日本與歐盟達成GDPR適足性認定之合意，預定於今年秋天完成相關程序

　　為鼓勵金融產業之創新，同時使其遵循應有之責任，並讓歐盟金融消費者與商業機構享有更多之利益，歐盟執委會於2020年10月24日提出數位金融包裹法案（Digital Finance Package），並提出以下2項數位金融立法提案： 一、加密資產立法提案（Proposal for Markets in Crypto-assets） 　　為促進金融創新並同時保有金融穩定性與保護投資人，歐盟執委會提出加密資產管制框架立法提案，並將加密資產分為已受監管與未受監管兩類，前者將持續依據既有規範進行管理。而針對尚未管制之加密資產，該提案針對加密資產發行人與加密資產服務供應商建立嚴格限制，要求取得核准後始可提供服務。具體而言之，立法提案包含以下項目： （一）針對加密資產、加密資產發行人等金融商品名詞進行定義。並建立加密資產服務供應商與發行人營運上、組織架構與資產發行程序之透明度與揭露制度。 （二）針對向公開市場提供加密資產進行管制，例如，依據提案第4條，供應商應為法人，第5條則要求供應商應製作加密資產白皮書，並將其提供給主管機關後始可於公開市場提供相關服務。 （三）針對代幣資產發行人以及其加密資產之審核程序，依據提案第15條，代幣發行者必須為歐盟境內之法律實體。另外，該法要求加密資產發行人應誠實、公平且專業，並完成加密資產白皮書之出版與制定市場溝通規則。 （四）針對加密資產之收購，該法第4章亦設有相關規範，於第37條及38條規定收購之評估機制。 （五）針對加密資產服務供應商之授權與營運條件，該法第5章規定歐盟證券及市場管理局應建立加密資產服務供應商之登記制度。 （六）針對市場秩序維護之部分，該法於第6章規範相關預防市場濫用之禁止事項與要求，並於第7章賦予歐盟成員國各主管機關相關權力，例如第94條之監督與懲處權限。 二、歐盟數位營運韌性管制框架立法提案（Proposal for Digital Operational Resilience） 　　數位化總伴隨資安風險，歐盟執委會於包裹法案內亦提出歐盟數位營運韌性管制框架立法提案，以確保相關企業可應對所有與通訊技術有關之干擾與威脅，另外，銀行、證券交易所、票據交換所以及金融科技公司將需遵循嚴格之標準以預防並降低ICT資安事件所產生之衝擊，另外亦將針對金融機構雲端運算服務供應商進行監管。具體規範包含： （一）ICT風險管理要求：該立法提案參照相關國際標準，於第5至第14條制訂相關ICT風險管理要求，惟未要求應遵循具體國際標準。 （二）ICT相關事件報告：該提案於第15至20條規範相關報告義務，將整合歐盟金融機構之ICT相關事件報告與監測程序。 （三）數位運作韌性測試：該提案於第21至第24條要求ICT風險管理框架應定期進行測試，惟具體方法可依據組織之規模、風險側寫與商務模式進行調整。 （四）第三方單位風險：該提案於第25至39條規範組織應對ICT第三方供應商風險進行監測，例如，第25條要求金融機構委外執行業務仍應隨時遵循所有金融服務規範，另外，ICT風險管理框架之內容亦應包含第三方ICT風險之監督策略。

