美國《雲端法》（CLOUD Act）

淺談美國與日本遠距工作型態之營業秘密資訊管理 資訊工業策進會科技法律研究所 2022年05月18日 　　根據2021年5月日本總務省所公布之《遠距工作資安指引》第5版，近年來隨著科技的進步，遠距工作在全球越來越普及，過去將員工集中在特定辦公場所的工作型態更是因為COVID-19帶來的環境衝擊，使辦公的地點、時間更具有彈性，遠距工作模式成為後疫情時代的新生活常態。 　　因應資訊化時代，企業在推動遠距工作時，除業務效率考量外，更需注意資安風險的因應對策是否完備，例如員工使用私人電腦辦公時要如何確保其設備有足夠的防毒軟體保護、重要機密資訊是否會有外洩的風險等。 　　本文將聚焦在遠距工作型態中，因應網路資安管控、員工管理不足，所產生的營業秘密資訊外洩風險為核心議題，研析並彙整日本於2021年5月由日本總務省所公布之《遠距工作資安指引》第5版[1]，以及美國2022年3月針對與遠距工作相關判決Peoplestrategy v. Lively Emp. Servs.之案例[2]內容，藉此給予我國企業參考在遠距工作模式中應注意的營業秘密問題與因應對策。 壹、遠距工作之型態 　　遠距工作是指藉由資訊技術(ICT Information and Communication Technology)，達到靈活運用地點及時間之工作方式。以日本遠距工作的型態為例，依據業務執行的地點，可分為「居家辦公」、「衛星辦公室辦公」、「行動辦公」三種： 1.居家辦公：在居住地執行業務的工作方式。此方式因節省通勤時間，是一種有效兼顧工作與家庭生活的工作模式，適合如剛結束育嬰假而有照顧幼兒需求的員工。 2.衛星辦公室（Satellite Office）辦公：在居住地附近，或在通勤主要辦公室的沿途地點設置衛星辦公室。在達到縮短通勤時間的同時，可選擇優於居住地之環境執行業務，亦可在移動過程中完成工作，提高工作效率。 3.行動辦公：運用筆記型電腦辦公，自由選擇處理業務的地點。包含在渡假村、旅遊勝地一邊工作一邊休假之「工作渡假」也可歸類於此型態。 貳、遠距工作之風險及其對策 　　遠距工作時，企業內外部資訊的交換或存取都是透過網際網路執行，對於資安管理不足的企業來說，營業秘密資訊可能在網路流通的過程中受到惡意程式的攻擊，或是遠距工作的終端機、紀錄媒體所存入的資料有被竊取、遺失的風險。例如商務電子郵件詐欺（Business Email Compromise，簡稱BEC）之案例，以真實CEO之名義傳送假收購訊息，藉此取得其他公司之聯絡資訊。近年來BEC的攻擊途徑亦增加以財務部門等資安意識較薄弱的基層員工為攻擊對象的案例[3]。 　　由於員工在遠距工作時，常使用私人電腦或智慧型手機等終端機進行業務資料流通，若員工所持有的終端機資安風險有管控不佳的情況，即有可能被間接利用作為竊取企業營業秘密資訊之工具。例如2020年5月日本企業發生駭客從私人持有之終端機竊取員工登入企業内網的帳號密碼，再以此做為跳板，進入企業伺服器非法存取企業之營業秘密資訊，造成超過180家客戶受到影響[4]。 　　關於遠距工作網路資安的風險對策，在技術層面上，企業可使用防毒軟體或電子郵件系統的過濾功能，設定遠距工作之員工無法開啟含有惡意程式的檔案，或是透過雲端服務供應商代為控管存取資料之驗證機制，使遠距工作的過程中不用進入企業内網，可直接透過雲端讀取資訊。另外，建議企業將資訊依照重要程度作機密分級，並依據不同分級採取不同規格的保密措施。例如將資料分成「機密資訊」、「業務資訊」、「公開資訊」 三個等級[5]，屬營業秘密、顧客個資等機密資訊者，應採取如臉部特徵辨識、雙重密碼認證等較高規格的保密措施[6]。在內部制度面上，企業則可安排定期遠距工作資安教育訓練、將可疑網站或郵件資訊刊登在企業電子報、公告提醒員工近期資安狀況；甚至要求員工在連結企業内網或雲端資料庫時，須使用資安管理者指定的方法連結，未經許可不得變更設定。 　　除上述網路資安的風險外，員工管理問題對於企業推動遠距工作是否會導致營業秘密資訊洩漏有關鍵性的影響。因此，企業雇主與員工在簽訂保密協議時，雙方皆需要清楚了解營業秘密保護的標準。以美國紐澤西州Peoplestrategy v. Lively Emp. Servs.判決為例，營業秘密案件的裁判標準在於企業是否已採取合理保密措施[7]。如果企業已採取合理保密措施，而員工在知悉(或應該知悉)有以不正當手段獲得營業秘密之情事，則企業有權要求該員工承擔營業秘密被盜用之賠償責任[8]。在本案中，原告Peoplestrategy公司除了要求員工須簽屬保密協議外，同時有採取保護措施，禁止員工將公司資訊存入筆記型電腦，並且要求員工離職時返還公司所屬之機密資訊，並讀取資訊的過程中，系統會跳出顯示提醒員工有保密義務之通知，故法院認定原告有採取合理的保護措施，保護機密資訊的秘密性[9]。與之相反，Maxpower Corp. v. Abraham案例中，原告僅採取一項最基礎的保密措施(設置電腦設備讀取權限並要求輸入密碼)，且與其員工簽訂保密協議中缺乏強調保密之重要性、未設立離職返還資訊之程序，故法院認定原告所採取之管控機制未能達到合理保密措施[10]之有效性。 　　藉由前述兩件判決案例，企業在與員工簽屬保密協議時，應向員工揭露企業的營業秘密保密政策，並說明希望員工如何適當處理企業所屬的資訊，透過定期的教育訓練宣導機制，以及員工離職時再次提醒應盡之保密義務。