新加坡國家研究基金會推出AI.SG計畫，促進人工智慧技術發展

歐盟、中國第三方支付立法簡介 科技法律研究所 2013年4月1日 壹、事件摘要 　　自2010年起，國內便不斷湧現訂立第三方支付專法的呼聲，希望主管機關開放第三方支付相關業務，並立法給予第三方支付明確的法律地位，以提升產業發展環境，滿足產業發展需求。事實上，第三方支付服務在國外已有多國立法規範，如中國、歐盟、日本、美國、新加坡、香港、泰國、馬來西亞等等。有將第三方支付定位為資金傳輸業者，或強調是「非銀行」的金融服務業者，著重於第三方支付服務的支付清算功能。多數國家的第三方支付主管機關為金融監理單位或者是中央銀行，如日本金融廳，英國金融服務局(Financial Service Authority，FSA)，新加坡金融管理局(Monetary Authority of Singapore，MAS)，中國、馬來西亞、泰國央行。礙於篇幅，本文以下僅就歐洲以及中國規範做介紹。 貳、重點說明 一、歐盟 　　第三方支付服務為歐盟2007年「支付服務指令(Payment Service Directive，簡稱PSD) 」所規範的「支付服務(payment service)」，第三方支付服務業者為指令所稱之「支付機構(payment institution)」。依照PSD第5條規定，支付機構欲進行營業必須要依照會員國國內法向會員國相關主管機關提出核准申請。以英國而言，英國的主管機關是「金融服務局(Financial Service Authority)」。 以下說明重要規範。 (一)創辦資本(initial capital)最低金額： 　　依照第6條，支付機構具有最低創辦資本額限制，網路支付機構的最低資本額限制為五萬歐元。 (二)資本維持義務(Own funds)： 　　依照第8條規定，支付機構必須要繼續持有一定數額的資金，至於應持有的金額，以下述三標準判定，如果下述三標準判定出的金額低於前述創辦資本的金額，則以創辦資本的金額為應持有資金的數目： 1.前一年度固定經常費用(overhead)的10%。 2.依照前年月平均處理金額的一定比率決定。 3.依照前一會計年度利息收入、利息支出、所收取的費用以及其他營運收入的總和，按比例提存之。如果實際無前一會計年度資料，可採取預估值。 (三)資金防護義務(safeguarding requirements)： 　　依照第9條規定，支付機構對於自消費者所收取的代收轉付資金，必須要提供下述防護措施，原則上只要滿足其一即可。對於個別支付金額超過600歐元的消費者，指令認為會員國的主管機關可以要求對於這類大額消費者單獨提供防護措施。 1.專用存款帳戶： 　　消費者的資金不得與其他資金混同，支付機構一旦收取代收轉付資金即須將之存入獨立的帳戶，或者是投資於由會員國指定的低風險、流動性佳的資產。 2.破產隔離： 　　應依照會員國的國內法，基於消費者的利益做好破產隔離工作，排除支付機構的其他債權人對代收轉付資金主張權利。 3.保險： 　　為消費者的代收轉付資金投保，或者是提供其他來自保險公司或者是信用機構同等效力的擔保，在支付機構無法履行其財務責任時進行理賠。 (四)資料保存義務(Record-keeping)： 　　依照第19條規定，會員國應要求支付機構妥善保存交易資料，保存義務期限至少五年。 (五)洗錢防制義務： 　　依照第5條規定，支付機構在申請核准時，需要提供公司治理以及內部控制規劃架構，其中第f款指出，支付機構須提出符合Directive 2005/60/EC以及Regulation (EC) No 1781/2006關於防制洗錢以及恐怖組織金融活動(terrorist financing)的內部控制機制。 (六)書面締約義務： 　　依照第41條規定，支付服務提供者必須要與支付服務使用者就第42條所規定的事項以紙本或者是其它可永久保存的媒體(durable medium)進行締約。第41條並要求支付服務提供者應在契約中使用淺顯易懂的文字，並以支付服務提供者所在國的官方語言或者是雙方同意使用的語言進行。第42條所規定的契約要項除了雙方的姓名之外，必要規定事項包含費用說明、支付服務使用所需的系統說明等等，除了必要規定事項，雙方也可以約定支付服務的支付金額限制，或者是依照第55條約定服務提供者得基於支付工具安全的理由限制支付工具的使用，例如發生可疑交易或詐欺事件而封鎖使用者，暫停其使用權限。 二、中國 　　中國人民銀行在2010年發布了「非金融機構支付服務管理辦法」，依照該法第2條規定，網路支付為該法所稱之非金融機構支付服務。