　　由於美國近年來透過太空系統進行通訊、定位導航、太空探索及國防等多方面應用，為避免太空系統受到網路威脅，白宮於2020年9月4日發布《太空政策第5號指令》（Space Policy Directive-5，SPD-5），該指令主要關注太空系統的網路安全，將現有地面使用的網路安全政策應用在太空系統中，旨在提高美國太空設施網路安全。 　　SPD-5指令建立以下五項太空網路安全原則，作為指導政府及民間單位提高太空系統網路安全的方法： 一、太空系統及相關軟硬體設施，應使用以風險等級為基礎的方式，進行開發運作並建構其網路安全系統。 二、太空系統營運商應制定太空系統網路安全計畫（應包含防止未經授權的存取行為、防止通訊干擾、確保地面接收系統免受網路威脅、供應鏈的風險管理等功能），以確保能掌握對太空系統的控制權。 三、監管機構應訂定規則或監管指南來實施SPD-5指令的原則。 四、太空系統的營運商及其合作對象應共同推動SPD-5指令，並盡力減少網路威脅的發生。 五、太空系統營運商在執行太空系統網路安全的保護措施時，應管理其風險承擔能力。 　　儘管SPD-5指令並未指示特定機構執行上開原則，但已有美國聯邦通信委員會將SPD-5之網路安全原則納入其法規中，未來SPD-5指令將有可能作為美國太空網路安全措施及法規訂定的基礎。

　　2018年6月5日歐盟法院針對Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie Schleswig-Holstein GmbH訴訟進行先訴裁定，擴大解釋《資料保護指令》（Directive 95/46/EC）之「資料控制者」範圍，認為Facebook和粉絲專頁管理者皆負有保護訪客資料安全的責任。由於「資料控制者」定義在《資料保護指令》與《一般資料保護規則》（GDPR）相同，因此裁定將影響未來使用社群媒體服務和平台頁面的個資保護責任。 　　本案起因德國Schleswig-Holstein邦獨立資料保護中心要求 Wirtschaftsakademie教育服務公司在Facebook經營之粉絲專頁必須停用，其理由認為Facebook和Wirtschaftsakademie進行之Cookie資料蒐集、處理活動並未通知粉絲成員且因此從中獲利，然Wirtschaftsakademie認為並未委託Facebook處理粉絲成員個資，當局應直接對Facebook要求禁止蒐集處理。歐盟法院認為Wirtschaftsakademie使用Facebook所提供之平台從中受益，即使未實際擁有任何個資，仍被視為負共同責任（jointly responsible）的資料控制者，應依具體個案評估每個資料控制者責任程度。 　　在原《資料保護指令》並未有「資料控制者需負共同責任」之規定，本案擴大解釋資料控制者範圍，對照現行GDPR屬於第26條「共同控制者」之規範主體，然而本案將資料控制者擴張到未實際處理資料之粉絲專頁管理者，是否過於嚴格？且未來如何劃分責任與義務，皆有待觀察。

文創法第26條第項第4款適用疑義─ 以營利事業對國家電影中心之捐贈列支為例 科技法律研究所 法律研究員　尤騰毅 2015年02月10日 壹、事實說明 　　日前根據報載「…金馬影后、也是湯臣影業負責人徐楓，響應搶救老電影計畫，一舉捐出510萬元修復胡金銓導演、也是她自己的代表作《俠女》，作為國家電影中心的開門之喜。…」（「國家電影中心」成立 徐楓捐款510萬，經濟日報，2014.07.28）。營利事業對於財團法人國家電影中心之捐贈列支，係依所得稅法第36條，或文創法第26條第1項第4款申請？ 貳、法律評析 一、依所得稅法第36條第1款以專案核准方式辦理，得不受列支金額限制 　　營利事業針對政府捐助成立之特定財團法人，目前財政部依所得稅法第36條第1項規定，以專案核准方式作成多號函釋，其捐贈列支，不受金額限制，包括財團法人法律扶助基金會、財團法人中央廣播電台等，參附錄一。以本案例而言，若能依所得稅法第36條第1款向財政部申請以專案核准方式辦理，可享有無認列金額上限之待遇，係優於文創法的處理方式；惟本案捐贈款項有指定用途，捐贈人宜以捐贈契約明文，以確保捐贈目的的達成。 