英國BSI發布自駕車發展與評估控制系統指引

　　英國資訊委員會（Information Commissioner’s Office, 以下簡稱ICO）最近對於2014年「巨量資料與個資隱私保護報告」（Big Data and Data Protection）進行公眾意見徵集。其中有意見認為ICO過度聚焦於以取得資料當事人同意為前提，才得以進行巨量資料統計分析技術應用；且未充分認知當資料控制者（企業或組織）具合法權益（legitimate interest）時，可能得以處理個人資料的可能。意者並進一步建議當資料控制者（企業或組織）符合合法權益時，應可將個人資料用於新用途，強調這種依據合法權益所進行之資料處理，應著重於該資料控制者（企業或組織）對於個人資料的責任（accountability），而非各別取得資料當事人的同意。 　　對此，ICO回覆，認為巨量資料統計分析技術的應用，應在資料控制者（企業或組織）的合法權益、與資料當事人的權利、自由與合法權益間，取得平衡。依據歐盟資料保護指令（Data Protection Directive）與英國資料保護法（Data Protection Act）的規定，資料控制者（企業或組織）得於具法定依據時，處理個人資料，例如取得個資當事人的同意處理其個人資料，或資料控制者（企業或組織）具法定義務處理個人資料（例如法院命令）。除此之外，企業或組織還可以主張於其對於個人資料具合法權益（legitimate interest），主張進一步處理個人資料（新用途），除非資料處理對於資料當事人的權利、自由與合法權益造成過份偏頗（unduly prejudice）的損害。ICO亦同意，資料的應用應著重監督資料控制者（企業或組織）與加強其責任（accountability）。 　　ICO除再度闡明在「巨量資料與個資隱私保護報告」，資料控制者（企業或組織）必須公平且通透（transparent）地處理個人資料，對於當資料控制者（企業或組織）發現個人資料的新用途時，亦明列出得依據先前所取得之資料當事人的同意進行個人資料的各種情況。 　　ICO建議，資料控制者（企業或組織）應當先行檢視資料當事人是否確實同意其個人資料的處理，或該資料控制者具處理個人資料之其法定依據。再者，如果不具上述二者之一，資料控制者（企業或組織）若需將使用個人資料於新用途，則必須另行取得資料當事人的同意，始得為之。此時，必須同時評估為了新用途所為之個人資料處理，是否與資料蒐集之特定目的相容（compatible）。 　　至於，判斷新用途是否與個人資料蒐集與處理之特定目的相容，部分取決於個人資料處理是否公平（fair）。這意味著資料控制者（企業或組織）必須對於為新用途所為之個資處理，提出對於資料當事人隱私影響之評估，以及該個資的使用與處理，是否仍合於資料當事人的合理期待。

　　華盛頓特區於今〈2010〉年8月5日由阿肯薩州及維及尼亞州參議院議員Pryor及John Rockefeller所倡議之「個人資料安全及外洩通報法」〈Data Security and Breach Notification Act of 2010〉，其旨趣，在於統一美國各州不同個資外洩通報法，並嘗試為消費者個人資料之安全及隱私設定全國性的標準。 　　Pryor法案曾於2007年提出，惟當時未能通過，其立法緣由係為處理美國各州、聯邦及國際間政府對個資安全與日俱增之重視。其規範內容，在要求處理及儲存消費者私人資訊，諸如「社會安全碼」〈social security numbers〉之企業，一旦發生資料外洩事件，需對國家提出通報，如該事件對消費者產生現實的「身分盜竊」〈identity theft〉或「帳戶詐欺」〈account fraud〉風險，則應於發現個資外洩六十日內通知受影響之消費者。 　　Pryor法案之適用對象甚廣，故有認為，該法一旦通過，其將成為繼美國金融服務法〈the Gramm-Leach-Bliley Act，簡稱GLBA〉後的模範法典，其適用對象包括受GLBA規範之金融機構及任何個人〈any individual〉、合夥〈partnership〉、公司〈corporation〉、信託〈trust〉、工地產產業〈estate〉、合作社〈cooperative〉、協會〈association〉、維持或傳送「敏感的會計資訊」或「敏感的個人資訊」之業主〈entity that maintains or communicates “sensitive account information” or “sensitive personal information”〉，但並不包括任何政府辦事處或其他聯邦、州政府單位、地方政府〈any agency or other unit of the federal,state, or local government〉或任何其下所再劃分之單位〈any subdivision thereof〉。 　　惟此一倡議中之資料安全立法不論法令遵循或執行皆有一定難度，因該法雖要求對超出「損害門檻」之資料外洩需對消費者通報，但對「損害門檻」並無明確定義。此外，受影響之企業似無實行適當風險評估之誘因，除需耗費大量成本評估外洩事件是否超過損害門檻外，尚需面臨企業名譽受損與客戶不滿之損失，在個資外洩要素風險指導原則付之闕如之情形下，企業恐無法客觀地評估自身個資外洩之風險。故有建議，解決之道，應明定損害門檻，並聘請外部專家或使用市場新工具，訂定客觀的指導原則，使企業在處理個資外洩問題時能減輕混亂及鼓勵評估結果的一致性並縮短風險評估的時間。 　　就資訊安全部分，此法案揭櫫於其通過一年內，美國商務、科學及交通委員會〈Committee on Commerce, Science, and Transportation〉應頒布規定，要求擁有或處理含有個人資料或契約之企業，必須建立並執行蒐集、使用、出售，及其他傳播、維持個人資訊之資訊安全政策，以達保護個人資料之目的。