非金融機構提供支付服務，應當向中國人民銀行申請取得「支付業務許可證」成為支付機構，未按規定申請者將被處以行政罰，嚴重者會被處以刑罰。支付業務許可證的有效期限五年，達五年期限者得於期滿前半年申請續展。 (一)最低資本額要求： 　　依照第9條規定，想要在中國全國境內提供支付服務者，最低註冊資本額為1億元人民幣；想要在中國單一省，或自治區、直轄市範圍內提供不跨境的支付服務者，最低註冊資本額應達3000萬元人民幣。最低註冊資本額為實繳貨幣資本，應於申請支付業務許可證時全數繳足。 (二)洗錢防制義務： 　　依照第8條規定，許可證申請人在申請時必須要提出符合相關法令要求的反洗錢措施。依照「非金融機構支付服務管理辦法實施細則」第4條規定，所謂的「反洗錢措施」，包括反洗錢內部控制、客戶身份識別、可疑交易報告、客戶身份資料和交易記錄保存等預防洗錢、恐怖融資等金融犯罪活動的措施。依照第44條規定，支付機構如果沒有履行反洗錢義務，中國人民銀行將可依據相關的反洗錢法規進行處罰，嚴重者得撤銷其支付業務許可證。 (三)服務使用者真實身分查核義務： 　　支付服務的使用者在註冊時必須要提供真實的身分資料。依照第31條規定，支付機構應該要對於客戶所提出的資料比對其有效的身分證件或者是其它的身分證明文件，並且進行登記。 (四)支付服務協議書面簽約義務： 　　支付機構應該與客戶就雙方之間的權利義務、糾紛處理原則以及違約責任等等事項簽訂協議。支付協議可以紙本也可以電子方式呈現，依照「非金融機構支付服務管理辦法實施細則」第32條規定，支付服務協議「包括符合法律法規要求、可供調取查用的紙質形式或數據電文形式的合同。」，與我國電子簽章法第四條關於以電子文件作為法律「書面」要件的規定相似。 (五)專用存款帳戶開立義務： 　　依照第26條規定，支付機構收受服務使用者的資金後，必須要將資金存入在商業銀行所開立的「備付金專用存款帳戶」。一個支付機構只能在一家商業銀行開立一個備付金專用存款帳戶。另外特別指出，依照第24條規定，客戶備付金非支付機構之自有財產，支付機構只能根據客戶的指示轉移備付金，不得自行挪作他用。 (六)資本維持義務： 　　依照第30條規定，支付機構的實際持有資本不能低於日處理金額的10%，日處理金額以90天內每日日中的平均餘額計之。 (七)資料保存義務： 　　依照第34條規定，支付機構應該要妥善保管客戶身分資料、支付業務資料以及會計檔案等資料。依照實施細則第39條，資料保存義務至少為五年。 (八)報表提交義務以及受查義務： 　　依照第20條，支付機構有義務向中國人民銀行提交支付業務統計報表以及財務會計報表。另外依照第35條，支付機構有義務配合中國人民銀行定期和不定期的現場檢查以及非現場檢查。 參、事件評析 　　綜整歐盟以及中國立法例，管制重點為確保業者具有償債能力和營運能力以及洗錢犯罪防制，要求經營需事先申請許可並另外輔以查核等機制。共通管制規範如下： (一)洗錢防制要求： 　　皆要求業者必須要具備內部洗錢防制措施，對外則需要與主管機關密切配合。 (二)償債能力備置要求： 　　要求服務提供者維持一定的資金水位，以避免服務提供者發生賠償責任時無償債能力。歐洲另輔以金融保證或保險，或是以其它方式進行風險隔離。 (三)專用存款帳戶： 　　歐盟與中國皆要求開立專用存款帳戶，避免與服務提供者的資金混同，明確帳務。 (四)代收資金運用限制： 　　業者收取之待轉資金限用於服務使用者指示之移轉，如准予用作投資，也僅限投資於低風險產品，且投資總額必須要依一般會計準則將資金水位維持在代收轉付資金的帳面價值之上。 (五)資料保存義務： 　　為了滿足洗錢防制追查的需求，要求業者對於交易資料進行保存的工作。無獨有偶，歐盟以及中國的保存義務年限都是至少五年。 (六)書面簽約義務： 　　為了保障消費者，要求業者以契約明確列出服務提供的要項以及雙方的權利義務關係。契約需為書面，以電子方式為之應符合各國以電子為書面的法律要件。