理想上，企業應每年與員工確認保密協議內容是否有需要配合營運方向、遠距工作模式調整，例如員工因為遠距工作使工作時間、地點的自由度增加，是否會發生員工接觸或進一步與競爭對手合作的情形。對此，企業應該在保密協議中訂立禁止員工在企業任職期間出現洩露公司機密或為競爭對手工作之行為[11]。 參、結論 　　以上概要說明近期美國和日本針對遠距工作時最有可能產生營業秘密資訊管理風險的網路資安問題、員工管理問題。隨著後疫情時代發展，企業在推動遠距工作普及化的過程中，同時也面臨到營業秘密管控的問題，以下以四個面向給予企業建議的管控對策供參。 （一）教育宣導：企業可定期安排遠距工作資安教育訓練，教導員工如何識別釣魚網站、BEC等網路攻擊類型，並以企業電子報、公告提醒資安新聞。另外，規劃宣導企業營業秘密保密政策，使員工清楚應盡的保密義務，以及如何適當處理企業的資訊。 （二）營業秘密資訊管理：企業應依照資訊重要程度作機密分級，例如將資訊分成「機密資訊」、「業務資訊」、「公開資訊」三個等級，對於機密資訊採取如臉部特徵辨識、雙重密碼等較嚴謹的保密措施。其中屬於秘密性高的營業秘密資訊則採取較高程度的合理保密措施，以及對應其相關資料應審慎管理對應之權限、存取審核。 （三）員工管理：企業在最理想的狀況下，應每年與員工確認保密協議的約定內容是否有符合業務營運需求(例如遠距工作應執行的保密措施)，並確保員工知悉要如何有效履行其保密義務。要求員工在處理營業秘密資訊時，使用指定的方式連結企業内網或雲端資料庫、禁止員工在職期間或離職時，在未經許可之情況下持有企業的營業秘密資訊。 （四）環境設備管理：遠距工作時在技術管理上最重要的是持續更新資安防護軟體、防火牆等阻隔來自於外部的網路攻擊，避免直接進入到企業內部網站為原則。同時，需確認員工所持有的終端機是否有資安風險管控不佳的風險、以系統顯示提醒員工對於營業秘密資訊應盡的保密義務。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]〈遠距工作資安指引〉第5版，總務省，https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/ (最後瀏覽日：2022/04/27）。 [2]Karol Corbin Walker, Krystle Nova and Reema Chandnani, Confidentiality Agreements, Trade Secrets and Working From Home, March 11, 2022, https://www.law.com/njlawjournal/2022/03/11/confidentiality-agreements-trade-secrets-and-working-from-home/ (last visited April 27, 2022). [3]同前揭註1，頁99。 [4]同前揭註1，頁103。 [5]同前揭註1，頁73。 [6] Amit Jaju ET CONTRIBUTORS, How to protect your trade secrets and confidential data, The Economic Times, March 05, 2022, https://economictimes.indiatimes.com/small-biz/security-tech/technology/how-to-protect-your-trade-secrets-and-confidential-data/articleshow/90010269.cms (last visited April 27, 2022). [7]Sun Dial Corp. v. Rideout, 16 N.J. 252, 260 (N.J. 1954). Karol Corbin Walker et al., supra note 2 at 3. [8]18 U.S.C.§1839(5). Karol Corbin Walker et al., supra note 2 at 3. [9]Peoplestrategy v. Lively Emp. Servs., No. 320CV02640BRMDEA, 2020 WL 7869214, at *5 (D.N.J. Aug. 28, 2020), reconsideration denied, No. 320CV02640BRMDEA, 2020 WL 7237930 (D.N.J. Dec. 9, 2020). Karol Corbin Walker et al., supra note 2 at 3. [10]Maxpower Corp. v. Abraham, 557 F. Supp. 2d 955, 961 (W.D. Wis. 2008) Karol Corbin Walker et al., supra note 2 at 3. [11]Megan Redmond, A Trade Secret Storm Looms: Six Steps to Take Now, JDSUPRA, March 07, 2022, https://www.jdsupra.com/legalnews/a-trade-secret-storm-looms-six-steps-to-6317786/ (last visited April 27, 2022).

