techUK和UK Finance共同呼籲英國脫歐後應速採取行動保護英國和歐盟的企業和消費者資料跨境傳輸
隨著資料多元應用,大量個資可能被企業、組織等從銀行、線上零售業者傳輸到雲端、學術機構等,因此在跨境傳輸基礎上需要共同的監管制度,以利資料保護和隱私標準。英國科技產業協會(techUK)和英國金融協會(UK Finance)共同於2017年11月30日呼籲英國政府和歐盟應迅速採取行動,以利於繼續保護消費者和企業在英國退出歐盟(Brexit)後兩地跨境傳輸個資。
另外,在Dentons國際律師事務所提出關於歐盟與英國未來資料共享關係之聯合報告(No Interruptions: options for the future UK-EU data sharing relationship)中,techUK和UK Finance說明英國和歐盟雙方如何達成適當保護協議(adequacy agreement),英國政府亦於2017年8月發布個人資料交換和保護未來合作文件(The exchange and protection of personal data - a future partnership paper),將持續依一般資料保護規則(General Data Protection Regulation, GDPR)調整,而在過渡期間為企業提供監管確定性,而公司亦需重新考慮GDPR於2018年5月實施後相關替代機制,如企業自我約束規則(Binding Corporate Rules, BCRs)、標準契約條款(Standard Contractual Clauses, SCCs)等。由於英國2019年3月脫歐後,將不會直接適用GDPR,因此除非有新的安排,個資在歐盟傳輸仍可能受限,而需昂貴複雜替代機制,故仍應速採取行動:
- 歐盟和英國應速開始適當保護評估程序(adequacy assessment processes)。
- 為避免個資傳輸之「懸崖邊緣」(“cliff-edge”),應即為過渡期之安排。
- 英國應考慮實施其他措施,確保歐盟對英國資料保護框架之擔憂能獲解決,尤其是國家安全目的之資料處理。
- 英國應確保國際傳輸制度(包括美國在內),與歐盟具相同保護水準,且此作為歐盟適當保護評估的關鍵。
- 1. Rapid Action Needed to Safeguard UK & EU Businesses & Consumers Following Brexit, techUK
- 2. Rapid action needed to safeguard UK & EU businesses and consumers following UK’s exit from the EU, UK Finance
- 3. techUK, UK Finance & Dentons UKMEA LLP, No Interruptions: options for the future UK-EU data sharing relationship (2017)
- 4. HM Government, The exchange and protection of personal data - a future partnership paper (2017)
- 英國資訊專員辦公室關於退出歐盟後續個資保護回應與未來影響,資訊工業策進會科技法律研究所
孫鈺婷
專案經理 編譯整理
1. Rapid Action Needed to Safeguard UK & EU Businesses & Consumers Following Brexit, techUK, http://www.techuk.org/insights/news/item/11824-rapid-action-needed-to-safeguard-uk-eu-businesses-consumers-following-brexit (last visited Dec. 4, 2017).
2. Rapid action needed to safeguard UK & EU businesses and consumers following UK’s exit from the EU, UK Finance, https://www.ukfinance.org.uk/rapid-action-needed-to-safeguard-uk-eu-businesses-and-consumers-following-uks-exit-from-the-eu/ (last visited Dec. 4, 2017).
3. techUK, UK Finance & Dentons UKMEA LLP, No Interruptions: options for the future UK-EU data sharing relationship (2017), https://www.ukfinance.org.uk/wp-content/uploads/2017/11/No-Interruptions-Options-for-the-future-UK-EU-data-sharing-relationship.pdf (last visited Dec. 4, 2017).
4. HM Government, The exchange and protection of personal data - a future partnership paper (2017), https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/639853/The_exchange_and_protection_of_personal_data.pdf (last visited Dec. 6, 2017).
