ECODIR之線上爭端解決機制介紹

　　歐盟執委會於2013年7月24日提出支付服務指令(Payment Service Directive，簡稱PSD，Directive 2007/64/EC)修正案，簡稱PSD2。最新消息指出，PSD2將無法在本屆歐洲議會審議完成，需於五月歐洲議會改選後，在新一屆的議會中再行審議。 　　PSD公布施行於2007年，該法降低支付服務市場新参進者(也就是非銀行業者)進入市場的困難度，活絡支付市場的競爭，提供消費者更多的選擇，並強化消費者保護。PSD讓「支付」在歐盟內更快更方便。 　　本次歐盟提出修正案，其修正目標包含： 一、提高歐盟支付市場的整合以及效率。 二、提升支付服務提供者(包含新参進者)的營運範圍。 三、確保強化消費者保護以及資訊安全。 四、鼓勵支付服務的減價。 五、促進共通技術規範以及互用性(interoperability)的形成。 　　實際做法，PSD2大致有以下修正重點: 一、因應科技發展及時代變遷，擴大適用範圍： (一)提出「第三方支付服務提供人(third party payment provider，簡稱TPP)」之名詞定義，並量身打造規範。原本PSD的附件(Annex)中關於「支付服務」定義，第七款「透過電信、數位或IT設備接收支付服務使用者的指示執行支付交易，而支付的進行也是透過電信或IT系統或網路營運人，而且只是擔任服務使用者與商品或服務提供人的中間媒介。」已可包含目前我國俗稱的第三方支付服務。本次PSD2則在第14條第11項中提出「第三方支付服務提供者」此名詞，對照於附件一(Annex I)第七款中，係指： 基於存取其他支付服務提供人之支付帳戶而提供下述服務- 1.發動支付服務； 2.帳戶資訊服務。」 例如透過TPP與銀行帳戶界接，從銀行帳戶扣款進行支付；或者是與信用卡界接，進行扣款。 依照PSD2，TPP為支付服務提供者(Payment service providers, 簡稱PSPs)，因此也需要取得各國主管機關之許可方能進行營業。 (二)透過手機或者是其它IT裝置進行的行動支付，如果單筆支付金額超過50歐元，或者是月支付金額超過200歐元，也應適用PSD2。 二、強化資安要求： (一)歐盟將另提出「網路及資訊安全指令(Direvctive on Network and Information Security，簡稱NIS Directive)」，PSPs應遵循之。 (二)歐洲銀行管理局(European Banking Authority，簡稱EBA)將與歐洲央行(ECB)密切合作，提出資訊安全指導原則(guidelines)，以輔導PSPs建立並執行、監控資安以確保PSPs符合資安事件處理要求。 三、強化消費者保護： (一)PSD對於支付服務應揭露資訊的規定只適用於支付全部在歐盟境內發生者，PSD2則要求對於涉及第三國以及外幣之交易，只要有任一支付服務提供者是在歐盟境內，都要適用。 (二)只要支付未經授權，應立即退款給付款方。 (三)保障無條件退款權，但是如果商品或服務已經完成消費則不在此限，例如下載的影片已經被觀賞完畢。 (四)無需另外授權的交易(如免輸入帳密之交易)，額度從原本的150歐元下調為50歐元。 對於客訴爭議，PSPs應於15個工作日內以書面回覆。

　　歐盟執委會於2020年11月10日對Amazon發佈反托拉斯調查之初步調查結果，針對其2019年7月之首次調查提出調查意見書（Statement of Objections, SO），認定Amazon使用大量非公開賣家資料，減少自身作為零售商之競爭風險，相關可能違反歐盟運作條約（TFEU）第102條禁止濫用市場主導地位。 　　歐盟於2019年7月17日對Amazon展開首次反托拉斯調查。Amazon作為平台，具有雙重身分，第一個身分是作為零售商，在網站上銷售商品；第二個身分是作為平台商，提供第三方賣家銷售商品的市場。因此歐盟認為Amazon在平台上收集價格或活動統計資料，將調查Amazon和第三方賣家的標準協議中，是否允許Amazon分析賣家的買賣統計資料？以及第三方賣家使用「黃金購物車」（Buy Box）的機制為何？ 　　歐盟執委會調查說明，Amazon作為平台，可以大量使用第三方賣家資料，例如訂購及發貨數量、賣家收入、報價次數、物流資料、賣家表現評價、消費者索賠資訊等。