資料共享方式屬於雙邊（bilateral）、多邊（multilateral）或是分散式（decentralized，又稱「去中心化」）。以及資料種類有哪些，如主資料（master data）、交易資料、元資料（metadata）、非結構化資料（unstructured data）等。組織可將資料共享方式、種類依據無形資產（intangible asset）評價方式，即市場法（market approach）、成本法（cost approach）與收入法（income approach）三種評價方法進行評價，來衡量共享之價值性。除資料價值判斷外，組織必須自行評估自身組織與將來之合作夥伴是否有足夠能力管控共享之資料，包括是否具備一定技術能力的資安與資料保護措施等。 　　第二階段為「法律規範考量」[17]，即決定哪些資料可以進行共享，從規範面檢視個資法、競爭法與銀行法等是否有例外不得共享規定，例如信用卡號碼或個人生物識別資訊不得共享。若資料共享類型不會對個人造成不利影響或具備公共利益，並有通知（notification）個人給予選擇退出（opt-out）的機會，組織可依個案申請DSAs機制之豁免。同時另外鼓勵組織向IMDA申請資料保護信任標章（Data Protection Trustmark, DPTM）認證，透過認證機制使消費者更能信任組織運用其個人資料[18]。 　　第三階段為「技術組織考量」[19]，包含組織是否有能力建立資安風險管理與個資侵害之因應措施，是否有即時將資料安全備份技術，並針對不同傳輸技術如有線/無線網路、遠端存取（VPN）、應用程式介面（API）、區塊鏈等區分不同資安防護與風險管理能力。 　　最後一階段為「資料共享操作」，當已準備進行資料共享時，需再次檢視是否已符合前三個階段，包含透明性、責任義務、法律遵循、近用資料方式與取得目的外利用同意等[20]。 參、事件評析 　　個人資料視為21世紀驅動創新的重要價值，我國部會亦開始討論「個資資產化」的可能[21]。面對數位經濟時代來臨，有效運用數位科技將潛藏個人資料的大數據進行加值利用，不僅有利組織與創新發展，更可回饋消費者享有更好的產品與服務。 　　新加坡政府以資料共享作為數位經濟發展重點方向之一，在具備一定程度技術能力、資安保護措施與組織控管之條件下，可向主管機關申請免除個人同意之規範。透過一定法規鬆綁讓資料利用最大化以創造產業創新價值，同時依據主管機關要求的保護措施，使消費者信賴個人資料不會遭受不當利用或侵害。DSAs機制與「可信任資料共享框架」指南之建立，適時調適個人資料保護規範與資料應用間的衝突，並提供組織進行資料共享之依循建議，作為推動該國數位經濟發展方針之一。 [1]組織（organisation）依據新加坡個人資料保護法（Personal Data Protection Act 2012）第2條泛指個人、公司、協會、法人或團體。 [2]INFOCOMM MEDIA DEVELOPMENT AUTHORITY 【IMDA】, Trusted data sharing framework (2019), at 7, https://www.imda.gov.sg/-/media/Imda/Files/Programme/AI-Data-Innovation/Trusted-Data-Sharing-Framework.pdf (last visited Sep. 11, 2019). [3]id. [4]Personal Data Protection Act 2012 (No. 26 of 2012) §62, “The Commission may, with the approval of the Minister, by order published in the Gazette, exempt any person or organisation or any class of persons or organisations from all or any of the provisions of this Act, subject to such terms or conditions as may be specified in the order.” [5]Data Sharing Arrangements, PDPC, https://www.pdpc.gov.sg/Overview-of-PDPA/The-Legislation/Exemption-Requests/Data-Sharing-Arrangements (last visited Dec. 1, 2019). [6]id. [7]IMDA, supra note 2, at 