我國財政部已確定共享停車位得適用自住稅率 資訊工業策進會科技法律研究所 法律研究員　劉彥伯 2018年08月17日 壹、事件摘要 　　隨著世界各國智慧城鄉興起的洪流撲面而來，共享經濟的議題亦隨處可見，其中共享停車位在各國更是屢見不鮮且有相當發展之模式。然而在我國則因土地稅法第16條、房屋稅條例第5條第1項第2款，分別就非自用住宅用地與非住家用房屋課與較自用者為高之稅率[1]，共享停車位之發展亦因此受到阻礙；據此，為使民眾出外上班或其他原因而閒置的停車位共享，以求停車位獲得使用的最大效率，國家發展委員會（下稱國發會）廣邀交通部、財政部等權責機關對此新興商業模式進行法規鬆綁討論，嗣後財政部認為停車位若符合特定條件之共享停車位，則仍得適用較為優惠之自住稅率，以鼓勵停車位所有權人適度的釋出停車空間供有需要的人使用[2]。 貳、重點說明 　　為通盤了解自用住宅用地（地價稅）、住家用房屋（房屋稅）優惠稅率對共享停車位經營模式的影響，謹就相關法律議題分點論述： 一、與他人共享停車位實質上為出租停車位予他人 　　停車位所有權人將其因上班或外出等其他因素而閒置之自用停車位，供人得以使用該停車位停放車輛並收取相當對價，依民法第421條規定，是停車位所有權人與使用者間應就該停車位成立租賃契約[3]，惟共享停車位與常見的月租停車位似略有不同，關鍵在於所有權人僅就閒置期間出租，而較月租者時間短暫許多，不過二者間之基礎法律關係並無差異。 二、出租停車位予他人原先無法適用自用住宅、房屋等優惠稅率 　　若房屋所有權人[4]將其所有權範圍內的停車位出租予他人使用，則非屬單純供自用而居住，依自用住宅用地稅率課徵地價稅認定原則中要求「無出租或供營業用」之情形[5]，則須依土地稅法第16條課徵一般地價稅，即以千分之十為基本稅率且須累進課徵，而無法適用自用住宅用地較為優惠的千分之二稅率；此外，前開出租停車位情形依房屋稅條例第5條第1項第1款、同條第2項、住家用房屋供自住及公益出租人出租使用認定標準第2條第1款等規定，則不符自住或公益出租等情事，則須依同條項第2款課與百分之三以上之稅率，而無法適用同條項第1款較為優惠的百分之一點二稅率。 三、共享停車位之特殊性 　　觀諸國際上共享停車位的成功運作案例，如英國的JustPark[6]、美國洛杉磯的Pavemint[7]等平台，不難發現重點皆在有效促進停車位的使用效益最大化，包含給予停車位所有權人彈性選擇出租時段的權利、便利收費機制等，方便有停車需求的人使用閒置停車位，反觀我國共享停車位之發展，卻受限於前開課稅差異，大幅降低停車位所有權人釋出閒置期間租人使用，故財政部就此議題的課稅鬆綁，實質上為共享停車位的商機、運作模式開了一扇大門。 　　然而，既稱「共享停車位」，雖其本質上仍為停車位的租賃關係，但因其僅就自用停車位閒置期間出租，故具有活絡閒置停車位之特性，並促進改善都市空間停車位不足之問題，換言之，此類共享模式之租賃時間應較一般月租車位者短暫，若我國地價稅或房屋稅欲對停車位所有權人給予優惠稅率，亦應有此意識或限制，若無，則與「共享」二字背道而馳，如此將使有心人士得以披上共享外衣，行長期租賃之實，同時享有優惠稅率，反而使促進社會發展的善舉淪為避稅的保護傘。 四、我國財政部現行措施 　　為使共享停車位模式得以在我國順利發展，我國財政部在國發會發起的跨部會協調後，於2018年08年14日發出台財稅字第10704600150號令[8]，確定自用停車位在閒置時間供不特定人使用，得繼續適用自用稅率，但供不特定人共享之時數，地價稅限每年2,880小時以下、房屋稅以每月限240小時以下，逾越時數的當年或當月則不適用前開較為優惠的自用稅率；另外，就共享時數的限制，臺北市政府於稍早的同年06月29日發布的「試辦車位媒合服務業者申請停車場登記證計畫」第五點實施條件第一款亦有類似規範[9]，惟無論何者，「共享時數」的限制基礎，是以每日平均8小時為基準，以維護「共享」作為一般租賃關係的特別樣態。 