然而相關統計數字及資料進入Amazon業務自動化系統，使Amazon零售業務可以大量使用上述非公開資料，以調整自身產品零售報價和業務決策，降低自身作為零售商的市場競爭風險。 　　此外，歐盟執委會認為，Amazon的「黃金購物車」和「Prime label」機制，使平台上的第三方賣家必須選擇使用Amazon物流、倉儲和售後服務（Fulfillment by Amazon, FBA），才能取得平台的「黃金購物車」和「Prime label」標章，才可能增加產品搜尋曝光度、交易成功率，進而提高銷售量（據統計，Amazon平台超過八成之交易是透過黃金購物車完成）。因此導致消費者大多選擇購買曝光度高、也就是使用Amazon物流的賣家，形成賣家之間的不公平競爭。歐盟執委會後續將啟動第二輪調查，且未言明結束調查時間。

初探物聯網的資通安全與法制政策趨勢 資訊工業策進會科技法律研究所 2021年03月25日 壹、事件摘要 　　在5G網路技術下，物聯網（Internet of Things, IoT）的智慧應用正逐步滲入各場域，如智慧家庭、車聯網、智慧工廠及智慧醫療等。惟傳統的資安防護已不足以因應萬物聯網的技術發展，需要擴大供應鏈安全，以避免成為駭客的突破口[1]。自2019年5月「布拉格提案[2]」（Prague Proposal）提出後，美國、歐盟皆有相關法制政策，試圖建立各類資通訊設備、系統與服務之安全要求，以強化物聯網及相關供應鏈之資安防護。是以，本文觀測近年來美國及歐盟主要的物聯網安全法制政策，以供我國借鏡。 貳、重點說明 一、美國物聯網安全法制政策 （一）核心網路與機敏性設備之高度管制 1.潔淨網路計畫 　　基於資訊安全及民眾隱私之考量，美國政府於2020年4月提出「5G潔淨路徑倡議[3]」（5G Clean Path initiative），並區分成五大構面，包括：潔淨電信（Clean Carrier）、潔淨商店（Clean Store）、潔淨APPs（Clean Apps）、潔淨雲（Clean Cloud）及潔淨電纜（Clean Cable）；上述構面涵蓋之業者只可與受信賴的供應鏈合作，其可信賴的標準包括：設備供應商設籍國的政治與治理、設備供應商之商業行為、（高）風險供應商網路安全風險緩和標準，以及提升供應商信賴度之政府作為[4]。 2.政府部門之物聯網安全 　　美國於2020年12月通過《物聯網網路安全法[5]》（IoT Cybersecurity Improvement Act of 2020），旨在提升聯邦政府購買和使用物聯網設備的安全性要求，進而鼓勵供應商從設計上導入安全防範意識。本法施行後，美國聯邦政府機關僅能採購和使用符合最低安全標準的設備，將間接影響欲承接政府物聯網訂單之民間業者及產業標準[6]。 　　另外，美國國防部亦推行「網路安全成熟度模型認證[7]」（Cybersecurity Maturity Model Certification, CMMC），用以確保國防工程之承包商具備適當的資訊安全水平，確保政府敏感文件（未達機密性標準）受到妥適保護。透過強制性認證，以查核民間承包商是否擁有適當的網路安全控制措施，消除供應鏈中的網路漏洞，保護承包商所持有的敏感資訊。 （二）物聯網安全標準與驗證 　　有鑑於產業界亟需物聯網產品之安全標準供參考，美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）提出「物聯網網路安全計畫」，並提出各項標準指南，如IR 8228：管理物聯網資安及隱私風險、IR 8259（草案）：確保物聯網裝置之核心資安基準等。 　　此外，美國參議院民主黨議員Ed Markey亦曾提出「網路盾」草案[8]（Cyber Shield Act of 2019），欲建立美國物聯網設備驗證標章（又稱網路盾標章），作為物聯網產品之自願性驗證標章，表彰該產品符合特定產業之資訊安全與資料保護標準。 二、歐盟物聯網安全法制政策 （一）核心網路安全建議與風險評估 　　歐盟執委會於2019年3月26日提出「5G網路資通安全建議[9] 」，認為各會員國應評鑑5G網路資通安全之潛在風險，並採取必要安全措施。又在嗣後提出之「5G網路安全整合風險評估報告[10]」中提及，5G網路的技術漏洞可能來自軟體、硬體或安全流程中的潛在缺陷所導致。