31; Personal Data Protection Act 2012 (No. 26 of 2012) §14, 16, 20. [8]id. Personal Data Protection Act 2012 (No. 26 of 2012) §21. [9]IMDA, supra note 2, at 31. [10]id. at 32. Personal Data Protection Act 2012 (No. 26 of 2012) §24-26. [11]id. [12]PERSONAL DATA PROTECTION COMMISSION【PDPC】, Guide to Data Sharing (2018), at 14, https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Other-Guides/Guide-to-Data-Sharing-revised-26-Feb-2018.pdf (last revised Oct. 3, 2019). [13]id. [14]id. [15]PDPC, supra note 4. at 28. [16]id. at 21, 23-25. [17]id. at 35 [18]id. at 30. Data Protection Trustmark Certification, IMDA, https://www.imda.gov.sg/programme-listing/data-protection-trustmark-certification (last visited Sep. 26, 2019). [19]id. at 41-47. [20]id. at 50-51. [21]林于蘅，〈自己的個資自己賣！國發會擬推「個資資產化」〉，聯合新聞網，2019/06/17，https://udn.com/news/story/7238/3877400 （最後瀏覽日：2019/10/1）。

　　繼泰國政府於六個月前針對跨國製藥公司Merck的愛滋藥品efavirenz（品牌名稱為Stocrin）實施強制授權後，巴西政府也在最近跟進，巴西總統Luiz Inácio Lula da Silva於今（2007）年5月4日針對Merck的同一藥品簽發強制授權令。 　　長久以來，巴西政府與Merck即持續針對愛滋藥物efavirenz的售價進行協商，不過雙方一直未有共識：efavirenz是巴西國內最常用來治療愛滋病的藥品，總計約有38％的巴西愛滋病患（巴西國內愛滋病患約20萬人）使用此一藥品。Merck提出的售價是每一錠1.59美元，以巴西國內對該藥物的需求而言，巴西政府於2007年將須為此支付將近4千3百萬美元的藥品採購價額；然而，巴西政府認為愛滋治療藥品牽涉高度的公益性，堅持Merck應該降低售價，4月底，巴西健康部向Merck發出最後通牒，最後巴西政府拒絕Merck重新提出的價格並祭出強制授權。 　　強制授權本即為專利制度的一環，不過必須在嚴格的條件下始得動用。由於藥品牽涉到公眾健康問題，加以製藥產業結構特殊，多數開發中國家並無製藥能力，故2005年底的WTO香港會議就公共健康領域通過了特別決議—「執行2003年8月30日大會決議第十一點之TRIPS修正條文建議～有關落實TRIPS與公共健康杜哈宣言第六點」（Implementation of Paragraph 11 of the General Council Decision of 30 August 2003 on the Implementation of Paragraph 6 of the DOHA Declaration on the TRIPS Agreement and Public Health），修正TRIPS之強制授權規定。 　　5月4日的專利強制授權令乃是巴西政府首次針對藥品專利實施強制授權，巴西政府認為，其強制授權決定符合上述國際條約規定。一般認為，印度學名藥廠Cipla、Ranbaxy、Aurobindo將會是巴西此一強制授權決定之受惠者。