參、事件評析 　　前開財政部共享停車位之措施，具有以下的助益以及正面意涵： 一、提升停車位所有權人加入共享停車位行列的意願 　　在財政部為前開稅率鬆綁前，一般民眾將自用停車位釋出共享與否，首先會考量到的自身成本，申言之，只要在閒置時段出租自用停車位，不論時間長短，即不符自用，故須受到較高稅率課徵地價稅、房屋稅，因此大幅降低停車位所有權人共享的意願，然而前開措施運行後，至少排除此稅捐負擔考量，理應可提升停車位所有權人加入共享的行列，據此，亦至少帶來以下優點： （一）使閒置的財產資源得以更有效的利用 　　停車位所有權人因上班或其他因素外出而使其自用停車位閒置，且基於所有權之權能[10]而原則上無人得使用該停車位（除非另有法律關係），致其使用效率十分有限，因此財政部前開措施鼓勵停車位所有權人就其自用停車位閒置時間出租，一方面可以增加停車位所有權人的收入，更重要的是使該車位在更多的時間下可以得到妥適利用。 （二）有效舒緩都會地區車位難求之困境 　　在現今都會生活中，因人數過於龐大，而車位需求供不應求，致都會地區的車位一位難求，甚至可能因尋覓車位而造成交通堵塞、無謂的碳排放等負面結果，而財政部前開措施鼓勵停車位所有權人就其自用停車位閒置時間出租，使停車位供應量提升，理應可以改善都會區車位難求、因尋覓車位而生之堵塞或無謂碳排放等窘境。 二、為我國共享經濟發展邁進一大步 　　近年來智慧城鄉的議題在世界各國發酵，而共享經濟也將帶給居民更便利的生活，故為其中一個重要的應用面向，對此我國就共享停車位議題，國發會為了促成並鼓勵公眾就其自用停車位釋出，特別廣邀相關權責政府機關如交通部、財政部進行跨部會的協調，而分別就交通管理、稅務課徵等部分作出了適度鬆綁，減輕大眾成為停車位出租人的負擔，並做出相對應的條件要求作為衡平，故此種作法應可作為共享經濟發展的指標，亦可作為智慧城鄉其他應用項目對於現行法規限制調適的做法參考。 [1] 土地稅法第17條、房屋稅條例第5條第1項第1款。 [2] 〈共享停車位符合一定要件者，得繼續適用原經核准之稅率徵免地價稅及房屋稅〉，中華民國財政部，https://www.mof.gov.tw/Detail/Index?nodeid=137&pid=80420 （最後瀏覽日：2018/08/17）。 [3] 64年台上字第424號判例。 [4] 多數情形下，取得房屋所有權時，亦會取得部分基地所有權，即便是區分所有權亦同，故此部分不另外分別論述。 [5] 適用自用住宅用地稅率課徵地價稅認定原則第3點。 [6] JustPark, https://www.justpark.com (last visited Aug. 17, 2018). [7] PAVEMINT, https://www.pavemint.com (last visited Aug. 17, 2018). [8] 〈內地稅新頒函釋- 共享停車位符合一定要件者，得繼續適用原經核准之稅率徵免地價稅及房屋稅。〉，財政部賦稅署 法規查詢主題專區，https://law.dot.gov.tw/law-ch/home.jsp?id=18&parentpath=0,7&mcustomize=newlaw_view.jsp&dataserno=201808140001 （最後瀏覽日：2018/08/17）。 [9] 〈試辦車位媒合服務業者申請停車場登記證計畫〉，臺北市政府，https://www-ws.gov.taipei/Download.ashx?u=LzAwMS9VcGxvYWQvNDU1L3JlbGZpbGUvMTAxNjIvNzkxMDA1OS8zZDM5Yjg5Yy00ZGNhLTQ2OTMtYmE2Yy0zMzAwMGQzNzQ1NjIucGRm&n=MTA3MDgxNuiHuuWMl%2bW4guWBnOi7iueuoeeQhuW3peeoi%2biZleaWsOiBnueovyjpmYTku7YxKe%2b8jeippui%2bpui7iuS9jeWqkuWQiOacjeWLmealreiAheeUs%2biri%2bWBnOi7iuWgtOeZu%2biomOitieioiOeVqy5wZGY%3d&icon=..pdf （最後瀏覽日：2018/08/17）。 [10] 民法第765條。

