英國資訊委員辦公室（Information Commissioner’s Office，ICO）認定英國電子零售業者Carphone Warehouse違反《Data Protection Act 1998》資料保護法

　　美國健康與人類服務部（Secretary of Health and Human Services；以下簡稱HHS），於2009年4月17日公布「個人健康資訊外洩通知責任實施綱領」（Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009; Request for Information；以下簡稱本綱領）。本綱領為美國迄今唯一聯盟層級之資料外洩通知責任實施細則，並可望對美國迄今四十餘州之個資外洩通知責任法制，產生重大影響。 　　本綱領之訂定法源，係依據美國國會於2009年2月17日通過之經濟與臨床健康資訊科技法（Health Information Technology for Economic and Clinical Health Act；以下簡稱HITECH），HITECH並屬於2009年「美國經濟復甦暨再投資法」（America Recovery and Reinvestment Act；簡稱ARRA）之部分內容。 　　HITECH將個人健康資訊外洩通知責任的適用主體，從「擁有」健康資訊之機構或組織，進一步擴大至任何「接觸、維護、保留、修改、紀錄、儲存、消除，或以其他任何形式持有、使用或揭露安全性不足之健康資訊」的機構或組織。此外，HITECH並規定具體之資料外洩通知方法，即必需向當事人（資訊主體）以「即時」（獲知外洩事件後60天內）、「適當」（書面、或輔以電話、網站公告形式）之方式通知。不過，由於通知之範圍僅限於發生「安全性不足之健康資訊」外洩，故對於「安全性不足」之定義，HITECH即交由HHS制定相關施行細則規範。 　　HHS本次通過之實施辦法，將「安全」之資料定義「無法為第三人使用或辨識」，至於何謂無法使用或辨識，本綱領明定有兩種情形，一是資料透過適當之加密，使其即使外洩亦無法為他人辨識，另一則是該外洩資訊之儲存媒介（書面或電子形式）已被收回銷毀，故他人無法再辨識內容。 　　值得注意的是，有異於美國各州法對於加密標準之不明確態度，本綱領已指明特定之技術標準，方為其認可之「經適當加密」，其認可清單包含國家標準與技術研究院（National Institute of Standards and Technology）公布之Special Publication 800-111，與聯邦資訊處理標準140-2。換言之，此次加密標準之公布，已為相關業者提供一可能之「安全港」保護，使業者倘不幸遭遇資料外洩事件，得主張資料已施行適當之加密保護，即無需承擔龐大外洩通知成本之衡平規定。

　　英國數位文化傳媒和體育部（Department for Digital, Culture, Media & Sport, DCMS）於2022年11月23日發布新聞稿，宣布英國與韓國共同簽署的資料橋接規則（The Data Bridge Regulation）於同年12月19日正式生效。在此之前，英國於2022年7月5日已與韓國個人資料保護委員會（Personal Information Protection Commission, PIPC）簽署資料適足性協議（Data Adequacy Agreement），以促進兩國未來進行資料傳輸。這也是英國在脫歐後，首次與其他國家簽訂的資料協議，而依據過往兩國的數位貿易統計資料，本次協議預估將帶來超過14.8億英鎊的商機。 　　英國DCMS部長更進一步表示，未來將積極與其他國家的戰略夥伴，開展資料經濟商機。英國於聲明中強調參與全球跨境隱私規則論壇（Global CBPR Forum）的決心，以加速資料共享、促進創新與產學研究，聲明摘要如下： 　　1、本協議為加強英國與韓國資料共享的里程碑，其宗旨為創建更值得信賴的資料共享環境，以及共創更安全的資料傳輸方式。 　　2、本協議耗時約一年完成討論與擬訂，並期待能透過該協議，深化並擴展英國與韓國之間的資料夥伴關係。 　　