歐盟《歐洲資料戰略》
歐盟執委會針對未來10年歐洲AI開發與開放資料運用方向等核心議題,於2020年2月19日公布一系列數位化政策提案,其中之一即為提出歐洲資料戰略(European Data Strategy)。本戰略提出資料開放共享政策與法制調適框架,宣示其目標為建構歐洲的資料單一市場(single market for data),視資料為數位轉型的核心,開放至今尚未被使用的資料。歐盟期待商界、研究者與公共部門等社群的公民、企業和組織,得透過跨域資料的蒐集與分析,改善決策的作成基礎或提升公共服務品質,為醫療或經濟等領域帶來額外利益,同時促進歐盟推動人工智慧發展及應用。
本戰略揭示了資料單一市場的建構框架,包含資料必須能在歐盟內與跨域流通並使所有人受益、全面遵守如個資保護、消費者保護與競爭法等歐盟相關規範、以及資料取用(access)和使用的規定,應平等實用且明確,並以之建立資料治理機制;同時,為在技術面強化歐洲數位空間之能力,以完善資料共享所需之資料基礎設施,應創建歐洲資料庫(European data pools),預備將來進行巨量資料分析與機器學習。在上述框架下,本戰略同時擬定了數個具體的措施與制度調修方向如下:(1)建構資料跨部門治理與取用之法規調適框架:包括於2020年第4季提出歐洲共同資料空間管理之立法框架,於2021年第1季提出高價值資料集(high-value data-sets),評估於2021年提出資料法(Data Act)以建構企業對政府或企業間的資料共享環境、調適並建立有利於資料取用之智慧財產權與營業秘密保護框架;(2)強化歐洲管理、處理資料之能力與資料互通性:建構資料共享體系結構並建立共享之標準及治理機制、於2022年第4季啟動歐洲雲端服務市場並整合所有雲端服務產品、於2022年第2季編纂歐盟雲端監管規則手冊;(3)強化個人有關資料使用之權利:從協助個人行使其所產出資料相關權利之角度,可能於資料法中優化歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第20條之資料可攜權,如訂定智慧家電或穿戴裝置之資料可讀性格式;(4)建構戰略領域與公共利益領域之歐盟資料空間:針對戰略性經濟領域與攸關公共利益的資料使用需求,開發符合個資保護與資安法令標準之資料空間,主要用於保存製造業、智慧交通、健康、財務、能源、農業、公共管理等領域之資料。
本文為「經濟部產業技術司科技專案成果」
劉純妤
法律研究員 編譯整理
施雅薰,〈美國聯邦資料戰略〈2020年行動計畫〉資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=67&tp=5&d=8390(最後瀏覽日:2020/03/20)。
李科逸。〈歐盟2014個人資料保護日,倡議資料可攜權及個資規範革新〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&i=144&d=6469(最後瀏覽日:2020/03/20)。
從日本山崎案[1]談營業秘密不法取得之管理 資策會科技法律研究所 法律研究員 駱玉蓉 105年05月25日 壹、前言 為強化營業秘密的保護,日本從2003年開始,於不正競爭防止法(以下稱本法)中導入刑事保護的相關條文,爾後經過多次修法,在2011年調整刑事訴訟程序的同時,於本法導入了即使行為者不使用或揭露所示的營業秘密,但只要以獲取不當利益為目的,且「以複製」等方式「取得營業秘密」,亦為刑事處罰的對象[2]。2014年名古屋地院的日本山崎Mazak案件(ヤマザキマザック事件,以下稱本案)則是在此修法背景中,於少數公開判決中最先單獨引用該法條的案件。 面對層出不窮的營業秘密侵害案件,為遏止及處罰不法取得、使用或洩漏他人營業秘密的行為,我國營業秘密法亦於2013年的修法中增訂侵害營業秘密的刑事責任,將「知悉或持有營業秘密,未經授權或逾越授權範圍而重製、使用或洩漏該營業秘密」的行為[3]納入刑罰範疇,以期可有效遏阻營業秘密侵害案件。 有鑒於營業秘密外洩情形與不法取得手法的多變,本文將先從本案營業秘密侵害行為、存取/接觸權限控管的漏洞出發,接著探討應如何從控管員工的接觸/存取權限以強化營業秘密的保護,最後從落實營業秘密管理的面向,彙整本案受法院判決肯定之營業秘密保護措施及可進一步強化之配套,期給予我國企業營業秘密管理的省思。 