自資料流通機制建置擴大資料經濟市場

自資料流通機制建置擴大資料經濟市場

資訊工業策進會科技法律研究所
2020年03月25日

壹、事件摘要

  過往,我國之資料開放政策著力於「政府資料開放」,並將之提供予民眾及企業運用。推動上,提出主動開放,民生優先、制定開放資料規範、推動共用平台及示範宣導與服務推廣四大策略,整體成效斐然,已獲國際肯認。然而,伴隨網際網路資通訊技術的發展,智慧聯網技術的進步,人工智慧(artificial intelligence, AI)、物聯網(Internet of Things, IoT)、區塊鏈、AR/VR等涉及資料運用之新興科技相繼萌芽,觸發對資料的大量需求。

  特別是我國在新興科技領域之新創企業,為扣合「少量、多樣、個人化」的長尾型市場(Long Tail Market)發展趨勢,以形塑可應對少數大量應用、重視產品或服務客製化特性之商業模式[1],資料更是驅動其成長不可或缺的石油。只是勘查我國私部門資料開放現況,首先是《個人資料保護法》等法令遵循事宜,致使企業釋出資料意願較低;次者是跨國大企業資料霸權時代下,新創、中小企業難以在資料獲取上與之競爭;其三則是即便已有資料交易管道,仍尚乏可提升資料交易透明度、信任度及品質之措施可循。是以,亟待相應措施緩解上開問題。

  觀測國際間促進私部門資料釋出與流通之作法,一者係透過中介作為決定資料釋出與否之交易模式(如美國之資料仲介);二者係回歸資料自主理念,由個人決定資料是否釋出之形式(如歐盟My Data 、日本情報銀行)。為回應上開問題,本文擇定日本以個人為出發點之資料流通措施為例,研析其促進資料交易流通所採行之制度與服務模式,期能作為我國擬訂資料經濟促進措施時,可攻錯的他山之石。

貳、重點說明

一、日本情報銀行制度建立背景

  日本在資料流通與運用所面臨的挑戰,與我國同樣面臨個資法遵、資料交易信任度不足以及難與資料霸權者相競爭的困境。

  據研究顯示,單以日本100家主要的線上購物網站為對象調查,即有高達一半比例的業者將用戶資料與外部各方共享而未具體向用戶明示,甚至未提供用戶拒絕提供資料的方式。由於普遍發生個人資料由營運業者蒐集後,進行目的外利用,致使在資料共用及利用上,容易因為業者未充分解釋利用之資料內容及對用戶的好處,而降低用戶同意或協力提供資料之意願[2]。此外,日本也意識到多數資訊被GAFA(Google、Apple、Facebook、Amazon)等大型網路服務業者掌控,從而壓縮日本本土業者的生存空間 [3],為避免未來資料可能會被大型網路服務業者所壟斷,不利未來日本資通訊與數位化社會發展,日本政府認為有必要建立被個人信任的第三方制度協助處理資料,以鞏固國家資料價值發展能量。

  為此,日本提出情報銀行概念,並且由總務省與經濟產業省於2017年11月至2018年4月間相繼召開6次「資料信託功能認定機制檢討會」(情報信託機能の認定スキームの在り方に関する検討会),檢討具備資料信託功能之「情報銀行」認定基準及契約建議記載事項[4],期藉此機制形塑有利(個人)資料流通之模式[5]

二、日本情報銀行制度介紹

(一)情報銀行架構

  日本情報銀行架構係建立於其既有的PDS(Personal Data Stores)及資料交易市場平台之上。所謂PDS是由個人管理、儲存資料的機制,並可提供予第三方使用資料,還可分為由個人擁有終端載具,自行管理個人資料的分散型,以及由個人委託營運商(即提供服務之第三方)儲存與管理資料的集中型。至於資料交易市場,則係一種對供需雙方進行仲介,促使雙方通過買賣等方式進行交易之機制。是以,資料交易市場本身具有媒合之功能,但以匿名化資料及非屬個人資料為大宗。由於資料交易市場的仲介性質,須保持中立性,本身不會參與資料之蒐集、保存、處理和交易活動。

  情報銀行則是自資料交易市場衍生,同時結合了PDS之特性,因此資料銀行本身會進行資料的蒐集、保存、處理和交易行為,並根據與個人簽訂之契約,利用PDS系統管理個人資料,按個人指示或其預先設定之條件管理個人資料,必要時對資料作匿名化,以提供予第三方使用。

圖 1日本個人資料交易架構

資料來源: 21世紀政策研究所,データ利活用と產業化,2018年5月。

(二)情報銀行功能-資料信託

  情報銀行的建立,相當性地將顛覆過往GAFA(Google、Apple、Facebook、Amazon)公司的商業模式。

  透過情報銀行機制,過往資料持有業者提供匿名加工、統計資料交易模式下,所無法克服獲取個人同意的難題將可獲得解消。情報銀行基於以個人為中心的資料活用精神,導入「資料信託」作法大幅度提升個人資料利、活用之意願。

  資料信託之「信託」,並不一定係指法律上的信託概念,而是類似信託一樣的做法,係屬一種經濟關係,分別由信託人(資料主體)、受託人(資料銀行)及受益人(可能是信託人本人)所組成[6]。具體來說,信託人通過信託行為,預先指定或設定條件將其資料信託予受託人,並由受託人按信託人設定信託之目的,為其管理個人資料,並應善盡管理個人資料之義務。