英國資訊專員辦公室關於退出歐盟後續個資保護回應與未來影響,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&i=152&d=7533(最後瀏覽日:2017/12/06)
東京大學活用有限合夥組織制度扶植新創 資策會科技法律研究所 法律研究員 朱啟文 104年08月28日 為鼓勵創投業挹注資金,扶植科技等新創事業,發展諸如電影、舞台劇等文創產業,經濟部參考英、美、新加坡等國家制度,制定「有限合夥法」,希望吸引國外資金來台投資,健全創新創意環境。立法院於2015年6月5日三讀通過「有限合夥法」草案[1],創投與電影、舞台劇等文創產業,可允許以信用、勞務或其他利益出資,讓「創意」成企業資產一部分,培育更多吳寶春、李安或是科技新創事業。 有限合夥制度採投資者與經營者分離,由普通合夥人與有限合夥人共同組成。普通合夥人提供創意或技術,是實際經營業務者,對有限合夥的債務負無限責任;有限合夥人提供資金,但不實際參與經營,僅就出資額負有限責任。日本關於有限合夥制度已經施行近20年,東京大學亦採用此制度協助新創企業,在初期孵化階段取得種子資金,能夠順利發展逐漸茁壯,其實際如何管理運用有限合夥資金,是未來「有限合夥法」上路後,我國學研機關可以學習參考的方向。 壹、日本「投資事業有限合夥法」 日本於1997年制定了「中小企業投資有限合夥法」(中小企業投資有限責任組合契約に関する法律),並於2004年放寬投資事業之客體,不限於未公開上市之中小企業,同時更名為「投資事業有限合夥法」(投資事業有限責任組合契約に関する法律[2])。而依「投資事業有限合夥法」規定,由普通合夥人及有限合夥人所共同組立之合夥組織即為「投資事業有限合夥」(投資事業有限責任組合)。該法中包括有限合夥人僅以出資為限對合夥債務負清償責任,以及普通合夥人於各事業年度經過後三個月內,必須準備各項財務報表資料供其他合夥人及合夥之債權人查閱等規定,均有效提高了投資事業有限合夥募集資金的效果。 貳、東大尖端創投公司(株式会社東京大学エッジキャピタル) 2004年日本國立大學法人化改革正式開展,除使大學能掌握其產出之研發成果外,更促使大學授權其研發成果來成立衍生新創企業。此改革承續美國拜杜法案的立法精神,將研發成果由政府下放至大學,促使大學積極利用自有之智慧財產權。東京大學在該時空背景下,設置了校內單位產學連攜本部DUCR及東大技轉TODAI TLO、東大尖端創投UTEC二個獨立公司,彼此合作推廣相輔相成,是東大產學合作的黃金三角。東京大學將三個組織辦公室均設在東京大學產學連攜廣場大樓(University Corporate Relation Plaza),集中辦公讓業務上合作更為便利。東京大學另於2007年6月完竣的「企業家廣場孵化室[3]」,則作為提供創業支援、知識產權戰略管理及產學合作計畫協助之場所。 東大尖端創投公司[4](The University of Tokyo Edge Capital Co., Ltd.,以下簡稱「UTEC」)成立於2004年4月1日,係由「一般社團法人東京大學產學合作支援基金」投資所成立之創投公司(資本額1,000萬日元),為獨立於東京大學的私法人機構,其成員目前有5位董事、1位監察人及10名正式員工。2004年起UTEC管理運作的資金計有285億日幣,這些資金主要用來中長期投資與東京大學相關的新創項目,包括人才活用、共同研究、智財運用等,投資目的希望能實現將學術成果及人才還原給社會、提升創新及收益,形成良性的經濟活力循環。 負責營運UTEC 的專業成員[5]包括有創投家、政策制定者及博士等。UTEC優勢在於有東京大學作為其後盾,擁有全日本最頂尖研發技術與人才供其篩選。復以日本願意投資早期階段之創投公司不多,使得UTEC在此領域有傑出績效表現。2007年10月開始UTEC 辦理在校創業家EIR 計畫(Entrepreneur In Residence Program),對東京大學內部產生的商業構想概念實施創業育成輔導工作,提供包括辦公空間(企業家廣場孵化室)、創業資金及聘請專家協助修正營運計畫書(Business Plan)等服務。 UTEC在經營上勇於承擔投資創新技術所可能帶來的風險,也願意在新創公司的早期階段(Seed / Early Stages)投入資金換取公司股份,秉持「日本最先進風險投資公司」的經營理念,希能建立早期支援的風險投資模式,將校園研發成果進行商業化實踐。投資策略上UTEC主動介入投資事業有限合夥所出資的公司,並指派投資經理人與投資公司建立長期承諾,而UTEC 亦會積極參與公司成長後續階段之投資。截至2014年4月止,UTEC已經投資了51家新創企業,其中有9家IPO和7家接受併購(M&A)。 參、「投資事業有限合夥」資金管理模式 UTEC的資金不只來自於東京大學,而是透過另外成立3個[6]「投資事業有限合夥」,接納外部投資家之投資作為基金進行營運。