貳、事件概要 中國大陸籍的被告Y,於2006年4月進入工具機大廠山崎Mazak(以下簡稱原告公司)任職,於2011年8月轉調連結業務部門與研發部門的業務技術部,於2012年3月因獲得其他公司聘書而提出離職申請,預定離職日為同年4月20日。 檢察官於一審的起訴內容提到,被告Y在無業務需求的狀況下,將三萬件以上的設計圖面等由公司內部伺服器下載至私人硬碟中,更於提出離職的當月,下載約一萬件與轉職企業相關機種的設計圖面等技術資料。雖然被告Y辯稱取得該等資料的目的在於工作上的學習需求,但根據被告Y與其中國大陸友人的往來訊息可知被告Y亟欲脫手所取得的技術資料以換取現金。 原告公司在本案當時,對技術資料的權限控管為將技術資料儲存在公司內部伺服器的資料夾內,僅業務上有需要的員工才能進行存取、下載,此外,原告公司配發給員工的業務用電腦亦設定有員工個人的帳號、密碼來進行認證,並藉由IP位址來辨識存取網路資料的員工所屬部門及該員工的存取權限。有關前述IP位址的分配,為一個部門配發255個IP位址對應255台電腦,當一部門未達255台電腦時,將會有未被電腦對應的IP位址存在,被告Y便是將自己電腦的IP位址切換成未被電腦對應的IP位址,再進行檔案的存取與複製。經由上述一連串的證據與事實證明,一審法院認定被告Y以不當得利為目的而複製(取得)原告公司的營業秘密,處以拘役兩年、併科罰金50萬日幣的判決。 參、判決評析 從本案可知,原告為保護其營業秘密,針對存取/接觸營業秘密者設有相關限制管理。亦即,藉由IP位址辨識存取網路資料的員工所屬部門及存取權限,再透過存取權限的帳號、密碼進行認證管理,該種管理方式立意良好,但在實施時,卻因為有未被電腦對應的IP位址存在,而讓被告Y取巧以切換IP位址的方式逾越權限接觸並取得原告公司的營業秘密。此外,雖然原告公司有留存電腦log紀錄,因而最後能證明被告Y曾進行六千次以上的資料存取,但若能在事前做好防備,強化管理措施,例如禁止濫用IP位址越權存取或限定存取次數等方式,增加意圖竊取營業秘密者的取得困難,相信能更遏阻潛在或食髓知味的不法行為。 以下從本案原告公司對於員工接觸權限的控管為啟發,例示限制員工存取/接觸營業秘密,可採取的強化對策。 一、適當賦予一定範圍之存取/接觸權。 例如在企業的研發單位,可依專案或產品線而拆分成多個範圍,依據範圍設定可存取/接觸的權限,藉此可避免出現如本案中,僅限定存取/接觸權、卻未區分範圍,導致一人手持帳號密碼便可通行無阻存取/接觸全部資料,造成外洩時損害程度的提高。 二、在上述對策一的基礎上,於資訊系統中註冊存取/接觸權者的帳號。 除了落實一帳號一密碼的原則,針對單一帳號的存取/接觸權限來限制其可閱覽、存取的資料範圍或內容外,若是員工有離職、轉調等情況時,亦要配合以刪除ID、更改存取/接觸權限的方式來應對,避免如本案因作業方便而導致有空的IP位址等開後門的情況,而造成營業秘密管理功虧一簣。 三、以區分保管來限制對營業秘密的存取/接觸權限。 區分保管可大分為「空間分離保管」以及「資料區分保管」。以空間分離保管為例,可依進出人員區分為訪客可進入的區域、持有門禁卡員工均可進入的區域、僅限定該部門員工才可進入的區域、針對保管高機密性資訊區域,實施指紋等生物認證的門禁管制。而以資料區分保管為例,常見的做法有高機密性文件與一般文件區分保管。 例如在本案中,隸屬於業務技術部的人員,便不應該擁有自由存取/接觸其他部門—研發部門之研發資料的權限,建議企業可透過前述的空間分離保管、資料區分保管,兩種方式雙管齊下,實施跨部門資料存取權限的控管。 四、禁用私人紀錄媒體、落實紀錄媒體的使用及保管。 嚴禁使用外接式的私人紀錄媒體,企業除了須備足員工所需的紀錄媒體之外,更需制訂與落實紀錄媒體的使用及保管措施。在本案中,即因原告公司當時的業務技術部部長(下稱部長Q)發現到部門內的紀錄媒體使用不受控管,導致私人紀錄媒體濫用的現象,便於其轄下部門制定如:建立可攜式紀錄媒體管理清單及使用規定,落實借出/返還管理、以及明訂禁止攜入或使用私人的外接式紀錄媒體的規範等,法院因而認定原告公司已採取合理保密措施。 然而,除了明定紀錄媒體的禁止使用或限制使用等規定外,還應透過週會、組會、課程宣導等方式周知可攜式紀錄媒體的使用規則,同時透過定期稽核確保該使用規則的確實執行,避免徒有管理規範卻未落實控管。 肆、結論 本案原告公司雖明定營業秘密相關的管理規定,例如權限設定、禁用私人紀錄媒體、公司紀錄媒體使用及保管等各種管理措施,而在本案獲得勝訴判決。