  情報銀行以信託方式進行個人資料管理,可能從事個人資料匿名化、協助談判交易條件、監控資料使用方式、代收和管理使用費以及支付與管理個人利益[7]等五類事項。

(三)情報銀行之驗證系統與運作機制

  為確保資料流通基礎的安全性、資料流通情形揭露之透明性以及情報銀行業者之可靠性,總務省在2018年10月偕同日本IT團體聯盟組成「情報銀行推進委員會」,設計「情報信託機能驗證指引」(2018年6月發布第1版;2019年10月提出第2版)作為情報銀行驗證之基礎。只是,該驗證並不具強制性,未取得者仍可進行情報銀行之業務,僅係藉由驗證手段建立社會大眾對情報銀行之信心[8]。而就情報銀行的驗證基準,可分成業者資格、資料安全、資料治理及業務內容,分述如下:

  1. 業者資格:能擔保資料安全,具損害賠償能力的法人;
  2. 資料安全:須確保資訊安全與隱私受到足夠的保障,並定期更新隱私標章或驗證,以符合個資法與相關法規之要求;
  3. 管理體系:建立管理體系以明確管理職責,籌組「資料倫理審查會」,委員包括工程師、安全專家、法律從業者、資料倫理專家、消費者等,情報銀行並須定期向資料倫理審查會報告;
  4. 業務內容:情報銀行應明確揭示所開展業務,尤其是涉及個人資料範圍時,應揭示取得方法與使用目的。情報銀行在提供個人資料予第三方時,須明確對第三方的判斷標準、流程與使用目的。

  截至2020年2月為止,日本IT團體聯盟進行了三波情報銀行認定,共三井住友信託銀行、FiliCa Pocket Marketing、J.Score、中部電力株式會社等四家業者通過情報銀行認證[9]

  除了推行建立情報銀行驗證系統外,日本總務省考量業者與資料主體間地位的不平等,以及業者在擬定資料信託契約上,或可能需要由政府提供一定程度提示,一併推出資料信託機能定型化契約應記載事項,敘明契約應涵蓋如情報銀行業務範圍、權利義務、損害賠償等內容,以明確情報銀行和個人間就資料利用之目的、範圍以及權責關係。其中,特別的是,由於日本《個人資料保護法》對於個人資料之蒐集、處理及利用係以個人同意為基礎開展,是故,在資料信託機能定型化契約應記載事項中特別就此明示情報銀行應該按照個人事前同意的範圍為個人控制資料。只是,如何解釋事前同意的範圍,整體來說,所同意的範圍必須是個人可以預測的範圍內進行解釋和操作。再者,為了確保個人資料的可控性,針對資料需求者再提供資料予其他第三人情況,強調必須就第三方和使用目的適度獲得個人同意才可為之。

  值得一提的是,情報銀行必須設置「資料倫理審查委員會」諮詢體制,就情報銀行業務考量其適當性並提供建議,包含:個人與情報銀行間契約內容、使用情報銀行信託個人資料之目的、將信託資料提供予第三方之條件等[10]

參、事件評析

一、我國現況

  我國自行政院2012年第3322次院務決議推動政府資料開放以來,持續就政府資料開放不斷精進,包含2015年建置資料開放規範與相關環境[11]、2017年討論個人資料運用與政府資料開放政策,提出以民為本的「數位服務個人化(My Data)」,打造「一站式」服務措施[12]。實質上,已隱然含有回歸資料自主理念,由個人決定資料是否釋出之精神。

  我國所推行之My Data服務可分為二種,一是按照個人需求,透過平台讓個人可下載自己的個人資料;二是透過線上服務授權,由民眾授權政府或民間業者取得個人資料,如醫療、戶政、教育、金融、勞健保或水電等方面之資料,再由相關領域之業者提供民眾所需的整合式個人化服務[13]。惟目前我國在My Data應用上,仍是以民眾自行下載政府機關所蒐集資料,再由民眾依其意願與需求提供予政府機關或民間企業為主,整體上,相當程度緩解《個人資料保護法》的限制,直接由資料主體釋出資料予資料利用者;藉由個人控制自己資料形式突圍資料霸權現象。但在建立資料交易透明度與信任度上,仍尚乏相應機制;在推行資料流通機制並擴大資料經濟市場之作為上,尚未有如同日本情報銀行機制等資料流通機制做為橋樑,協助弭平私部門資料流通最後一哩路之障礙。

二、我國未來制度設計方向建議

  誠如前述,我國My Data機制現階段仍以公部門持有之個人資料為主,較缺乏私部門持有之個人資料。究其原因主要有三,一為業者釋出資料時,有其《個人資料保護法》等法令遵循上之成本及考量;二是社會普遍就個人資料被利用之情況的信任度不足;三則係欠缺誘因鼓勵業者或個人將資料釋出。

  是以,或許如同日本情報銀行之作法,藉由可信任之第三方作為資料流通基盤,鼓勵促進個人資料加值再利用,避免私部門運用時囿於法規範而有所侷限。只是,於此必須注意日本情報銀行機制採用之資料信託,倘欲轉化為適於我國現行法規者,或需考量資料本身性質並非財產權之範疇,無法作為信託契約標的情形,而宜採行委任契約作法為妥。此外,在信任度與透明度建立上,日本通過驗證機制和資料倫理委員會的審查制度雙重管控做法,亦值得我國未來設計資料流通機制時引為借鏡。

肆、結語

  有鑑於資料逐漸成為影響競爭力的重要因素,且如今大量的個人資料皆掌握在國外大型網路服務商手中,為有效提升我國業者的國際競爭力,政府或可參考日本情報銀行之模式,由民間機構分別負責驗證、擔任情報銀行之角色,並引入資料倫理審查會,透過公正之第三方審查資料流通平台業者是否公允,以促成資料經濟發展與保障個人資料之環境的形成。

 

 