具體架構上,UTEC在「投資事業有限合夥」中扮演普通合夥人[7](業務執行者),而有限合夥中的其他出資者則擔任有限合夥人(投資家)之角色。此架構與國外私募股權基金常見作法雷同[8]。對於東京大學而言,好處在於其可透過UTEC此一有限責任公司擔任普通合夥人方式形成屏障,與其自身現有的資產作風險隔離,避免普通合夥人的無限責任直接影響東京大學本身之財務。 UTEC成立的第一個投資事業有限合夥,是2004年7月1日的「UTEC 1號投資事業有限合夥(ユーテック一号投資事業有限責任組合)」,規模為83億400萬日元存續期間至2014年12月31日止(最多得延展1年);第二個是2009年7月31日成立的「UTEC 2號投資事業有限合夥(UTEC2号投資事業有限責任組合)」,規模為71億4800萬日元,更新投資期間至2014年7月30日,存續期間至2019年6月30日止(最多得延展2年);目前最新成立、金額也最高的是2013年10月15日成立的「UTEC 3號投資事業有限合夥(UTEC3号投資事業有限責任組合)」,規模為145億7400萬日元,更新投資期間至2018年10月14日,存續期間至2023年12月31日止(可得延展)。 肆、評析 在創投資金方面以美國為例,「天使」與「創投」可被視為好的「創業種子」的篩選者,是美國經濟發展的火車頭。經由天使與創投的活動,學研單位的研發成果才有商品化及產業化的契機。依2014年資料,美國每年創投資金大約為新臺幣6千億元,中國大陸於2011年為新臺幣8千億元,但我國目前每年創投資金大約僅有新臺幣20億元[9]。我國的創業天使大多為創業者的親朋好友,專業度往往不足,國際創投對臺灣新創事業的關注也有限,而我國的科研經費在無豐沛的海外資金支援下,我國的新創事業在早期階段經常無法取得成長所需的資金。 對此,今年度我國「有限合夥法」的通過,為新創事業資金不足問題的解決帶來了契機。然而,從前揭東京大學UTEC「投資事業有限合夥」的操作及管理模式觀之,我國若要完整援用此等操作架構,除了「有限合夥法」外,尚有待其他配套法令跟進鬆綁。詳言之,應考慮鬆綁大學出資設立企業的相關限制,開放國立大學可以校務基金捐助成立獨立於學校外部「產學營運中心」,並透過該中心投資成立創投公司擔任普通合夥人角色。如此一來,可在兼顧財務風險下,以更為彈性之獎勵與人才聘僱制度,吸引具有專業經驗投資經理人或相關人才投入校園新創,取得更多國內外資金挹注新創事業之發展。 [1]周志豪,〈有限合夥法三讀 創意將成企業資產〉,聯合新聞網,財經焦點,2015/06/06,http://udn.com/news/story/ (最後瀏覽日:2015/09/10)。 [2]投資事業有限責任組合契約に関する法律(LPS法),http://www.meti.go.jp/policy/economy/keiei_innovation/sangyokinyu/kumiaihou.htm(最後瀏覽日:2015/09/10)。 [3]東京大学アントレプレナープラザ,http://www.ducr.u-tokyo.ac.jp/jp/venture/entre_plaza.html (最後瀏覽日:2015/09/10)。 [4]株式会社東京大学エッジキャピタル,http://www.ut-ec.co.jp/cgi-bin/WebObjects/1201dac04a1.woa/wa/read/1201e8150e4_0/(最後瀏覽日:2015/09/10)。 [5] UTEC チーム & ファーム理念,http://www.ut-ec.co.jp/cgi-bin/WebObjects/1201dac04a1.woa/wa/read/1201e782b5b_0/(最後瀏覽日:2015/09/10)。 [6] UTEC 運営ファンド,http://www.ut-ec.co.jp/cgi-bin/WebObjects/1201dac04a1.woa/wa/read/1201e815110/(最後瀏覽日:2015/09/10)。 [7]「普通合夥人」雖然負責管理執行私募股權基金業務,但實務上幾乎都會另外委任投資經理人來提供投資建議,投資經理人直接對普通合夥人負責。由於普通合夥人對外負無限責任,委任投資經理人能夠把從普通合夥人收取到的報酬隔離於無限責任範圍外,而保留在投資經理人手中。事實上,多數的股權私募基金真正的發起人就是投資經理人,普通合夥人只是投資經理人為了發起私募股權基金另外設立的新實體。 [8]許杏宜,〈有限合夥法最新草案之評析-兼談私募股權基金之運作〉,《全國律師》,第19卷第3期,頁40-51 (2015)。 [9]丁靜雯,〈從實驗室到市場—我國科技創新政策之探討〉,《科技部自行研究計畫成果報告》,頁44 (2014)。