3、英國與韓國政府承諾將促進資料在國際商業、創新及研究等領域的發展。在加強個人資料保護的前提下，促進資料的合理利用。 　　4、在資料自由傳輸的基礎上，本協議將提供更完善且可持續推動的全球資料生態系統。雙方政府承諾共同改進數位時代下個資料保護框架，如英國發布國家資料戰略（National Data Strategy）、修訂UK GDPR相關規範，以及韓國PIPC提出個人資料保護法部分條文修正案等具體措施。 　　英國政府肯認應與其他戰略合作夥伴開展多邊倡議，如參與全球跨境隱私規則論壇（Global CBPR Forum）及經濟合作暨發展組織（OECD），共同推動可信賴之政府存取資料（Trusted Government Access to Data）的目標。

　　繼陳水扁總統於元旦宣示兩岸經貿改採「積極管理、有效開放」後，行政院於 3 月 22 日 的院會中通過兩岸經貿「積極管理、有效開放」配套機制方案，方案執行面向涵蓋經濟、農業、金融、人員及小三通等經貿往來層向，建立管理目標及機制。其中在經濟類部分，為強化對大陸投資之有效管理，企業赴大陸地區超過一定金額或涉及敏感科技的重大投資案，增設「政策面審查」， 但方案中並未進一步指出一定金額與敏感性產業的定義。 　　經經濟部邀集陸委會等相關單位，討論積極管理配套措施中的「重大投資案」界定標準，會中決定政府將參考國內廠商設立晶圓廠的投資規模，制定相關審查辦法，將 1 億美元以上或涉及敏感科技的投資案，進行「兩階段審查」，即政策面審查及投審會委員會議審查，並列舉需要經過政策面審查的產業。 　　所謂政策面審查，依據行政院大陸委員會發布的「兩岸經貿『積極管理、有效開放』配套機制」指出，是由政府邀請企業負責人及經理人，就企業財務計畫、技術移轉、輸出設備、在台相對投資等項目進行協調，在確定企業具體承諾，並由業者出具同意政府於必要時將進行大陸投資事項實地查核的承諾書後，再送投審會開會審查。經濟部表示，業者經核准進行大陸投資後，主管機關應分別針對母公司在國內持續投資與技術升級情況、廠商在大陸營運及增資、擴廠情形，持續追蹤管理，主管機關於必要時並將赴中國實地查核，以落實積極管理。 　　行政院表示，配套機制方案大部份是強調現行作業的「強化管理措施」，至於相關部會提出新增或應加強的執行事項，原則上應在今（ 95 ）年 6 月 30 日前完成，涉及修法及建置資料庫的部分，應在今年年底前執行或規劃完成。

科技計劃研發成果之讓與及終止維護 -科技部審查程序所生疑義- 資策會科技法律研究所 法律研究員　林思妤 105年04月28日 壹、前言 　　科技部目前提供產學合作計劃補助類型相當多元，有為產業發展前瞻技術的先導型計劃、為產業開發核心應用創新技術的開發型計劃，以及培育人才的應用型計劃[1]，但補助的目的均係期待產學合作的研發成果以授權方式，廣泛為社會大眾使用，發揮其最大之效益。 　　惟部分研發成果或有可能經執行單位評估後，認為將該研發成果讓與給廠商或是企業可達更大運用效益而進行的讓與，抑或是在運用效益不高的情況下擬終止繳納該研發成果的維護費用。當研發成果有讓與或終止維護需求的情況下，其程序如何進行、實質要件如何審查，在法規適用上非無疑義。本文將以現行「科技部研究成果歸屬及運用辦法」（下稱科技部成果歸屬辦法）中「讓與」、「終止維護」的程序及審查流程為主要對象，就其規定內容與所面臨之適用問題，進行研析並提出調修之建議。 貳、各部會成果歸屬辦法讓與、終止維護規定有差異 　　根據科學技術基本法第6條第3項[2]，行政院於2000年訂定「政府科學技術研究發展成果歸屬及運用辦法」，以供所屬各部會遵循。在主管機關階層，目前經濟部、農委會、國防部、原能會等也都有各自的成果歸屬辦法[3]，而科技部亦於2011年制定了「科技部科學技術研究發展成果歸屬及運用辦法[4]」。各部會之所以針對研發成果的運用方式給予規範，乃是由國家給予該研發成果補助的立場出發，希望能夠以授權的方式，尤其是非專屬授權的方式作為研發成果的運用，讓社會大眾有廣泛使用、享受該研發成果的機會[5]。因此，在政府的立場上，由各部會給予補助的研發成果要進行讓與或是走向終止維護，須根據其規範實行之。 　　