[1]趙祖佑、周駿呈、涂家瑋,〈物聯網應用發展趨勢與商機─資料經濟篇〉,頁18-19(2015)。

[2]データ流通環境整備検討会,〈AI、IoT時代におけるデータ活用ワーキンググループ 中間とりまとめ〉,頁5(2017/3)。

[3]松ヶ枝優佳,〈データ主義時代の新たな銀行「情報銀行」とはなにか〉,Open Innovation Japan,2019/03/11,https://jbpress.ismedia.jp/articles/-/55684?page=4(最後瀏覽日:2020/02/19)。

[4]周晨蕙,〈日本公布資料信託功能認定指引ver1.0並進行相關實驗〉,科技法律研究所,2018/10,https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&i=156&d=8115(最後瀏覽日:2020/02/19)。

[5]情報信託機能の認定スキームの在り方に関する検討会,〈情報信託機能の認定に係る指針ver2.0〉,2019/10,https://www.soumu.go.jp/main_content/000649152.pdf(最後瀏覽日:2020/02/19)。   

[6]辰巳         憲一,〈個人情報信託の経済分析~プライバシー情報を保護しながら信託で一元管理する~〉,学習院大学経済論集第48巻第2号,頁98(2011/7)。

[7]同前註。

[8]Jiji, Japan Grants Certification for First Time to ‘Information Banks’, The Japan Times (July 9, 2019), https://www.japantimes.co.jp/news/2019/07/09/business/japan-grants-certification-first-time-information-banks/#.XkymJygzZhE (last visited Feb. 19, 2020).

[9]一般社団法人日本IT団体連盟,〈日本IT団体連盟、「情報銀行」認定(第1弾)を決定〉,2019/06/26,https://itrenmei.jp/topics/2019/3646/;一般社団法人日本IT団体連盟,〈日本IT団体連盟、「情報銀行」認定(第2弾)を決定〉,2019/12/25,https://www.itrenmei.jp/topics/2019/3652/;一般社団法人日本IT団体連盟,〈日本IT団体連盟、「情報銀行」認定(第3弾)を決定〉,2020/02/17,https://www.itrenmei.jp/topics/2020/3657/(最後瀏覽日:2020/02/19)。

[10]日本IT團體聯盟,「情報銀行」の推進に向けた取組みについて,2019年9月30日。

[11]國家發展委員會,〈政府資料開放〉,https://www.ndc.gov.tw/Content_List.aspx?n=9B973A5871579AC7(最後瀏覽日:2020/02/20)。

[12]國家發展委員會,〈數位服務個人化(My Data)〉,https://www.ndc.gov.tw/cp.aspx?n=8B6C9C324E6BF233&s=460617D071481C4B(最後瀏覽日:2020/02/20)。

[13]王若樸,〈國發會My Data政策未來怎麼走?學者建議應跨產業推動資料治理〉,iThome,2019/09/12,https://www.ithome.com.tw/news/133002(最後瀏覽日:2020/02/20)。

本文為「經濟部產業技術司科技專案成果」

相關連結
相關附件
你可能會想參加
※ 自資料流通機制建置擴大資料經濟市場, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8440&no=57&tp=1 (最後瀏覽日:2026/07/14)
引註此篇文章
你可能還會想看
英國Ofcom對媒體多元性標準徵求公眾意見

  2011年3月,英國文化、奧運、媒體與體育大臣(Secretary of State for Culture, Olympics, Media and Sport)Jeremy Hunt原已同意跨國媒體集團News Corporation併購英國天空廣播公司British Sky Broadcasting Group(BSkyB)並進行後續之審議流程。但在同年7月爆出News Corporation旗下的英國世界新聞報竊聽醜聞後,News Corporation立即取消該項併購申請。   在此一事件影響下,Jeremy Hunt要求英國電信主管機關Ofcom(Office of communications)對於跨媒體多元性管制架構進行檢討。現行媒體多元性管制主要在於同媒體之間合併必須通過公眾利益測試(public interest test),並有國家跨媒體所有權限制。Ofcom徵求意見如下: 1.跨平台媒體多元性如何測量,推荐最好方法為何? 2.在新聞市場中可否設定一絕對的市場佔有率限制? 3.在沒有合併案件的情形下,是否有其他事件可引發媒體多元性的持續追蹤、誰以及如何進行追蹤? 4.媒體多元性測量是否包含網站? 5.測量是否包含BBC?   Ofcom將於2011年11月18日截止收件,並於2012年初提出修改之方向。