但除了管理措施有可強化之處外,主要的原因仍發生於管理機制於實際運作上未嚴格落實,而有部門員工長期持有企業配置的硬碟與USB隨身碟而未歸還,甚或違反禁止使用私人可攜式紀錄媒體的規定,使用私人硬碟等的狀況,造成被告Y有機可乘使用私人硬碟儲存原告公司上萬筆設計圖面等資料。 從此可知,即便企業已建立各種營業秘密相關的管理措施,仍須定期追蹤掌握管理機制的落實,例如定期內部檢視和外部稽核、不定期抽查員工電腦使用紀錄等,確保營業秘密的有效管理。同時間,企業亦應隨時預警任何不符規定的異常警報,透過log異常行為的警示設定,提早發現問題並採取證據保全措施,將營業秘密外洩風險或損害降至最低。 企業歷經營業秘密的盤點、分級、達成管理措施共識,到形成各部門遵循的管理制度等繁複流程,始確認營業秘密保護標的及合法合理的管理措施,若是未落實執行管理,除了增加營業秘密外洩的風險,於後續訴訟階段也難以處於有利舉證的立場。所謂魔鬼藏在細節裡,無論是何種對策,確實落實而不流於形式,更是保護營業秘密的不二法則。 本文同步刊登於TIPS網站(http://www.tips.org.tw) [1] 名古屋地裁平成26年8月20日判決。 [2] 2011年日本《不正競爭防止法》第21條第1項第3款。 [3] 2013年我國《營業秘密法》第13條之1第1項第3款。
中國大陸國務院於2014年11月19日通過其《促進科技成果轉化法修正案(草案)》,並將提請全國人大常委會審議中國大陸國務院常務會議於2014年11月19日通過其《促進科技成果轉化法修正案(草案)》,並將提請全國人大常委會審議。本次修法重視「國家制定政策,充分發揮市場在科技成果轉化中的決定性作用,建立科技成果轉化市場導向機制和利益分配機制」,其中明文規定中國大陸國務院和地方各級人民政府應當加強財政、稅收、產業、金融、政府採購等政策,以強化科技成果轉化相關活動,推動科技與經濟結合,加速科學技術進步,實現創新驅動發展。 按中國大陸《促進科技成果轉化法》係於1996年10月1日施行,歷經2007年之修訂,共計6章37條。本次通過的修正草案,增加至9章58條,其中保留和擴充現行法13條,修改合併20條,刪除4條,新增29條。本次修法加大其政府對於科技成果轉化的財政性資金投入,並可引導其他民間資金投入。此外,本次修法也放寬中國大陸高等院校和重點研究院所之科技成果的歸屬,讓其能夠順利地轉化至民間企業。例如:草案第8條規定利用財政性資金設立的科研機構、高等學校可以採取合作實施、轉讓、許可和投資等方式,向企業和其他組織轉移科技成果,並且國家鼓勵這類機構優先向中小企業轉移科技成果。 另,草案第10條亦規定科研機構、高等學校對其依法取得的科技成果,可以自主決定轉讓、許可和投資,通過協定定價、在技術市場掛牌交易等方式確定價格。相關修正大幅放寬成果運用的彈性,惟科研機構、高等學校仍應依草案第14條規定,向主管部門提交科技成果轉化情況年度報告;主管部門應當將科技成果轉化情況納入對科研機構、高等學校的考核評價體系。 本次修法還有一個重點是放寬中國大陸科研機構的研究員及大學教授從事科技成果轉化活動。例如:草案第13條規定利用財政性資金設立的科研機構、高等學校應當建立符合科技成果轉化工作特點的職稱評定、崗位管理、考核評價和工資、獎勵制度。而草案第19條第一項規定,科研機構、高等學校科技人員可以在完成本職工作的情況下兼職從事科技成果轉化活動,或者在一定期限內離職從事科技成果轉化活動。同條第二項亦規定科研機構、高等學校應當建立制度規定或者與科技人員約定兼職、離職從事科技成果轉化活動期間和期滿後的權利和義務。 綜上,本次修法除強化中國大陸研發成果之運用外,更替中國大陸大學教授打開一條前往民間服務或創業的康莊大道,影響不可謂不大,但修正草案最後尚須經中國大陸全國人大常委會審議通過,將持續觀察審議之最終結果。
歐盟支付服務指令(PSD)將進行翻修,然而進程延宕歐盟執委會於2013年7月24日提出支付服務指令(Payment Service Directive,簡稱PSD,Directive 2007/64/EC)修正案,簡稱PSD2。最新消息指出,PSD2將無法在本屆歐洲議會審議完成,需於五月歐洲議會改選後,在新一屆的議會中再行審議。 PSD公布施行於2007年,該法降低支付服務市場新参進者(也就是非銀行業者)進入市場的困難度,活絡支付市場的競爭,提供消費者更多的選擇,並強化消費者保護。PSD讓「支付」在歐盟內更快更方便。 本次歐盟提出修正案,其修正目標包含: 一、提高歐盟支付市場的整合以及效率。 二、提升支付服務提供者(包含新参進者)的營運範圍。 