電子文書存證制度－淺談日本電子時戳及時戳保存制度 資策會科技法律研究所 法律研究員　陳昱宏 106年11月13日 一、前言 　　電子文書具有「節省保管、檢索、運送及銷毀費用」、「活用資訊系統提升業務效率」、「具有復原可能性，避免資料滅失之風險」[1]等優點，文書電子化已為不可逆之趨勢。但電子文書除前述優點外，亦有易於變更竄改，無法檢知真實製作日期之缺點，若記錄於電子文書之智慧財產權遭他人侵害，如何證明所提出之電子文書確係早於他人侵害之時點即屬重要，本文擬就日本以電子時戳制度做為證明電子文書做成時間點之發展現況，以及獨立行政法人工業所有權情報．研修館所提供之電子時戳保管服務作介紹，說明日本如何利用電子時戳來維護相關智慧財產權利。 二、日本電子時戳制度及相關規定： 　　日本政府有鑑於電子文書已逐漸取代紙本文書，但電子文書仍存有易於複製及製作時間不易證明等種種缺點，進而構思建立一套能在電子文書或資料上附加時間資訊，以向第三人證明之制度。總務省於2004年發佈時間商務相關指針[2]，供相關制度使用者做參考，並為時間商務業者遵守之依據。而一般財團法人日本Data通信協會於2005年成立時間商務認定中心（タイムビジネス認定センター，下稱時間商務認定中心），若欲從事時間認證或發送等相關服務，須符合該中心就技術、系統及運用制度所制定之基準，符合基準之業者，即給予認定標章，此即「時刻認證業務認定事業者」(Time Stamp Authority簡稱TSA)。 三、電子時戳之功能： 　　電子時戳係一種證明電子資料在某一時間點之前確實存在且未經竄改之技術，透過比對電子時戳中所記載之資訊與原始電子資料所記載之資訊，可以輕易得知電子資料中之時間訊息是否有經過竄改。其可運用在各種需要時間證明之電子資料中，日本總務省在官方網站中之電子時戳技術相關檔案[3]，即有說明電子時戳可賦予各領域之電子資料極高之信賴度。在智慧財產之保護上，可以證明內容做成之日期，以保護創作人之權利；在電子商務上，可用於證明交易如下單之時間點等；在電子申請上，可證明所發送資料之做成時間；而在醫療上，可運用於電子病歷上，以證明未經竄改等。另於日本工業所有權情報‧研修館（下稱INPIT）官方網站，就電子時戳保管服務之相關說明中，亦有提及可活用之情形[4]，分述如下: 在專利、商標等侵權訴訟，當被指控侵權人主張其有先使用權時，可以做為其在業務或業務準備行為有實施專利，或有就商標為使用之證據。 在訴訟中，就對造所擁有之專利權提出無效抗辯時，可用以證明專利不具備可專利性之技術資訊已於申請獲准前有為公知之事實。 在商標廢止訴訟，可證明商標權人就系爭商標有使用之事實。 在營業秘密洩漏訴訟，營業秘密所有權人可證明被洩漏技術在某時點之前即為其所保有之事實。 四、INPIT就電子時戳所提供之保存服務: 　　參照INPIT官網之說明可知，所謂之電子時戳保管制度係INPIT對於TSA業者所發行之電子時戳憑證提供之保管服務，以利使用者於日後有備份電子時戳憑證需求時，能順利提取。此係因電子時戳憑證在一般情形下有滅失毀損之風險。一旦毀損滅失，在營業秘密之相關訴訟事件有證明先使用事實之必要時，將造成無法舉證之不利益情形。INPIT提供此項保管服務後，能確實降低電子時戳憑證滅失或毀損之風險，憑證使用者享有一定期間備份之可能。而INPIT為普及該制度，在「何謂電子時戳保管服務」選項中，詳細說明其操作步驟，並有相關畫面可供參考，使有相關保管需求者能輕易操作相關保存之功能[5]。INPIT為普及該制度，亦透過所舉辦之營業秘密及智財戰略研討會，推廣相關保管服務[6]，另須注意者為，INPIT並不提供製作電子時戳之服務，故欲使用保存服務之人，須先向TSA業者取得電子時戳憑證，方可利用INPIT所提供之此項服務。 五、結論 　　近年來我國營業秘密案件層出不窮，小如鱘龍魚製作配方外洩之爭執[7]，大至堪可動搖國本之梁孟松由台積電跳槽至南韓三星之營業秘密案件[8]。故營業秘密是什麼，該如何保護營業秘密，儼然成為現代企業間之顯學，誠然當事人就是否侵害營業秘密發生爭執時，當事人所主張之各類文書資料，是否屬於營業秘密，仍屬法院認定之範疇，但企業主若在製作相關電子資料及文件時，能作好文件分級，並附加電子時戳，至少能證明企業主主觀上就該電子資料有以營業秘密保護之意思，可做為法官認定時之參考。當然若是人人可製作電子時戳，使電子時戳之產生過於浮濫，亦無相關認定機構可加以把關，或無補強之文件可證明存證之資料確為企業主所有等，屆時電子時戳在法官形成心證之過程中，無法形成助力不說，反而成為阻力。幸而電子時戳制度已在先進國家推行多年[9]，我國可以踏著前人走過的腳步，走得更廣更遠。故營業秘密文件電子時戳保存制度如能引進我國，相關制度該如何建立並將其完備，仍有待政府相關單位評估，透過公聽會，廣納各界之意見後，再制定相關之規定，期待能以此制度之探討，為我國營業秘密及智慧財產之保護上，帶來不同之思維。 [1]日本經濟產業省〈［入門編］文書の電子化によるメリット〉http://www.meti.go.jp/policy/it_policy/e-doc/guide/e-bunshoguide.pdf（最後瀏覽日：2017/10/12）。 [2]日本總務省<タイムビジネスに係る指針>http://www.soumu.go.jp/main_content/000485112.pdf（最後瀏覽日：2017/10/15）。 [3]日本總務省<タイムスタンプ技術＞http://www.soumu.go.jp/main_sosiki/joho_tsusin/top/ninshou-law/pdf/law_16.pdf（最後瀏覽日：2017/10/16）。 [4]獨立行政法人工業所有權情報‧研修館＜想定される本サービス活用例＞，獨立行政法人工業所有權情報‧研修館網站https://faq.inpit.go.jp/tradesecret/ts/ts_service.html#page3（最後瀏覽日：2017/10/16）。 [5]獨立行政法人工業所有權情報‧研修館＜想定される本サービス活用例＞，獨立行政法人工業所有權情報‧研修館網站https://faq.inpit.go.jp/tradesecret/ts/ts_service.html#ts-4（最後瀏覽日：2017/10/17）。 [6]獨立行政法人工業所有權情報‧研修館＜営業秘密・知財戦略セミナーin 大阪＞，獨立行政法人工業所有權情報‧研修館網站http://www.inpit.go.jp/content/100802953.pdf（最後瀏覽日：2017/10/17）。 [7] 智慧財產法院104年民營訴字第1號民事判決。 [8] 智慧財產法院102年民營上字第3號民事判決。 [9] 同註4。

　　英國電子零售業者Carphone Warehouse在2015年遭到網路攻擊，造成逾300萬客戶及1000名員工的資料外洩，外洩的資料包括客戶的姓名、地址、電話號碼、出生日期、婚姻狀況及1.8萬名客戶的金融卡資訊。 　　英國資訊委員辦公室（Information Commissioner’s Office，ICO）認為涉及之個人資料嚴重影響個人隱私，使得個人資料有被誤用的風險。ICO進一步調查後並發現，駭客僅是透過有效的登入憑證，就能藉由WordPress軟體存取系統，此事件亦暴露該組織技術安全措施之不足，因受影響系統中使用的軟件的重要元素已過時，且公司未能執行例行的安全測試。ICO認為，像Carphone Warehouse此類規模龐大的公司，應積極評估其資料安全系統，確保系統穩健而避免類似的攻擊。 　　據此，ICO判定該公司缺乏妥善的安全措施保障使用者資訊，已嚴重違反《Data Protection Act 1998》資料保護法，判罰40萬英鎊。 　　從今年5月25日起，隨著GDPR的生效，法律將更加嚴格。對此，ICO亦發布了有用的指導，包括GDPR指南，現在採取的12個步驟和工具包。國家網絡安全中心（NCSC）也為組織為保護自己所採取的步驟提供了有用的指導。

　　一直以來負責政府部門資訊軟體採購的中信局，均要求廠商出示所謂 " 原廠証明 "，但是自由軟體並無法取得 " 原廠証明 "，以致難以打入公部門。今年中信局第一季發佈的政府採購需求中，首度在個人電腦部份列出具備 Linux 相容測試以及中文化認證的產品。未來要做政府生意的非 Windows-based 桌面電腦軟硬體廠商，都必須取得 Linux 相容測試認證。這是政府為了擴大 Linux 軟硬體使用而推動 Linux 相容測試，第一次明文要求， Linux-based PC 必須要具備 Linux 相容性認證。Linux 相容認證列入 IT 產品採購規格中，將因政府需求的驅動而有助於刺激國內廠商參與測試、取得認證的意願，使推動 Linux 的力量更為聚焦。 　　眾多 Linux 版本 OS、應用彼此相容、以及中文化不足，是國內企業使用與佈署特別是 Linux 桌面軟體造成障礙。三年前工業局推動成立 Linux 相容測試中心，希望能降低 Linux 版本相容性問題，並在今年開始推動中文化認證。 　　過去 Linux 相容測試免費提供廠商產品測試服務，並沒有於政府需求銜接，導致在促進 Linux 產品取得認證過於發散，此次中信局僅在個人電腦部份列出需求，也有助於收斂投測產品種類。 Linux 相容測試中心，也將在本月頒發第一批「 Linux 軟硬體相容性基本驗證規範」及「基本中文化實用性驗證」的產品。 　　Linux 相容測試中心交由台北市電腦公會（TCA）負責的 Linux 促進會執行