中國大陸文化創意產業相關管制規範

中國大陸文化創意產業相關管制規範 科技法律研究所 法律研究員 尤騰毅 101年06月08日   中國大陸針對內、外資企業(含台資企業)的市場開放資格、條件,有不同程度的管制規範。臺灣業者在中國大陸外資管制規範下,亦被定位為外資,故若能透過類似ECFA等貿易協定的談判,爭取較為有利的市場開放措施,將可協助我國相關文創事業進入中國大陸市場。以下就中國大陸針對影視、出版、演出等行業的管制規範,予以整理,以供後續與中國大陸官方協商議題之參酌。 一、中國大陸電影產業相關法令限制 (一)主體經營資格 1.外商僅能透過合作攝製(無法獨資)進行電影拍攝 (1) 電影未開放獨資(境外組織)拍攝,僅能與中國大陸方合作拍攝(電影管理條例第18條) (2) 合作攝製分為三種聯合攝製、協作攝製、委託攝製(中外合作攝製電影片管理規定第5條)。聯合攝製聘用的境外主創人員需要經過廣電總局批准,且外方主要演員比例不得超過主要演員總數的三分之二(中外合作攝製電影片管理規定第13條)。而協作攝製、委託攝製的影片因為不在中國大陸上映,所以無此問題。 2.電影製片單位限於中外合營(合作、合資) (1) 外商無法獨資成立電影製片單位,僅能透過合作、合資的方式進行,並由中方廣電總局提出申請,成立後享有與其國有電影製片單位相同權利與義務。此外,外資投資合作、合資之電影製片單位資本額不得少於500萬元人民幣,且比例不得超過49%。(電影企業經營資格准入暫行規定第6條) 3.電影技術公司,改造電影製片、放映基礎設施和技術設備等相關產業限於中外合營(合作、合資) (1) 電影技術公司,改造電影製片、放映基礎設施和技術設備等相關產業,外商也僅能採取合作、合資的方式投資,且限定資本額不得少於500萬元人民幣,且比例不得超過49%。(電影企業經營資格准入暫行規定第9條) 4.外商不得獨資成立電影院,僅限中外合營(合作、合資) (1) 臺灣業者在大陸投資電影放映業務視同外資。(外商投資電影院暫行規定第10條) (2) 外資不得獨資成立電影院,僅限於合作、合資(外商投資電影院暫行規定第2條)。資本額不得少於600萬元人民幣,且中方投資比例不得低於51%,但針對試點城市中方比例不得低於25%。(外商投資電影院暫行規定第4條) 5.外商無法從事電影發行、放映業務 (1) 關於電影的發行、放映業務僅限其國內企業可以經營,外資無法投資(電影企業經營資格准入暫行規定)。 二、中國大陸電視產業相關法令限制 (一)主體經營資格 1.電視劇無法獨資進行拍攝活動,僅能與中國大陸方合作攝製 (1) 禁止外資設立廣播電視節目製作經營公司(外商投資產業指導目錄),僅能與中方企業合作攝製動畫片。(外商投資產業指導目錄) (2) 與台灣地區的法人與自然人,合作製作電視劇,也是適用中外合拍劇的規定。(中外合作製作電視劇管理規定第21條) (3) 中國大陸對中外合作製作電視劇(含電視動畫)節目實行許可制度,也就是說,未經廣電總局批准同意者,不得與境外方合作製作電視動畫片。(中外合作製作電視劇管理規定第4條) (二)內容製作與題材審查 1.合拍劇的題材規劃,須提出立項審查 (1) 合拍劇的題材規劃,須經審查批准。(中外合作製作電視劇管理規定第3條) (2) 有關中外合作製作的電視動畫片,須提出題材規劃立項申請。(中外合作製作電視劇管理規定第6條) (3) 自2008年2月14日起,與臺灣地區及境外的法人、自然人合作製作電視劇立項的分集梗概,每集不少於1500字;與臺灣地區及境外的法人、自然人合作製作電視劇的其他規定,仍參照「中外合作製作電視劇管理規定」執行。(廣電總局關於調整大陸與臺灣合拍電視劇及有境外演職員參與制作的國產電視劇審查管理辦法的通知) (4) 大陸國產合拍劇(含動畫片)只須申請備案。(電視劇內容管理定第8條) (三)播映時段與比例 1.大陸與臺灣合拍電視劇,可視為國產電視劇播出和發行 (1) 自2008年1月1日起,大陸與臺灣合拍電視劇的完成片經廣電總局審查同意後,可視為國產電視劇播出和發行。(廣電總局關於調整大陸與臺灣合拍電視劇及有境外演職員參與制作的國產電視劇審查管理辦法的通知) (四)進口限制 1.進口電視動畫片播放限制 (1) 目前大陸規定動畫頻道、少兒頻道、青少頻道、兒童頻道和其它以未成年人為主要對象的頻道,要嚴格執行每天國產動畫片與引進動畫片播出比例不得低於7:3的規定。(大陸廣電總局「關於加強電視動畫片播出管理的通知」) (2) 自2008年5月1日起,各動畫頻道在每天的黃金時段(17:00-21:00)必須播出國產動畫片。中外合拍動畫片若希望在黃金時段播出的話,須先報國家廣電總局批准同意。(廣電總局關於加強電視動畫片播出管理的通知) (3) 各少兒頻道、青少頻道、兒童頻道和其他以未成年人為主要對象的頻道,在黃金時段必須播出國產動畫片或自製的少兒節目,不得播出境內外影視劇。(廣電總局關於加強電視動畫片播出管理的通知) (五)限娛令、限廣令 1.管制電視頻道娛樂性節目數量(限娛令) 中國大陸廣電總局針對娛樂性節目(婚戀交友類、才藝競秀類、情感故事類、遊戲競技類、綜藝娛樂類、訪談脫口秀、真人秀)進行管制,每天19:30-22:00的全國播出該類節目總數控制在9檔,每個綜合頻道每周播出上述類型節目總數不超過2檔,播出時間不得超過90分鐘。(廣電總局下發加強電視上星綜合頻道節目管理意見) 2.電視劇廣告限制(限廣令) 目前中國大陸播出電視劇,不得於在每集(以45分鐘計)中間插播任何形式的廣告。(〈廣播電視廣告播出管理辦法〉的補充規定) 三、中國大陸出版產業相關法令限制 (一)出版業之出版行為禁止外商投資   圖書、報紙、期刊的出版業務,以及音像製品和電子出版物的出版、製作業務等,係禁止外商投資之標的。