雖然現行3G、4G的基礎架構仍有許多漏洞，並非5G網路所特有，但隨著技術的複雜性提升、以及經濟及社會對於網路之依賴日益加深，必須特別關注。同時，對供應商的依賴，可能會擴大攻擊表面，也讓個別供應商風險評估變得特別重要，包含供應商與第三國政府關係密切、供應商之產品製造可能會受到第三國政府施壓。 　　是故，各會員國應加強對電信營運商及其供應鏈的安全要求，包括評估供應商的背景、管控高風險供應商的裝置、減少對單一供應商之依賴性（多元化分散風險）等。其次，機敏性基礎設施禁止高風險供應商的參與。 （二）資通安全驗證制度 　　歐盟2019年6月27日生效之《網路安全法[11]》（Cybersecurity Act），責成歐盟網路與資訊安全局（European Union Agency for Cybersecurity, ENISA）協助建立資通訊產品、服務或流程之資通安全驗證制度，確保資通訊產品、服務或流程，符合對應的安全要求事項，包含：具備一定的安全功能，且經評估能減少資通安全事件及網路攻擊風險。原則上，取得資安驗證之產品、服務及流程可通用於歐盟各會員國，將有助於供應商跨境營運，同時能協助消費者識別產品或服務的安全性。目前此驗證制度為自願性，即供應商可以自行決定是否對將其產品送交驗證。 參、事件評析 　　我國在「資安即國安」之大架構下，行政院資通安全處於2020年底提出之國家資通安全發展方案（110年至113年）草案[12]，除了持續強化國家資安防禦外，對於物聯網應用安全亦多有關注，其間，策略四針對物聯網應用之安全，將輔導企業強化數位轉型之資安防護能量，並強化供應鏈安全管理，包括委外供應鏈風險管理及資通訊晶片產品安全性。 　　若進一步參考美國與歐盟的作法，我國後續法制政策，或可區分兩大性質主體，採取不同管制密度，一主體為受資安法規管等高度資安需求對象，包括公務機關及八大領域關鍵基礎設施之業者與其供應鏈，其必須遵守既有資安法課予之高規格的安全標準，未來宜完善資通設備使用規範，包括：明確設備禁用之法規（黑名單）、高風險設備緩解與准用機制（白名單）。 　　另一主體則為非資安法管制對象，亦即一般性產品及服務，目前可採軟性方式督促業者及消費者對於資通設備安全的重視，是以法制政策推行重點包括：發展一般性產品及服務的自我驗證、推動建構跨業安全標準與稽核制度，以及鼓勵聯網設備進行資安驗證與宣告。 [1]經濟部工業局，〈物聯網資安三部曲：資安團隊+設備安全+供應鏈安全〉，2020/08/31，https://www.acw.org.tw/News/Detail.aspx?id=1149 （最後瀏覽日：2020/12/06）。 [2]2019年5月3日全球32個國家的政府官員包括歐盟、北大西洋公約組織 （North Atlantic Treaty Organization, NATO）的代表，出席由捷克主辦的布拉格5G 安全會議 （Prague 5G Security Conference），商討對5G通訊供應安全問題。本會議結論，即「布拉格提案」，建構出網路安全框架，強調5G資安並非僅是技術議題，而包含技術性與非技術性之風險，國家應確保整體性資安並落實資安風險評估等，而其中最關鍵者，為確保5G基礎建設的供應鏈安全。是以，具體施行應從政策、技術、經濟、安全性、隱私及韌性（Security, Privacy, and Resilience）之四大構面著手。Available at GOVERNMENT OF THE CZECH REPUBLIC, The Prague Proposals, https://www.vlada.cz/en/media-centrum/aktualne/prague-5g-security-conference-announced-series-of-recommendations-the-prague-proposals-173422/ (last visited Jan. 22, 2021). [3]The Clean Network, U.S Department of State, https://2017-2021.state.gov/the-clean-network/index.html (last visited on Apr. 09, 2021)；The