檢視《科學園區設置管理條例》暨相關規範對新創產業之租稅優惠 資訊工業策進會科技法律研究所 蔡立亭 法律研究員 2019年12月23日 　　《科學園區設置管理條例》於1979年訂立，並於2018年5月15日全文修正，同年6月6日公布。規範名稱由原先之《科學「工業」園區設置管理條例》更訂為《科學園區設置管理條例》（以下簡稱本條例），由傳統製造業為主體的思維，轉化為引進多元科學技術。 　　為鼓勵多元科技產業進入園區，本條例設有租稅優惠之規定，若自國外進口機器、設備、材料等，則可免徵進口稅、貨物稅、營業稅；外銷產品或勞務時，不僅營業稅的稅率為零，亦免徵貨物稅。[1]另外，尚有承租土地租金之減免；[2]以及輸出入貨品，若申請簽證、核准，則可免辦輸出入許可證。[3]在子法上，亦有園區進出口貨品保稅之規範。[4]申言之，進入園區的事業，仍須有實體的物件產出，方能適用本條例中的優惠。此仍偏屬於以工業的思維，規範園區內的產業，針對無實體產出的業者，如以大數據分析、服務為導向的新創事業，則不適用目前相關的租稅優惠。 　　在其他規範，[5]亦有輔助產業發展之租稅優惠。立於推動產業創新的基礎，針對遵守環境保護、勞工、食品安全衛生規範的企業；[6]或投資之全新智慧機械係供自行使用；[7]或於其自行研發之智慧財產權取得之收益範圍內讓與、授權，[8]均得抵減課徵所得稅。另，學術或研究機構自行研發，[9]或員工取得獎酬股份的基礎給付，[10]亦均得選擇免課徵所得稅。創業投資事業，[11]亦享有相關之租稅優惠。並尚有為生技新藥產業的升級，而在人才培訓、研究、發展的投資，可抵減營利事業所得稅。[12]針對中小企業對土地之使用、研發實驗、以智慧財產作價的股票、保留盈餘、增僱員工，[13]亦設有租稅優惠。現行的稅務規範，已不再侷限於空間或實體物，而有以鼓勵「研發」為主體。換言之，新創產業研發的各個階段，仍須以各自的技術、資金、人力形成研發成果，若能以政府的資源協助產品開發的過程，應可強化新創產業既有的研發基礎。 　　提供新創產業稅務上的支持，不僅可以直接補助新創業者的方式，亦可藉由鼓勵新創業者接受輔導，加速達成科技發展的目標。此可觀察美國《紐約洲商業孵化器與新創熱點支持法案》，[14]受孵化器輔導的新創公司，在個人所得稅、銷售與使用稅務、公司特許經營權的稅務上，具有利益。另，中國大陸對於重點發展的產業和專案，亦設有減稅、免稅等規定，[15]以提升科技發展。稅務上的優惠，已不再限於研發，而擴大及於「整體研發的過程」。 　　綜上所論，台灣政府為推動新創產業的發展，提供稅務上的優惠，以提升研發成果市場競爭力。若為加速科學研究的效率，或可參考美國、中國大陸以孵化器協助新創公司達成研發目標，制訂稅務優惠規範與接受輔導的要件等。 [1] 本條例第23條。 [2] 本條例第24條。 [3] 本條例第25條。 [4] 科學園區保稅業務管理辦法。 [5] 如中小企業發展條例、產業創新條例、生技新藥產業發展條例。 [6] 產業創新條例第10條。 [7] 產業創新條例第10條之1。 [8] 產業創新條例第12條之1。 [9] 產業創新條例第12條之2。 [10] 產業創新條例第19條之1。 [11] 產業創新條例第23條之1、第23條之2、第23條之3。 [12] 生技新藥產業發展條例第5條、第6條、第7條。 [13] 中小企業發展條例第4章：第33條至第36條之3。 [14] New York State Department of Taxation and Finance Taxpayer Guidance Division, New York State Business Incubator and Innovation Hot Spot Support Act, Technical Memorandum TSB-M-14(1)C, (1)I, (2)S, at 1-6 (March 7, 2014), URL:http://www.wnyincubators.com/content/Innovation%20Hot%20Spot%20Technical%20Memorandum.pdf (last visited：December 18, 2019). [15] 《中華人民共和國企業所得稅法》第4章「稅收優惠」：第25條至第36條(2008年修正)。

　　美國政府為因應數位匯流趨勢，自 2004 年起開始逐漸釋放新的頻率執照，以供網路多媒體服務或新興通訊業者申請。不過因為先前的拍賣方式是採匿名制，並將頻率切割成小頻段拍賣，而導致競標者間共謀串連，造成拍賣價格過低的情形屢見不鮮。另一方面，由於頻率交易制度（ trading ）盛行，使無線網路業者為了湊足足夠頻段，必須花費更多的成本去租用或購買頻段來經營業務。以上二個因素使頻率的拍賣出現缺乏競爭的現象。 　　為使頻率的拍賣能夠達到競標的目的， FCC 決定更弦易轍改變拍賣的方式。 2006 年 4 月 11 日 美國聯邦通訊委員會（ FCC ）投票通過在 6 月 29 日 將舉辦的拍賣，除了取消以往的匿名性競標，將例外以較大的頻段進行公開拍賣，讓更多的有意願經營業務的競標者參加。 　　目前有部分消費者團體贊同這項決定，認為為可以終結盲目拍賣（ blind bidding ）的亂象，以及杜絕大企業壟斷頻段的情形。