(外商投資產業指導目錄) (二)出版物、包裝裝潢印刷品、其他印刷品之印刷經營活動   出版物印刷經營活動,根據外商投資產業指導目錄(2011年修訂)之規定,屬於投資限制類的產業,必須由中方控股(外商投資產業指導目錄)。而出版物的印刷經營活動,依印刷物的不同,區分不同的市場開放條件:(設立外商投資印刷企業暫行規定) 1.出版物印刷: (1) 所稱出版物,包括報紙、期刊、書籍、地圖、年畫、圖片、掛曆、畫冊及音像製品、電子出版物的裝幀封面等。(印刷業管理條例) (2) 允許設立中外合營(包括合資、合作)印刷企業,且必須由中方投資者擔任控股或主導地位,而董事長須由中方擔任,董事會也必須中方多於外商。(設立外商投資印刷企業暫行規定) (3) 外商投資印刷企業註冊資本不得低於1000萬元人民幣。(設立外商投資印刷企業暫行規定) 2.其他印刷品印刷: (1) 所稱其他印刷品,包括文件、資料、圖表、票證、證件、名片等。(印刷業管理條例) (2) 允許設立中外合營(包括合資、合作)印刷企業,且必須由中方投資者擔任控股或主導地位,而董事長須由中方擔任,董事會也必須中方多於外商 。(設立外商投資印刷企業暫行規定) (3) 外商投資印刷企業註冊資本不得低於500萬元人民幣。(設立外商投資印刷企業暫行規定) 3.包裝裝潢印刷品印刷: (1) 所謂包裝裝潢印刷品係指「商標標識、廣告宣傳品及作為產品包裝裝潢的紙、金屬、塑料等的印刷品」。(印刷業管理條例) (2) 允許設立中外合營(包括合資、合作)印刷企業、外資(獨資)印刷企業。(設立外商投資印刷企業暫行規定) (3) 外商投資印刷企業註冊資本不得低於1000萬元人民幣。(設立外商投資印刷企業暫行規定) (三)圖書、報紙、期刊、電子出版物發行 1.外商得以合資、合作、獨資的方式,於中國大陸從事圖書、報紙、期刊、電子出版物的發行活動 (1) 外商得以中外合資經營企業、中外合作經營企業或外資企業的型態,在中國大陸從事有關圖書、報紙、期刊、電子出版物的發行業務。(出版物市場管理規定) (2) 惟從事圖書、報紙、期刊連鎖經營業務,若連鎖門店超過30家者,禁止外資控股,外國投資者不得以變相參股方式違反上述有關30家連鎖門店的限制。(出版物市場管理規定) (四)音像製品之發行 1.外資得設立中外合作經營企業,從事與音像製品有關的發行業務 (1) 外資得與中方企業以合作經營的方式,從事音像製品的出版、制作、複製、進口、批發、零售、出租之業務。(出版物市場管理規定) (2) 所稱音像製品係指「錄有內容的錄音帶、錄像帶、唱片、激光唱盤和激光視盤等」。(音像製品管理條例) (五)國有書報刊音像製品發行企業股份制改造 1.外資可以合資、合作方式,參與國有書辦刊音像製品發行企業股份制改造 (1) 關於文化領域引進外資的意見規定,外資可以參與國有書辦刊音像製品發行企業股份制改造,但中方仍必須控股51%以上,或是佔有主導地位。(關於文化領域引進外資的若干意見) (2) 此種方式與一般合資、合作之投資模式有些許不同。國有企業係屬於特殊之經濟組織,而透過外資參與的股份制改造,即將國有企業改制成股份有限公司,並上市發行股票。 (六)光碟複製與生產 1.外商可以獨資、合資、合作方式投資可錄類光碟(即空白光碟)生產 (1) 根據關於文化領域引進外資的若干意見,外商可以獨資、合資、合作方式投資可錄類光碟(即空白光碟)生產。(關於文化領域引進外資的若干意見,以及複製管理辦法) 2.禁止設立外商獨資唯讀類光碟和磁帶磁片複製單位;惟允許合資、合作為之 (1) 唯讀類光碟(我國稱唯讀光碟,即不可複寫且具有內容光碟,例如一些影音光碟)和磁帶磁片複製單位,禁止外商獨資,但允許中外合資、合作的方式為之,惟中方必須控股或占主導地位。(關於文化領域引進外資的若干意見,以及複製管理辦法) 四、中國大陸演出產業相關法令限制 (一)演出經紀機構、演出場所經營單位 1.投資比例及經營權受到限制 (1) 台資僅得以合資、合作經營方式設立演出經紀機構或演出場所經營單位。(營業性演出管理條例) (2) 大陸地區合營者須保有經營主導權及51%投資比例。(營業性演出管理條例) 2.設立審查程序較為繁瑣與嚴格 (1) 台資投資設立演出經紀機構、演出場所經營單位時,適用外資設立之規定。(營業性演出管理條例) (2) 設立須透過省級文化主管部門向國務院文化主管部門提出申請,國務院文化主管部門依據省級主管部門出具之審查意見,決定是否頒發營業性演出許可證;申請人取得許可證後,再依照外商投資相關規定辦理。(營業性演出管理條例) 3.舉辦演出或從事經紀業務須由演出經紀人執行 (1) 演出經紀機構從事演出經紀活動時,須由取得資格證的專職演出經紀人負責執行業務。(演出經紀人資格認定實施辦法) (2) 演出經紀機構設立時,須登記專職演出經紀人身份。(營業性演出管理條例實施細則) (二)演出經紀人 (1) 臺灣地區人民在大陸設立合資、合作經營的演出經紀機構而申請從事演出經紀活動的港澳臺地區人員,須依中國演出家協會「演出經紀人資格認定實施辦法」進行培訓、考試,取得演出經紀人資格證。(演出經紀人資格認定實施辦法) (2) 未取得資格證者不得從事經紀活動。(演出經紀人資格認定實施辦法) (三)個體演員、文藝表演團體 1.演出管道仍受限 (1) 台資不得在中國大陸設立文藝表演團體。(營業性演出管理條例實施細則) (2) 台灣個體演員、文藝表演團體僅得透過中國大陸本地演出經紀機構舉辦演出;或參加中國大陸本地文藝表演團體之自辦演出。(營業性演出管理條例) (3) 大陸演出團體要承接台灣個體演員、文藝表演團體,具嚴格條件限制。(營業性演出管理條例) 2.演出之內容審查較為嚴格 (1) 台灣個體演員及文藝表演團體所參加之營業性演出,須經國務院文化主管部門會同國務院有關部門事前審查,審查內容較一般中國大陸人民嚴格。(營業性演出管理條例) (2) 台灣個體演員及文藝表演團體參與之演出,在表演中須受到實地檢查。(營業性演出管理條例)