二、本案例事實亦可適用文創法第26條 　　(一)受贈對象 　　文創法第26條之立法意旨在於鼓勵民間企業參與，帶動文創產業發展，達到以短期租稅減收換取未來長期經濟發展之目的。希望將企業資金導入民間之文創產業，其受捐贈目的與所得稅法第36條第2款所稱之教育、文化、公益、慈善機關或團體有別。惟其受贈對象未限於營利之民間企業，亦包括從事文創事業之非營利法人，故本案捐助對象雖為財團法人國家電影中心，因其亦為從事文創產業活動之事業，仍屬文創法第26條之適用對象。 　　(二)捐贈事由 　　文創法第26條第1項所列3款法定事由，同項第4款並授權中央主管機關可認定得列為當年度費用或損失之事項（屬概括規定）[1]。關於文創法第26條所列3款法定事由，茲先說明如下： （一）購買由國內文化創意事業原創之產品或服務，並經由學校、機關、團體捐贈學生或弱勢團體。（文創法第26條第1項第1款） 　　所稱國內文化創意事業，係指「在我國依法設立之法人、合夥或獨資事業，或具有中華民國國籍之國民，從事文化創意產業者」（營利事業捐贈文化創意相關支出認列費用或損失實施辦法第2條，下稱認列辦法）。只要是國內文化創意事業所研發創作，提供消費者消費之產品或服務，均適用捐贈認列抵稅。 　　營利事業所捐贈之原創產品或服務，須經由學校、機關或團體，核轉給適格的捐贈對象。所稱「學校」，包括所有各級依法設立、實施正規教育的公、私立學校，故不包含補習學校與社區大學（認列辦法第2條）。另為確保捐贈為弱勢團體所用，針對受贈團體之認定標準，限於依法設立或登記之非營利組織。透過符合上述資格之學校、機關或團體，將購買之原創產品或服務核轉給各級公私立學校之在學學生，以及依法設立或登記專門協助身心障礙者、原住民及其他弱勢族群之團體。 （二）偏遠地區舉辦之文化創意活動。（文創法第26條第1項第2款） 　　所稱偏遠地區係指人口密度較低、或交通較為不便、地理位置偏遠之地區，如離島（認列辦法第2條）。考量我國文化活動在城鄉的相較之下，仍多集中於城市，為兼顧文化創意產業之均衡發展，縮短城鄉差異，故以本款規定鼓勵營利事業捐贈國內文化創意事業於偏遠地區舉辦文化創意活動，以提高民眾參與文化創意活動意願及文化素養，同時達到發展國內文化創意事業之立法目標。凡屬於對公眾舉辦之展覽、表演、映演、拍賣或其他經各中央目的事業主管機關認定之活動，並應以公開且無償之方式服務偏遠地區之民眾者為限。 （三）捐贈文化創意事業成立育成中心。（文創法第26條第1項第3款） 　　雖然文創法第26條第1項第3款規定捐贈於「成立」的費用或損失才可認列，但避免育成中心設置過於浮濫，「營利事業捐贈文化創意相關支出認列費用或損失實施辦法」第5條規定設計育成中心應以設立後已有營運經營活動為限，且針對經營團隊管理階層人員之專業及其相關工作年資、育成空間之坪數空間，均有所規範，俾利徵納雙方遵循，以免流弊。 　　由於本案捐贈目的在於搶救老電影的修復費用，並不符合上述明列的事由，須由中央主管機關認定系爭事實是否得適用前述第4款規定。本文認為例舉之三款法定認列事由可歸納出以下三個構成要件，本件案例事實是否得適用文創法第26條第1項第4款之規定，中央主管機關得以下述要件檢視之： 　　1.應符合鼓勵民間企業參與文創事業活動，帶動產業發展之立法意旨 　　文創法第26條之立法意旨在於鼓勵民間企業參與，帶動文創產業發展，達到以短期租稅減收換取未來長期經濟發展之目的。因此，營利事業之捐贈、購買行為，應透過參與文創事業活動，而達到帶動文創產業發展之效。 　　2.