Tide Is Turning Toward Trusted 5G Vendors, U.S Department of State, Jun. 24, 2020, https://2017-2021.state.gov/the-tide-is-turning-toward-trusted-5g-vendors/index.html (last visited Apr. 09, 2021). [4]CSIS Working Group on Trust and Security in 5G Networks, Criteria for Security and Trust in Telecommunications Networks and Services (2020), https://csis-website-prod.s3.amazonaws.com/s3fs-public/publication/200511_Lewis_5G_v3.pdf (last visited Nov. 09, 2020). [5]H.R. 1668: IoT Cybersecurity Improvement Act of 2020, https://www.govtrack.us/congress/bills/116/hr1668 (last visited Mar. 14, 2021). [6]孫敏超，〈美國於2020年12月4日正式施行聯邦《物聯網網路安全法》〉，2020/12，https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8583 （最後瀏覽日：2021/02/19）。 [7]U.S. DEPARTMENT OF DEFENSE, Cybersecurity Maturity Model Certification, https://www.acq.osd.mil/cmmc/draft.html (last visited Nov. 09, 2020). [8]H.R.4792 - Cyber Shield Act of 2019, CONGRESS.GOV, https://www.congress.gov/bill/116th-congress/house-bill/4792/text (last visited Feb. 19, 2021). [9]COMMISSION RECOMMENDATION Cybersecurity of 5G networks, Mar. 26, 2019, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019H0534&from=GA (last visited Feb. 18, 2021). [10]European Commission, Member States publish a report on EU coordinated risk assessment of 5G networks security, Oct. 09, 2019, https://ec.europa.eu/commission/presscorner/detail/en/IP_19_6049 (last visited Feb. 18, 2021). [11]Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA and on Information and Communications Technology Cybersecurity Certification and Repealing Regulation (EU) No 526/2013 (Cybersecurity Act), Council Regulation 2019/881, 2019 O.J. (L151) 15. [12]行政院資通安全處，〈國家資通安全發展方案（110年至113年）草案〉，2020/12，https://download.nccst.nat.gov.tw/attachfilehandout/%E8%AD%B0%E9%A1%8C%E4%BA%8C%EF%BC%9A%E7%AC%AC%E5%85%AD%E6%9C%9F%E5%9C%8B%E5%AE%B6%E8%B3%87%E9%80%9A%E5%AE%89%E5%85%A8%E7%99%BC%E5%B1%95%E6%96%B9%E6%A1%88(%E8%8D%89%E6%A1%88)V3.0_1091128.pdf （最後瀏覽日：2021/04/09）。