FDA對於食品製程中應用奈米科技者發布產業指引草案

  FDA於今年(2012年)4月12日分別發布了兩項有關於評估應用奈米科技於化妝品及食物影響之產業指引草案(draft guidance)。其中就奈米科技應用於食品(以下簡稱奈米食品)之影響,FDA於「產業指引草案:評估包括使用新興科技在內之重要製程,改變對食品原料、與食品接觸物質及食品色素安全性及法規狀態之影響」(Draft Guidance for Industry: Assessing the Effects of Significant Manufacturing Process Changes, Including Emerging Technologies, on the Safety and Regulatory Status of Food Ingredients and Food Contact Substances, Including Food Ingredients that are Color Additives,以下簡稱新興科技衍生食品產業指引草案)中,對於食品製造商應採取哪些步驟以證明使用奈米科技之食品及食品包裝之安全性,有較為具體之說明。   於新興科技衍生食品產業指引草案中,明確表示奈米科技為此文件之涵蓋範圍,惟其聲明將奈米科技納入文件並不代表FDA認定所有內含奈米物質之產品皆屬有害,僅說明FDA認為依據奈米食品之特性,應進行特別的安全性評估以確保安全。文件中也強調,FDA對於食品製程中應用奈米科技所作之考量,與應用其他科技於食品製程者無異,並認為應用奈米科技所產出之最終產品,在原定用途之使用下,其特性及安全性與傳統製程產出者相同。   針對奈米食品之安全性評估,新興科技產業指引草案中指出,應就該食品所使用物質於奈米尺寸下之特性為其判斷基礎,而有可能必須進一步檢驗此等特性之影響,例如該物質對於生物可利用率及其於器官間運輸之影響等。此外,文件中亦提及FDA於過去針對食品添加物、色素及與食物接觸物質之化學及技術數據所作成之產業指引,於此應同樣被遵守,而將奈米食品所涉及與安全性相關之文件提供給主管機關。而FDA也將持續地向產業提供諮詢服務,以確保產品之安全性。   由FDA所發布之相關產業指引觀察,縱使FDA仍秉持美國對於奈米科技不具危害性之基本立場,其仍透過強化安全評估之科學工具及方法,以審慎之態度來取得大眾對於此類產品安全之信任。