　　紐約市議會於2021年11月10日通過紐約市行政法規的修正法案，未來將禁止雇主使用未通過偏見審計（bias audit）的「自動化聘僱決策工具（Automated Employment Decision Tools）」，避免因為自動化工具導致的偏見與歧視，不當反映於雇主的最終聘僱決策。 　　於該法所定義之「自動化聘僱決策工具」，係指透過機器學習、統計模型、數據分析或人工智慧之運算，以實質性協助或取代決策過程，影響最終聘僱決定。而聘僱決定包含篩選應徵者以及對員工作成是否晉升之結果。偏見審計由獨立審計員針對自動化聘僱決策工具進行測試，藉以評估該自動化聘僱決策工具對於雇主依法應申報資訊的影響，例如是否影響及如何影響員工性別、族裔、職位、職務等特徵分布情形。該法並規定雇主或職業介紹機構只有在滿足以下條件的前提下，始得使用自動化聘僱決策工具，包括： 一、通過審計義務：自動化聘僱決策工具須於1年之內通過偏見審計（bias audit）。在使用該工具前，應將該最新審計結果摘要及該工具發行日公告於雇主或職業介紹機構的網站上。除非另有規定，如未有公告，應徵者或員工得提出書面要求雇主於30日內提供自動化聘僱決策工具所收集的數據類型、來源及雇主或職業介紹機構之數據保留政策之相關資訊。 二、通知義務：如欲使用自動化聘僱決策工具對居住在紐約市的員工或應徵者進行評估時，雇主應於使用前的10個工作日內通知該員工或應徵者，且應通知用於評估時所使用之工作資格或特質等參數，並允許應徵者或員工申請以替代方式進行評估。 　　如雇主或職業介紹機構違反上開規定，第一次違反者將承擔500美元的民事懲罰（civil penalty），如連續違反者，對於之後的違反將承擔500至1500美元不等。目前該法案仍待市長簽署，該法案如經市長簽署通過，將於2023年1月1日生效。

　　英國資訊委員辦公室（Information Commissioner’s Office, ICO）於2020年4月17日，依據英國資料保護法（Data Protection Act 2018）第115條第3項第b款之授權，針對2020年4月10日Apple和Google因應COVID-19疫情發表之「接觸史追蹤應用程式框架」（Contacting Tracing Framework, CTF），發布意見報告。報告認為，由於CTF具備以下三大特性：（1）不會在裝置間交換個人資料，如帳戶資訊或使用者名稱；（2）配對過程僅在裝置本身進行，並不會有如應用程式伺服器之第三方介入；（3）不需要地理位置資訊就能順利運作，因此符合英國資料保護法第57條有關「透過設計並作為預設以保護個人資料」（Data protection by design and default）之規定。 　　縱然CTF符合英國資料保護法之規定，英國資訊委員辦公室仍於報告中指出：「未來軟體開發商若於接觸史追蹤應用程式中使用CTF技術，該應用程式於處理使用者之個人資料時，仍應隨時符合英國資料保護法關於透過設計並作為預設以保護個人資料之規定。」COVID-19疫情席捲全球，如何於「掌握感染者接觸史以預防疫情擴散」與「保障個人資料及隱私」間取得平衡，實為各國政府需考量之重要議題。我國人工智慧實驗室於2020年4月開發之「社交距離App」，便是使用類似Apple和Google之CTF技術。此份英國資訊委員辦公室意見報告，等於針對社交距離App是否侵害隱私權益，提供相當解答與指引。