文創法第26條第項第4款適用疑義─ 以營利事業對國家電影中心之捐贈列支為例 科技法律研究所 法律研究員　尤騰毅 2015年02月10日 壹、事實說明 　　日前根據報載「…金馬影后、也是湯臣影業負責人徐楓，響應搶救老電影計畫，一舉捐出510萬元修復胡金銓導演、也是她自己的代表作《俠女》，作為國家電影中心的開門之喜。…」（「國家電影中心」成立 徐楓捐款510萬，經濟日報，2014.07.28）。營利事業對於財團法人國家電影中心之捐贈列支，係依所得稅法第36條，或文創法第26條第1項第4款申請？ 貳、法律評析 一、依所得稅法第36條第1款以專案核准方式辦理，得不受列支金額限制 　　營利事業針對政府捐助成立之特定財團法人，目前財政部依所得稅法第36條第1項規定，以專案核准方式作成多號函釋，其捐贈列支，不受金額限制，包括財團法人法律扶助基金會、財團法人中央廣播電台等，參附錄一。以本案例而言，若能依所得稅法第36條第1款向財政部申請以專案核准方式辦理，可享有無認列金額上限之待遇，係優於文創法的處理方式；惟本案捐贈款項有指定用途，捐贈人宜以捐贈契約明文，以確保捐贈目的的達成。 二、本案例事實亦可適用文創法第26條 　　(一)受贈對象 　　文創法第26條之立法意旨在於鼓勵民間企業參與，帶動文創產業發展，達到以短期租稅減收換取未來長期經濟發展之目的。希望將企業資金導入民間之文創產業，其受捐贈目的與所得稅法第36條第2款所稱之教育、文化、公益、慈善機關或團體有別。惟其受贈對象未限於營利之民間企業，亦包括從事文創事業之非營利法人，故本案捐助對象雖為財團法人國家電影中心，因其亦為從事文創產業活動之事業，仍屬文創法第26條之適用對象。 　　(二)捐贈事由 　　文創法第26條第1項所列3款法定事由，同項第4款並授權中央主管機關可認定得列為當年度費用或損失之事項（屬概括規定）[1]。關於文創法第26條所列3款法定事由，茲先說明如下： （一）購買由國內文化創意事業原創之產品或服務，並經由學校、機關、團體捐贈學生或弱勢團體。（文創法第26條第1項第1款） 　　所稱國內文化創意事業，係指「在我國依法設立之法人、合夥或獨資事業，或具有中華民國國籍之國民，從事文化創意產業者」（營利事業捐贈文化創意相關支出認列費用或損失實施辦法第2條，下稱認列辦法）。只要是國內文化創意事業所研發創作，提供消費者消費之產品或服務，均適用捐贈認列抵稅。 　　營利事業所捐贈之原創產品或服務，須經由學校、機關或團體，核轉給適格的捐贈對象。所稱「學校」，包括所有各級依法設立、實施正規教育的公、私立學校，故不包含補習學校與社區大學（認列辦法第2條）。另為確保捐贈為弱勢團體所用，針對受贈團體之認定標準，限於依法設立或登記之非營利組織。透過符合上述資格之學校、機關或團體，將購買之原創產品或服務核轉給各級公私立學校之在學學生，以及依法設立或登記專門協助身心障礙者、原住民及其他弱勢族群之團體。 （二）偏遠地區舉辦之文化創意活動。（文創法第26條第1項第2款） 　　所稱偏遠地區係指人口密度較低、或交通較為不便、地理位置偏遠之地區，如離島（認列辦法第2條）。考量我國文化活動在城鄉的相較之下，仍多集中於城市，為兼顧文化創意產業之均衡發展，縮短城鄉差異，故以本款規定鼓勵營利事業捐贈國內文化創意事業於偏遠地區舉辦文化創意活動，以提高民眾參與文化創意活動意願及文化素養，同時達到發展國內文化創意事業之立法目標。凡屬於對公眾舉辦之展覽、表演、映演、拍賣或其他經各中央目的事業主管機關認定之活動，並應以公開且無償之方式服務偏遠地區之民眾者為限。 （三）捐贈文化創意事業成立育成中心。（文創法第26條第1項第3款） 　　雖然文創法第26條第1項第3款規定捐贈於「成立」的費用或損失才可認列，但避免育成中心設置過於浮濫，「營利事業捐贈文化創意相關支出認列費用或損失實施辦法」第5條規定設計育成中心應以設立後已有營運經營活動為限，且針對經營團隊管理階層人員之專業及其相關工作年資、育成空間之坪數空間，均有所規範，俾利徵納雙方遵循，以免流弊。 　　