美國法院將考慮命Google提交相關資料美國布希政府為捍衛1998兒童線上保護法(1998 Child Online Protection Act),要求法院命Google提交有關民眾使用該公司之搜尋引擎所輸入之關鍵字資料,以證明透過搜尋引擎,兒童使用電腦連結到色情網站並非不易。但是,Google主張此將會危及其使用者個人的隱私以及其營業秘密。 一名負責審理此案的法官於日前表示,其將會考量政府蒐集此等資料的需求以及Google之使用者的隱私保護議題,且其可能會允許司法部 (Justice Department) 可以接近使用 (access) 一部分由Google所建立的網站連結目錄,但並不是Google使用者所輸入的關鍵字資料。
美國對於聯網環境中「關鍵基礎設施」之資訊安全議題展開行動面對境外網路安全的風險,美國歐巴馬總統於2013年2月12日,正式簽署「改善關鍵基礎設施之網路安全」行政命令(Executive Order 13636–Improving Critical Infrastructure Cyber security),據該行政命令第二款,將「關鍵基礎設施」定義為,「對於美國至關重要,而當其無法運作或遭受損害時,將削弱國家安全、經濟穩定、公共健康或安全之有形或虛擬系統或資產」,遂採取相對廣義之解釋。該行政命令第七款,亦指示美國商務部「國家標準技術研究所」(National Institute of Standard and Technology, NIST),將研議ㄧ個提升關鍵基礎設施資通訊安全之架構(Framework to Improve Critical Infrastructure Cybersecurity),將美國聯邦憲法所保障的企業商業機密、個人隱私權和公民自由等法益納入考量。 針對關鍵基礎設施引發重要之法制議題,美國副司法部長Mr. James M. Cole表示,由於關鍵基礎設施影響所及者,乃人民在法律下的權益,公部門政府將在該項議題上與私部門共同合作(partnership),且未來將研議通過立法途徑(legislation),將隱私權和公民權保護(the incorporation of privacy and civil liberties safeguards)納入關鍵基礎設施資通訊安全法制之全盤考量,相關趨勢殊值注意。
歐盟「第五洗錢防制指令」將新科技於金融體系的應用納入管制歐盟於2018年4月19日宣布通過「第五洗錢防制指令」(the Fifth Anti-Money Laundering Directive),並於同年6月19日公布確定案文,其要求歐盟成員國必須於18個月內將該命令納入國內法律中。 歐盟在本次指令中,特別針對恐怖主義組織財政和運作方式揭示出所觀察的新趨勢,其指出某些作為替代金融體系的新技術服務越來越受歡迎,但卻不受法令所拘束,或是被豁免於相關法律適用外等不合理情事,因此「第五洗錢防制指令」為了跟上不斷進步的科技環境,乃要求法人、其他法律實體(legal entities)、信託及具有與信託類似結構或功能的法律協議(類似的法律協議) 應採取進一步措施,以確保提高金融交易的透明度,並藉此改進現有的預防框架,達到更有效地打擊資助恐怖主義行為的目的;另外歐盟亦於該指令中提醒所有採取的措施應和洗錢風險成比例。 有關「第五洗錢防制指令」主要新增及修正包含: 迎接新技術:託管錢包供應商(custodian wallet providers)和虛擬貨幣交換平臺將被視為新的義務主體而納入於洗錢防制法的範圍。另外「第五洗錢防制指令」還允許使用電子身分證明進行客戶盡職調查。 改進執法:各成員國須建立自身國家的銀行帳戶登記系統,以便執法當局能夠方便地查閱在該成員國內的所有銀行帳戶資訊。另外該登記系統須與其他成員國互相連線,並且即便在沒有提交可疑活動報告的情況下,執法當局也可以要求義務主體提供資料。 明確定義"重要政治性職務人士":各成員國都必須發佈一份清單,列出哪些屬於 "重要的公共職能"。 針對高風險第三國為更嚴格的管制:「第五洗錢防制指令」要求涉及高風險第三國的商業關係或交易須採取強化盡職調查措施,,並允許成員國限制義務主體在高風險第三國設立分支機搆或子公司,亦禁止總部設在高風險第三國的義務主體於成員國設立分支機搆。 提高公司實質受益權的透明度:各成員國的公司實質受益權登記將放寬查詢限制,公眾無須提出任何合法權益證明即可查閱基本資訊。另外還要求企業(登記義務主體)必須針對持有資訊與在登記系統上資訊的差異提出報告。 信託的實質受益權:「第五洗錢防制指令」擴大實質受益權申報義務主體範圍,要求任何類似信託的法律安排及租稅中立性的信託均須申報;另外還擴大該實質受益權申報的查閱至任何能提出具有合法利益的人,但其並未對合法利益提出定義,而是讓各成員國自行訂定。然而「第五洗錢防制指令」指出,該合法利益的定義不應侷限在行政或法律訴訟未決的案件,而是應針對洗錢防制及反資助恐怖組織領域的預防工作為考量。 禁止匿名保險箱。 調整預付工具(prepaid instruments)需進行盡職調查的門檻(如禮品卡、旅遊卡):價值要求從250歐元降低到150歐元。