三、確保強化消費者保護以及資訊安全。 四、鼓勵支付服務的減價。 五、促進共通技術規範以及互用性(interoperability)的形成。 實際做法,PSD2大致有以下修正重點: 一、因應科技發展及時代變遷,擴大適用範圍: (一)提出「第三方支付服務提供人(third party payment provider,簡稱TPP)」之名詞定義,並量身打造規範。原本PSD的附件(Annex)中關於「支付服務」定義,第七款「透過電信、數位或IT設備接收支付服務使用者的指示執行支付交易,而支付的進行也是透過電信或IT系統或網路營運人,而且只是擔任服務使用者與商品或服務提供人的中間媒介。」已可包含目前我國俗稱的第三方支付服務。本次PSD2則在第14條第11項中提出「第三方支付服務提供者」此名詞,對照於附件一(Annex I)第七款中,係指: 基於存取其他支付服務提供人之支付帳戶而提供下述服務- 1.發動支付服務; 2.帳戶資訊服務。」 例如透過TPP與銀行帳戶界接,從銀行帳戶扣款進行支付;或者是與信用卡界接,進行扣款。 依照PSD2,TPP為支付服務提供者(Payment service providers, 簡稱PSPs),因此也需要取得各國主管機關之許可方能進行營業。 (二)透過手機或者是其它IT裝置進行的行動支付,如果單筆支付金額超過50歐元,或者是月支付金額超過200歐元,也應適用PSD2。 二、強化資安要求: (一)歐盟將另提出「網路及資訊安全指令(Direvctive on Network and Information Security,簡稱NIS Directive)」,PSPs應遵循之。 (二)歐洲銀行管理局(European Banking Authority,簡稱EBA)將與歐洲央行(ECB)密切合作,提出資訊安全指導原則(guidelines),以輔導PSPs建立並執行、監控資安以確保PSPs符合資安事件處理要求。 三、強化消費者保護: (一)PSD對於支付服務應揭露資訊的規定只適用於支付全部在歐盟境內發生者,PSD2則要求對於涉及第三國以及外幣之交易,只要有任一支付服務提供者是在歐盟境內,都要適用。 (二)只要支付未經授權,應立即退款給付款方。 (三)保障無條件退款權,但是如果商品或服務已經完成消費則不在此限,例如下載的影片已經被觀賞完畢。 (四)無需另外授權的交易(如免輸入帳密之交易),額度從原本的150歐元下調為50歐元。 對於客訴爭議,PSPs應於15個工作日內以書面回覆。
美國國會通過700MHz D區段頻譜之規範為實施公共安全網路計畫,美國國會在2012年二月通過「2012年中產階級稅收減免及創造就業法案」(Middle Class Tax Relief and Job Creation Act of 2012),將700MHz頻段中既有存在之公共安全寬帶頻譜(763-769 MHz/793-799 MHz)與相鄰的D block的頻段(758-763MHz與788-793MHz)規劃成 「互通公共安全寬頻網路」(interopertable public safety broadband network),進行頻譜拍賣。 雖FCC經本法案授權執行D Block頻段的拍賣,但也限縮其職權規定FCC不得限制任何特定業者參與競標。針對FCC職權受到限制,業者認為可避免FCC在拍賣期間逕自訂定特別規則之情形。但法案仍保留FCC執行「普遍適用性的規定」(rules of general applicability)之權利,以頻譜聚合(spectrum aggregation)的規定促進市場競爭。對此,主導業者擔心FCC可能藉採取「頻譜上限」 (spectrum cap)的管制手段來限制其獲得大量頻譜的機會。 另外,面對全國性公共安全寬頻網路部署之需要,國會將授權行政部門建立「緊急救難管理局」(First Network Authority, FirstNet)來進行整體網路之開發規劃。在FirstNet尚未成立之前,FCC將暫時承擔此一過渡期間管理全國公共安全寬頻網路之責任。但FirstNet在未來是否能依照國會所期待順利掌管整體公共安全寬頻網路之運作,並達成建構一跨機關、部會以及區域的無縫互通寬頻網路平台(a nationwide interoperable public safety broadband network)之期望,FCC認為該局所任命之委員會委員所具備之專業度,以及各聯邦機構是否充分的支持將是成功之關鍵。