由於本案捐贈目的在於搶救老電影的修復費用，並不符合上述明列的事由，須由中央主管機關認定系爭事實是否得適用前述第4款規定。本文認為例舉之三款法定認列事由可歸納出以下三個構成要件，本件案例事實是否得適用文創法第26條第1項第4款之規定，中央主管機關得以下述要件檢視之： 　　1.應符合鼓勵民間企業參與文創事業活動，帶動產業發展之立法意旨 　　文創法第26條之立法意旨在於鼓勵民間企業參與，帶動文創產業發展，達到以短期租稅減收換取未來長期經濟發展之目的。因此，營利事業之捐贈、購買行為，應透過參與文創事業活動，而達到帶動文創產業發展之效。 　　2.為捐贈、購買或其他可促進文創產品創作、或舉辦文創活動所支出之費用 　　營利事業之捐贈、購買標的，包括文創產品或服務，以及可促進文創產品創作之行為（例如成立育成中心），以及舉辦文創活動（如對公眾公眾舉辦之展覽、表演、映演）等。 　　3.捐贈或購買對象應為文化創意事業 　　營利事業所捐贈或購買的對象應限定為文化創意事業，其範圍依照文化創意產業發展法第4條規定，係指從事文化創意產業之法人、合夥、獨資或個人。 　　因此，本案捐助對象為財團法人國家電影中心，亦為從事文創產業活動之事業，其費用雖非為購買特定產品、服務或捐贈特定活動，惟具備促進文創產品創作之效用，與文創法第26條鼓勵企業資源挹注文創產業之立法意旨相符，應有同條第1項第4款之適用。 參、結語 　　為善用民間企業挹注文化創意產業發展，文化創意產業發展法26條以認列損失或費用之方式，鼓勵民間營利事業購買文化創意事業之原創產品與服務，或贊助偏遠地區舉辦之文化創意活動，以及捐贈文化創意事業成立育成中心。其捐贈總額在新台幣1千萬元或所得額10%之額度內，以額度較高者為準，得列為當年度費用或損失，以租稅優惠作為營利企業團體支持文化創意產業之誘因。本案的捐贈金額並未超出文創法第26條的限額，若經主管機關認定為可認列之費用，其稅賦優惠其實與適用所得稅法第36條第1款以專案核准方式辦理相同，惟捐贈人所需考量者，在於上述二個租稅優惠途徑的申請程序繁簡與獲准機會。 　　台灣正面臨產業轉型階段，文化創意產業若干的活動（如設計、廣告、出版、文化等），可以提供製造業周邊服務並提高其附加價值，將是台灣未來升級轉型的希望所冀。從我國科技產業發展歷程觀之，運用租稅獎勵政策工具以發展特定產業，其成效卓著已獲得印證。為動文創產業發展，文創主管機關勢必會妥善利用租稅獎勵政策工具，因此以簡便且較容易獲租稅優惠角度來看，只要金額未超過限制，對於財團法人的文創活動捐贈，建議優先嘗試適用文創法第26條規定。 附錄一：財政部依所得稅法第36條第1款專案核准之函釋 【財政部 103.2.06. 臺財稅字第10304516880號函】 營利事業對財團法人法律扶助基金會之捐贈，可依所得稅法第36條第1款規定，列為當年度費用或損失，不受金額之限制。 【財政部 92.06.16. 台財稅字第 0920454411 號函】 營利事業對財團法人中央廣播電台之捐贈，准依所得稅法第三十六條第一款規定列為當年度費用或損失，不受金額之限制。 【財政部 92.04.09. 台財稅字第 0920452425 號】 設立財團法人證券人及期貨交易人保護中心之捐助款，准列為當年費用或損失，不受金額限制。 【財政部 90.11.09. 台財稅字第 0900457122 號】 金融機構對財團法人中小企業信用保證基金之捐助准列為當年度費用或損失，不受金額限制。 【財政部 85.12.19. 台財稅字第 851172920 號】 營利事業或個人對財團法人中央通訊社之捐贈，可依所得稅法規定認列費用或列報扣除額。 【財政部 80.10.21. 台稅一發字第 800739322 號】 對海華文教基金會之捐款得限額列為費用。 [1]大法官釋字第508號解釋理由書（節錄）：「…從立法技術而言，立法常有例示規定與概括規定並存，乃因一規範概念所得涵攝之事物類型不夠明確或範圍廣泛，立法者以例示規定表現此類型之典型社會事實，並輔以概括性規定以免繁複或掛一漏萬。對概括性規定之解釋適用，即必須從相關例示規定中探尋事物之共同特徵，以確認所欲規範的事物類型究竟為何？然後，再行判斷系爭事實是否具備這些共同特徵而為所欲規範之事物類型所涵蓋，如此方有引用概括規定之餘地。」