雲端時代資料保險機制之解析

雲端時代資料保險機制之解析 科技法律研究所 2013年12月05日 壹、前言   資訊時代,資訊應用所帶來的風險幾乎無可迴避,且往往帶來莫大衝擊;尤其在網路應用普及之後,大量資料透過網路傳輸、流通而暴露於資訊安全的風險當中,縱有再有高層級的防護,也無法使資料受損或漏失的風險機率降至零,因此有論者以為,對於無法藉由資訊安全措施加以避免的「殘餘風險」(Residual Risk),應由「保險機制」予以移轉。本研究特探討本議題,以呼應目前日益進展的保險產品發展趨勢。   此類的保險機制,一般稱為資料保險,專門填補網路應用所造成的風險,諸如網路安全(Network security)之欠缺所造成的損失,或者隱私(Privacy)被害所造成的損失。依據產業觀察者意見,此類保險產品的市場正有逐漸擴張的趨勢,尤其是對於健康照護服務(Health care)以及中小型的業者而言,此類保險對於風險管理服務可以發揮長足的作用,其能夠填補資料被害的通知成本、信用監控以及加強資料防護的成本[1]。   本文以雲端運算應用的興起為背景,觀察相應保險機制的演進及發展;以及其對於產業發展而言,為何被視為不可或缺的配套機制,進一步檢視我國推動資料保險的可行性與條件。 貳、資料保險機制的發展 一、資料保險的種類   用來填補資料受害之損害的保險,一般被稱為「資料保險」,尚可見以「網路保險」或「隱私保險」稱之。與其直接定義何謂「資料保險」,不如分析此保險的涵蓋範圍。此類保險早在十幾年前出現,當時其保險範圍,是填補資料被害所引發的損害賠償責任[2]。   財產保險可分成兩大類型,一類是一般的財產損害,即保險事故發生導致被保險人的財產減損或喪失,承保此類財產損失之保險,即英美法系所稱之「第一方保險」(First-party coverage)。另一類則是責任保險,即保險事故發生導致被保險人應負擔法律上責任或契約上損害賠償責任,承保因被保險人應負擔責任之財產損失,即所稱之「第三方保險」(Third-party coverage)。   在資料應用環境中,因資料受害導致損害大抵可依上述區分。當遭遇網路犯罪的損害、毀壞(Destroys)或是剝奪被保險人對於資料的使用權限,則屬於第一方財產損失。另一方面,當被保險人所保護、監管(Custody)或控制的第三人資料或資訊,遭遇網路犯罪損害、毀壞或竊取時,將使被保險人必須承受對第三方負擔損害賠償責任、並支付相關費用,此屬於第三方財產損失,例如入侵資訊系統而竊取信用卡資訊、受保護的個人資料、及銀行的帳戶號碼,又如妨礙有合法權限的第三人近用系統,以及違反法規所要求而未向第三人通知資料侵害等…[3]。 二、資料受害所致損害是否得請求保險賠償過往有很大爭議   傳統的財產保險,由於未指明承保因資料被害所致損失,往往會在被保險人因資料被害導致財產損失而請求保險賠償時,發生很大的爭議。主要的原因是,傳統的財產保險其設計原則,是以被保險人對於有形財產的「保險利益」作為「保險標的」,並以有形財產受損來估算保險損害,並未考量到資料等無形財產。因此,起因於資料或類似形態的程式、軟體之缺損所致的損害,是否可能在傳統財產的保險範圍內,頗有疑義,且司法實務上的意見相當分歧,茲整理如下。 (一)有利於被保險人的實務見解   在America Guarantee & Liability Insurance Co. v. Ingram-Micro[4].中,Ingram-Micro因幾分鐘的電力中斷,導致電腦資產與資料的喪失而嚴重影響正常的業務運作,遂依業務中斷保險(Business-interruption insurance)請求保險賠償,但遭受保險公司拒絕,保險公司提起訴訟並宣稱承保範圍未包含電腦與其他資產。地方法院認為,被保險人客製軟體程式的喪失,構成「具體損害」,具體損害不限於電腦迴路的被有形損毀或傷害,也會包含無法近用(Loss of access)、無法使用(Loss of use)以及功能喪失。   另一案Lambrecht & Associates, Inc. v. State Farm Lloyds[5],保險公司認為電腦病毒感染所造成的損失,非有形損失,因而拒絕保險給付。法院認為,本案之電腦系統以及儲存的資料皆因病毒感染而毀壞、被置換(Replaced),此種結果,等於電腦系統完全無法接收、發送或回復任何形態的資訊,而完全失去作為電腦系統的效用;因此未接受保險公司的主張。   近期一例為責任保險爭議。Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co.[6]中,Retail Venture是DSW鞋子盤商,2005年時它的電腦系統遭駭客入侵,共有百萬筆的客戶資料遭不當下載且許多資料夾也被翻閱過。由於DSW向Nat'l Union購買商業竊盜險,在其承保項目中包括電腦與資金移轉詐欺(Computer & Fund transfer fraud coverage),DSW遂向保險公司請求保險賠償,主張此次駭客入侵所造成的損失有530萬元之多,但保險公司拒絕給付賠償金。於是DSW對保險公司提起訴訟,地方法院認定保險公司應支付保險賠償,保險公司不服,提起上訴至巡迴法院,巡迴法院認為,條款規定雖是限於該損失是由保險事故「直接造成」(Resulting directly from),但這不代表該保險事故必須是造成損失的「唯一」(Solely)與「立即」(Immediately)的原因[7],因此維持地方法院的判決。 (二)有利於保險人的實務見解   在America Online, Inc. v. St. Paul Mercury Insurance Co.中,由於America Online(AOL)所生產的網路接取軟體AOL 5.0據稱會毀壞用戶的電腦系統,因而被客戶訴訟求償,AOL依責任保險內容,轉而請求保險公司應替其進行訴訟防禦,遭保險公司拒絕。為此,AOL對保險公司提起訴訟,法院遂檢視保險契約中是否載明保險公司有進行訴訟防禦的義務。契約中將情境限於「有形」財產損失,法院解釋,從字義上一般不會認為電腦資料、軟體及系統是「有形」財產,因為有形財產應是指可以觸摸(Be touched),但電腦資料、軟體及系統無法被感官感知,因此是無形財產。此外契約中亦有「功能降低除外條款」,意即,不良品或者危險產品所造成的損害非有形,故被排除在承保範圍內。法院據此否認AOL的主張[8]。 三、「新」資料保險產品應運而生   從上述實務案例的觀察,作成不利於被保險人判決結果的法院,是直接認定電腦資料、軟體與系統為無形財產。反之,作成有利於被保險人判決結果的法院,是將「資料」(程式或軟體)與「電腦系統」合為觀之,而認定電腦系統為有形財產,把電腦系統無法發揮正常作用視為具體損害。即使判決結果可能有利於被保險人,但是解釋方式卻較為迂迴,也顯得被保險人相當艱辛。 參、外國資料保險機制之發展實例與推動   雲端運算發展日益普遍日後,可以透過網際網路提供資訊服務(例如儲存空間、應用程式等),「資料」已然不附載在特定或固定的載體(電腦系統)上。因應整體資訊應用形態的轉變,國內外市場上逐漸有相關資料保險產品推出的案例。 一、實例   第一個例子,MSPAlliance是一個資源管理服務業者暨認證聯盟,於2013年4月與保險經紀公司Lockton 合作,設計「雲端暨管理服務」保險(Cloud and Managed Services Insurance),讓其聯盟會員提供資訊服務時得以購買此保險;承保項目包括因網路攻擊、資料滅失或系統故障而導致應負擔損害賠償責任,以及因技術錯誤或無法作用(Tech Errors & Omissions)所導致的損害賠償責任,亦包含在內。