科技部成果歸屬及運用辦法第9條至第11條為其科技計畫研發成果讓與、終止維護的程序進行方式以及審查項目之規範，其要求包括研發成果專利權在經過一定合理期間推廣之後若無授權使用，始得公告讓與該研發成果予第三人[6]，公告三個月後，無人請求受讓時，始得終止繳納該研發成果的維護費用[7]。 　　綜觀各部會成果歸屬辦法，科技部的規定和其他部會規範讓與、終止維護的目的相同，但在法條文字或是審查項目上則有所差異[8]： 一、在讓與、終止維護標的部分的比較，科技部是唯一一個將標的範圍限縮於研發成果專利權的單位。經濟部、國防部、衛福部、原能會以及農委會僅廣泛明文研發成果，而勞動部則是強調為研發成果智慧財產權。可見現行科技部成果歸屬辦法適用範圍之狹隘。 二、各部會在讓與、終止維護的審查規定上，大方向是一致的，皆規定了該研發成果必須是公開的，例如經過推廣（科技部）、公告（經濟部、衛服部、原能會），或是取得智慧財產權逾五年（國防部、農委會、勞動部）；以及須以授權為優先原則，諸如該研發成果無授權使用（科技部）、無運用價值（經濟部、國防部、原能會）、未商品化（衛福部）、未有實際應用（農委會、勞動部）。但究竟應如何推廣並未說明，公告時間則有三年、五年，差異甚大。 三、研發成果經過了一定時間的公開推廣並符合授權優先原則之後，其讓與評估的進行方式並未說明。在認定可否為讓與的部分，經濟部交由研發執行單位自行認定，其它部會並未明文；在公告讓與執行部分，有由研發執行單位自行公告，有由部會公告，亦有未明文者。 四、每個部會皆一致的將讓與、終止維護兩個不同的研發成果運用方式使其在同一個程序上進行，規定該研發成果公告讓與三個月之後，若無受讓對象，即可停止繳交該研發成果的維護費用[9]，是一個讓與、終止維護的連續性程序。 　　就上述各部會之間針對讓與、終止維護在規範上的比較，可觀察出，或許是各部會之間因研發成果性質相異而有不同考量所致，在類似的規範上仍存有前提條件上的差異；在審查項目上，要求也不一致。但各部會皆是讓與、終止維護的連續性程序，且審查項目亦皆有規範不明確的地方，例如推廣的方式。接下來，本文將就科技部讓與、終止維護的規範在適用上所產生的疑義作一分析，也期待此分析可提供其他部會在類似問題上作參考。 參、科技部研發成果讓與及終止之審查作業芻議 一、研認研發成果讓與之範圍 　　雖現行條文僅將研發成果限於「研發成果專利權[10]」，惟本文建議可放寬至所有研發成果，讓產學合作的研發成果能有更大的運用空間，類型能夠更加多元化，尤其是專利申請權的部分。建議納入專利申請權成為讓與標的，因為在實務上研發執行單位有礙於經費問題，無法在其研發成果的特定市場（例如國外）進行專利佈局。故建議可納入專利申請權讓與企業申請，使研發成果發揮其更大效益。 二、讓與、終止維護程序疑義 (一) 讓與、終止維護無法各自依其目的審查 　　目前科技部成果歸屬辦法規定是由研發執行單位就其欲讓與的研發成果先行評估是否適合讓與，再進行公告尋求受讓對象，也就是在尚未確定受讓對象時，先行評估讓與條件。這樣的程序規定並無法讓研發執行單位針對受讓對象作具體評估，也使得科技部無法就雙方條件進行有效實質審查。再者，研發成果公告讓與三個月後，若無受讓對象，即終止維護。這樣的連續性程序將有可能使尚有運用價值的研發成果走向終止維護，甚是可惜。 (二) 建議讓與、終止維護程序分軌 　　針對上述在程序上的兩個問題，本文建議無論是在讓與或是終止維護方面，都應在確定推廣一定合理期間、確無授權使用情形後，就先行公告讓與，待有受讓對象時，再就該讓與研發成果及受讓對象之間作具體評估。相信在確有受讓對象之後作的讓與條件評估，會比現行在沒有受讓對象時作的一般性讓與條件評估更有實質效益。 　　另外，欲終止維護的研發成果也應該在公告讓與一定時間之後，設有專屬的審查程序，就其運用效益、價值進行評估，而非如現行規範接續著讓與評估程序，在公告三個月後無受讓人時，即終止繳納維護費用。簡而言之，讓與或是終止維護均應該先行公告，再就其公告結果（有無受讓對象）作讓與、終止維護的評估，以避免有運用價值的研發成果落入終止維護的風險。 