為捐贈、購買或其他可促進文創產品創作、或舉辦文創活動所支出之費用 　　營利事業之捐贈、購買標的，包括文創產品或服務，以及可促進文創產品創作之行為（例如成立育成中心），以及舉辦文創活動（如對公眾公眾舉辦之展覽、表演、映演）等。 　　3.捐贈或購買對象應為文化創意事業 　　營利事業所捐贈或購買的對象應限定為文化創意事業，其範圍依照文化創意產業發展法第4條規定，係指從事文化創意產業之法人、合夥、獨資或個人。 　　因此，本案捐助對象為財團法人國家電影中心，亦為從事文創產業活動之事業，其費用雖非為購買特定產品、服務或捐贈特定活動，惟具備促進文創產品創作之效用，與文創法第26條鼓勵企業資源挹注文創產業之立法意旨相符，應有同條第1項第4款之適用。 參、結語 　　為善用民間企業挹注文化創意產業發展，文化創意產業發展法26條以認列損失或費用之方式，鼓勵民間營利事業購買文化創意事業之原創產品與服務，或贊助偏遠地區舉辦之文化創意活動，以及捐贈文化創意事業成立育成中心。其捐贈總額在新台幣1千萬元或所得額10%之額度內，以額度較高者為準，得列為當年度費用或損失，以租稅優惠作為營利企業團體支持文化創意產業之誘因。本案的捐贈金額並未超出文創法第26條的限額，若經主管機關認定為可認列之費用，其稅賦優惠其實與適用所得稅法第36條第1款以專案核准方式辦理相同，惟捐贈人所需考量者，在於上述二個租稅優惠途徑的申請程序繁簡與獲准機會。 　　台灣正面臨產業轉型階段，文化創意產業若干的活動（如設計、廣告、出版、文化等），可以提供製造業周邊服務並提高其附加價值，將是台灣未來升級轉型的希望所冀。從我國科技產業發展歷程觀之，運用租稅獎勵政策工具以發展特定產業，其成效卓著已獲得印證。為動文創產業發展，文創主管機關勢必會妥善利用租稅獎勵政策工具，因此以簡便且較容易獲租稅優惠角度來看，只要金額未超過限制，對於財團法人的文創活動捐贈，建議優先嘗試適用文創法第26條規定。 附錄一：財政部依所得稅法第36條第1款專案核准之函釋 【財政部 103.2.06. 臺財稅字第10304516880號函】 營利事業對財團法人法律扶助基金會之捐贈，可依所得稅法第36條第1款規定，列為當年度費用或損失，不受金額之限制。 【財政部 92.06.16. 台財稅字第 0920454411 號函】 營利事業對財團法人中央廣播電台之捐贈，准依所得稅法第三十六條第一款規定列為當年度費用或損失，不受金額之限制。 【財政部 92.04.09. 台財稅字第 0920452425 號】 設立財團法人證券人及期貨交易人保護中心之捐助款，准列為當年費用或損失，不受金額限制。 【財政部 90.11.09. 台財稅字第 0900457122 號】 金融機構對財團法人中小企業信用保證基金之捐助准列為當年度費用或損失，不受金額限制。 【財政部 85.12.19. 台財稅字第 851172920 號】 營利事業或個人對財團法人中央通訊社之捐贈，可依所得稅法規定認列費用或列報扣除額。 【財政部 80.10.21. 台稅一發字第 800739322 號】 對海華文教基金會之捐款得限額列為費用。 [1]大法官釋字第508號解釋理由書（節錄）：「…從立法技術而言，立法常有例示規定與概括規定並存，乃因一規範概念所得涵攝之事物類型不夠明確或範圍廣泛，立法者以例示規定表現此類型之典型社會事實，並輔以概括性規定以免繁複或掛一漏萬。對概括性規定之解釋適用，即必須從相關例示規定中探尋事物之共同特徵，以確認所欲規範的事物類型究竟為何？然後，再行判斷系爭事實是否具備這些共同特徵而為所欲規範之事物類型所涵蓋，如此方有引用概括規定之餘地。」