至於被保險人的資格要求,則限定是聯盟會員,且必須通過Unified Certification Standard (UCS)驗證。事實上,要求被保險人取得一定的驗證,是保險風險管理很重要的ㄧ環。   第二個例子,雲端保險服務平台Cloudinsure於2013年2月宣布與保險經紀公司Lockton合作,擬設計適於雲端環境的隱私與安全責任保險方案。其保險產品內容主要在確保雲端服務提供者可履行在契約、或服務水準協議(Service Level Agreements)中的承諾,再者也能依據其客戶存放於雲端環境之資料的風險層級,給予金錢防護。 第三個例子,與前兩例不同,是針對一般的資訊服務使用者來設計。保險經紀公司達信(Marsh)於2012年6月針對雲端環境的企業使用者,開發新的保險方案CloudProtect。被保險人是採用雲端服務的中小型企業,承保項目包括:因雲端服務中斷所致的營運收入損失(Loss of income)、因採購新的雲端服務提供者所產生的相關費用支出、因資料轉換至新的雲端服務所產生的相關費用支出。 二、政府的參與及投入推動   美國的國家技術標準局(Institute of Standards and Technology, NIST)在規劃新網路時代藍圖時,把持續促進資料「保險」(Cyber Insurance),列為關鍵的一角。從這個角度而言,保險不僅具有轉移風險與填補損害的功能,更具有正面積極的意義,可作為新興技術發展的後盾。對於NIST這樣的主張,美國保險人協會(American Insurance Association)也予以呼應,認為針對網路應用環境而持續開發各種保險產品,是勢在必行的方向。 (一)政策推導   美國證券交易委員會指引(2011年),建議公司若為因應資安風險而購買保險產品,應列入資訊揭露範圍。此被認為是間接鼓勵企業購買相關保險產品的具體措施之一。 (二)政府機關作為被保險人購買資料保險之例   美國有以政府機關名義購買資料相關保險之例,蒙大拿(Montana State Government)購買「網路資料安全保險」(Cyber/Data Information Security Insurance),為期一年(2012年7月1日至2013年7月1日),保險項目包括:資訊安全責任(每次事故保險賠償上限200萬美元)、行政罰款(每次事故保險賠償上限200萬美元)、損害通知支出(每次事故保險賠償上限100萬美元)、網站媒體披露支出(每次事故保險賠償上限200萬美元)、每次保險事故發生以200萬美元為總保險賠償限額。此案之保險業者為Beazley,保險經紀人為Alliant Insurance Services。值得特別注意的是,保險項目當中包含損害通知支出,此是呼應了美國相關法令要求業者必須於獲悉資安事故時踐行通知相關的資料主體。   資安事故的確實可能使政府機關蒙受莫大損失,美國南卡羅萊納州稅務局(South Carolina Department of Revenue)2012年發生駭客攻擊事件,州政府花費約2000萬美元收拾殘局,其中1200萬美元用來作為市民身份被竊後的信用活動監控,其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 肆、結論-我國推動相關資料保險機制可行性之總合評析   現階段我國相關保險市場的現況,為因應我國個人資料保護法的通過與正式實施,也有推出資料相關保險產品,目標客群為企業,以協助企業因應觸及個人資料可能產生對他人的損害賠償責任、及填補其他附帶損害為主要訴求。至於,針對業者(被保險人)因提供資訊服務過程中的資料被害、毀損滅失所導致營業損失(營運中斷、負擔契約上損害賠償責任)之損害填補,似尚未有相關保險產品推出。考其原因,是保險業者對於此種因無形財產(資料)所導致損害的保險賠償模式,尚未累積足夠的經驗,也缺乏相關精算數據的掌握,因而不敢貿然承作,另一方面,保險業者本身也擔憂無足夠資力因應大規模的保險事故。 對此現象,我國主責資訊服務產業推動的有關政府部門,也思及政府投入參與資料保險機制,例如推動以機關為被保險人而購買相關的資料保險,藉以活絡資料保險市場;此種構想,在法律層面並無疑義,此乃保險賠償與國家賠償機制雖有各自目的,但未有所衝突[9]。然而,實際操作上,必須考量政府機關資訊系統是否能通過保險業者的保險風險查核、是否有足夠的預算足以支付保險費用、以及決策單位是否能有效與資訊業務單位溝通以評估購買此類保險的需求...等諸多問題。   事實上,我國相關資料保險市場要邁向成熟發展,尚待多方努力,除保險業者本身規劃並提出合適的保險產品之外,參酌國外經驗,保險經紀公司也能扮演一定角色,可針對客戶需求量身訂作風險評鑑、研提最符合的保險方案,並藉客戶共同需求而匯聚保險風險共同團體。政府所扮演之角色,除直接以政策推導之外,尚能在若干條件齊備之後實際參與保險機制,其後續方向值得關注。 [1]Collin J. Hite, Top lawyers on trends and key strategies for the upcoming year the ever-changing scope of insurance law, Aspatore Feb. 2013. [2]http://www.computerweekly.com/news/2240202703/An-introduction-to-cyber-liability-insurance-cover (last visited at Oct. 24, 2013) [3]Jack Montgomery, Cybercrime losses and insurance for property damage and third-party claims, Maine Bar Journal, Summer 2012, p. 159. [4]Civ. 99-185 TUC ACM, 2000 U.S. Dist. Lexis 7299 (D. Ariz., April 19, 2000). [5]Lambrecht & Associates, Inc. v. State Farm Lloyds, 119 S.W.3d 16, 25 (Tex. App. 2003). [6]Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co. of Pittsburgh, Pa., 691 F.3d 821 (6th Cir. 2012). [7]Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co. of Pittsburgh, Pa., 691 F.3d 821 (6th Cir. 2012), p.13. [8]America Online, Inc. v. St. Paul Mercury Ins. Co., 207 F. Supp. 2d 459 - Dist. Court, ED Virginia 2002, P.461-462. [9]請參考96年法務部法律字第0960003420號函。

TOP