三、讓與、終止維護審查重點 　　就實質審查部分，不管是讓與或是終止維護，研發執行單位都應該先就該研發成果標的範圍進行說明，並針對經過一定合理期間推廣、確無授權使用情形提出自評結果及其相關佐證文件，再交由科技部審查。基於讓與、終止維護程序分軌的建議，兩者在部分審查項目上亦應有不同的判斷標準，例如讓與之前提即不宜以無技術服務之效益及運用價值為條件[11]。因此，本文認為其審查重點應有如下調整： (一) 一定合理期間推廣該研發成果至全國周知平台 　　就一定合理期間部分，現行法並未明文規定具體期間，慮及科技發展日新月異，研發成果之市場競爭力究竟可以維持多久，抑或是在多少時間之內可能被其他技術取代，不同的研發成果都不盡相同，實難具體規定所謂一定合理期間，故維持現行法之文字應無不妥。 　　惟就推廣方式或是宣傳平台，本文擬對現行規範以及實務上的作法提供建議。在規範部分，比較各部會之間針對讓與、終止維護的規範後，發現僅國防部有具體訂定公告方式：「前項公告，執行單位應以刊登網際網路、全國性報紙、函告業界相關公會 或辦理說明會等方式為之[12]」。另外，行政程序法第一五四條第二項「行政機關除為前項之公告外，並得以適當之方法，將公告內容廣泛周知。」強調了全國性能見度。在實務上，部分大學技轉中心也提供了推廣平台（例如交大專利推廣平台[13]）。又如英國牛津大學技轉中心Isis，目前在國際專利申請（PCT[14]）的數量排名全球第16名，截至2015年3月為止，已完成75件專利授權案件[15]。由國內外的例子看來，不管是規範上，或是實務運作上，皆可看出推廣平台的重要性。故本文建議推廣平台應有必要限於全國周知的平台[16]。 (二) 市場價值的判斷 　　科技部成果歸屬辦法第9條第1項提及「技術服務之效益及運用價值者」，在此，本文以市場價值稱之。而即將讓與或是終止維護的研發成果的市場價值在審查上自有其不同的判斷標準。就讓與部分，本文建議在讓與、終止維護程序分軌、先行公告讓與、確有受讓對象後，研發執行單位在自行評估讓與條件時，可請受讓對象提出針對該研發成果的預期發展效益，例如：產品研發進度、預計銷售量、讓與條件，作為讓與標的市場價值的說明。至於終止維護的部分，除了研發執行單位必須說明沒有運用價值以外，尚有一種情況是因為該研發成果維護費用過高，以至於與運用價值不合比例，因此走向終止維護。 肆、結語 　　科技部以及各部會基於期待其所補助的研發成果能夠廣泛被社會大眾使用，而以授權為研發成果的優先運用方式，並對讓與、終止維護部分加以規範。然後現行程序規範中，未將讓與、終止維護兩個不同的研發成果處理程序分別處理，造成兩者無法各自依其目的審查，甚至使尚有運用價值的研發成果走向終止維護，故本文建議應對讓與、終止維護程序進行分軌。又為了讓產學合作的運用更有彈性，建議放寬現行條文讓與標的的範圍由「研發成果專利權」擴大至「所有研發成果」。 　　本文就推廣該研發成果至全國周知平台以及市場價值在讓與、終止維護之間不同的判斷標準提供淺見，目的在於是讓研發執行單位在研發成果的運用上有更明確具體的法規遵循，使我國產學合作發展能夠日趨順利。但如何在希望達到社會大眾廣泛使用與適合該研發成果的運用方式之間，像是廠商或是企業往往偏向實質獲得研發成果所有權，取得一個平衡點，值得思考。 [1] 科技部產學及園區業務司產學合作計劃，http://web1.most.gov.tw/spu/ch/list?menu_id=03dbe285-8784-4be5-a5c9-1520f63676f5&view_mode=listView（最後瀏覽日，2016/4/14）。 [2]科學技術基本法第6條第3項：「前二項智慧財產權及成果之歸屬及運用，應依公平及效益原則，參酌資本 與勞務之比例及貢獻，科學技術研究發展成果之性質、運用潛力、社會公 益、國家安全及對市場之影響，就其目的、要件、期限、範圍、全部或一 部之比例、登記、管理、收益分配、迴避及其相關資訊之揭露、資助機關 介入授權第三人實施或收歸國有及相關程序等事項之辦法，由行政院統籌 規劃訂定；各主管機關並得訂定相關法規命令施行之。」。 [3] 王立達，「我國學術機構技術移轉法制現況、問題與探討」，全國律師13卷1期，2009年1月，47-59頁。 [4] 「科技部科學技術研究發展成果歸屬及運用辦法」，2011年7月1日，https://tw.news.yahoo.com/%E6%98%8E%E5%B9%B4%E9%80%A3%E7%BA%8C4%E5%A4%A9%E5%81%87%E6%9C%894%E5%80%8B-215005744.html（最後瀏覽日，2016/4/8）。 [5] 現行研發成果的運用、商品化的方式主要有授權、讓與或是以該技術成立新創公司等方式，若從商業化、市場競爭力的角度考量，一個研發成果的運用方式自是依其性質判斷。一般來說，廠商或是企業並不願意以授權，尤其是非專屬授權的方式，運用該研發持果，因為非專屬授權的方式通常商業價值不高。 [6]「科技部科學技術研究發展成果歸屬及運用辦法」第9條第1項：「研發成果專利權經執行研究發展之單位推廣一定合理期間後，評估無授權使用或技術服務之效益及運用價值者，基於符合公益之目的或為促進整體產業發展、提升研發成果運用效益等原則，執行研究發展之單位循內部行政程序辦理研發成果讓與相關評估後，得備函檢具相關文件向本部申請讓與第三人；文件不全或不符規定者，不予受理。」 [7]] 「科技部科學技術研究發展成果歸屬及運用辦法」第10條：「執行研究發展之單位依前條評估原則及處理程序申請讓與，並經本部同意讓與後，始得公告讓與之，三個月內無人請求受讓時，得終止繳納研發成果維護費用」。 [8] 各部會成果歸屬及運用辦法在讓與、終止維護的條號： 科技部科學技術研究發展成果歸屬辦法，100年7月1日發布，104年6月11日修正：第9、10、11條 經濟部科學技術研究發展成果歸屬辦法，89年5月19日發布，103年8月13日修正：第22條 國防部科學技術研究發展成果歸屬辦法，96年4月19日發布，103年5月7日修正：第24條 衛福部科學技術研究發展成果歸屬辦法，99年1月20日發布，105年2月25日修正：第24條 勞動部科學技術研究發展成果歸屬辦法，100年7月12日發布，104年6月16日修正：第2條第1項 行政院原子能委員會科學技術研究發展成果歸屬辦法，93年7月7日發布，103年2月18日修正：第26條 行政院農業委員會科學技術研究發展成果歸屬辦法，90年9月14日發布，102年2月6日修正：第20、27條 [9] 「科技部科學技術研究發展成果歸屬及運用辦法」第10條：「執行研究發展之單位依前條評估原則及處理程序申請讓與，並經本部同意讓與後，始得公告讓與之，三個月內無人請求受讓時，得終止繳納研發成果維護費用」。 [10] 「科技部科學技術研究發展成果歸屬及運用辦法」第9條第1項：「研發成果專利權經執行研究發展之單位推廣一定合理期間後， ⋯⋯。」 [11] 「科技部科學技術研究發展成果歸屬及運用辦法」第9條第1項：「研發成果⋯，評估無授權使用或技術服務之效益及運用價值者，⋯。」 [12] 國防部成果歸屬辦法第24條：「執行單位取得一般研發成果已逾五年而經其評估認定不具運用價值者，除法令另有規定外，得發布讓與之公告。自公告之日起，三個月內無人請求受讓者，得經本部核准後，終止繳納維護智慧財產權相關之費用。前項公告，執行單位應以刊登網際網路、全國性報紙、函告業界相關公會 或辦理說明會等方式為之。」 [13] 交大專利授權暨拍賣平台，http://patent.nctu.edu.tw/bid（最後瀏覽日：2016/04/22）。 [14] PCT-the International Patent System，http://www.wipo.int/pct/en/（最後瀏覽日：2015/04/22） [15] Isis Innovation Limited, http://isis-innovation.com/（最後瀏覽日：2016/04/22）。 [16] 像是I-ACE鏈結產學媒合平台，https://iace.stpi.narl.org.tw/search;jsessionid=9992E4BD21C8959EAF83F1F6D8AD47F3，政府研究資訊系統GRB，https://www.grb.gov.tw/，（最後瀏覽日：2016/04/25）。