東京大學活用有限合夥組織制度扶植新創 資策會科技法律研究所 法律研究員　朱啟文 104年08月28日 　　為鼓勵創投業挹注資金，扶植科技等新創事業，發展諸如電影、舞台劇等文創產業，經濟部參考英、美、新加坡等國家制度，制定「有限合夥法」，希望吸引國外資金來台投資，健全創新創意環境。立法院於2015年6月5日三讀通過「有限合夥法」草案[1]，創投與電影、舞台劇等文創產業，可允許以信用、勞務或其他利益出資，讓「創意」成企業資產一部分，培育更多吳寶春、李安或是科技新創事業。 　　有限合夥制度採投資者與經營者分離，由普通合夥人與有限合夥人共同組成。普通合夥人提供創意或技術，是實際經營業務者，對有限合夥的債務負無限責任；有限合夥人提供資金，但不實際參與經營，僅就出資額負有限責任。日本關於有限合夥制度已經施行近20年，東京大學亦採用此制度協助新創企業，在初期孵化階段取得種子資金，能夠順利發展逐漸茁壯，其實際如何管理運用有限合夥資金，是未來「有限合夥法」上路後，我國學研機關可以學習參考的方向。 壹、日本「投資事業有限合夥法」 　　日本於1997年制定了「中小企業投資有限合夥法」（中小企業投資有限責任組合契約に関する法律），並於2004年放寬投資事業之客體，不限於未公開上市之中小企業，同時更名為「投資事業有限合夥法」（投資事業有限責任組合契約に関する法律[2]）。而依「投資事業有限合夥法」規定，由普通合夥人及有限合夥人所共同組立之合夥組織即為「投資事業有限合夥」（投資事業有限責任組合）。該法中包括有限合夥人僅以出資為限對合夥債務負清償責任，以及普通合夥人於各事業年度經過後三個月內，必須準備各項財務報表資料供其他合夥人及合夥之債權人查閱等規定，均有效提高了投資事業有限合夥募集資金的效果。 貳、東大尖端創投公司（株式会社東京大学エッジキャピタル） 　　2004年日本國立大學法人化改革正式開展，除使大學能掌握其產出之研發成果外，更促使大學授權其研發成果來成立衍生新創企業。此改革承續美國拜杜法案的立法精神，將研發成果由政府下放至大學，促使大學積極利用自有之智慧財產權。東京大學在該時空背景下，設置了校內單位產學連攜本部DUCR及東大技轉TODAI TLO、東大尖端創投UTEC二個獨立公司，彼此合作推廣相輔相成，是東大產學合作的黃金三角。東京大學將三個組織辦公室均設在東京大學產學連攜廣場大樓（University Corporate Relation Plaza），集中辦公讓業務上合作更為便利。東京大學另於2007年6月完竣的「企業家廣場孵化室[3]」，則作為提供創業支援、知識產權戰略管理及產學合作計畫協助之場所。 　　東大尖端創投公司[4]（The University of Tokyo Edge Capital Co., Ltd.，以下簡稱「UTEC」）成立於2004年4月1日，係由「一般社團法人東京大學產學合作支援基金」投資所成立之創投公司（資本額1,000萬日元），為獨立於東京大學的私法人機構，其成員目前有5位董事、1位監察人及10名正式員工。2004年起UTEC管理運作的資金計有285億日幣，這些資金主要用來中長期投資與東京大學相關的新創項目，包括人才活用、共同研究、智財運用等，投資目的希望能實現將學術成果及人才還原給社會、提升創新及收益，形成良性的經濟活力循環。 　　負責營運UTEC 的專業成員[5]包括有創投家、政策制定者及博士等。UTEC優勢在於有東京大學作為其後盾，擁有全日本最頂尖研發技術與人才供其篩選。復以日本願意投資早期階段之創投公司不多，使得UTEC在此領域有傑出績效表現。2007年10月開始UTEC 辦理在校創業家EIR 計畫（Entrepreneur In Residence Program），對東京大學內部產生的商業構想概念實施創業育成輔導工作，提供包括辦公空間（企業家廣場孵化室）、創業資金及聘請專家協助修正營運計畫書（Business Plan）等服務。 　　UTEC在經營上勇於承擔投資創新技術所可能帶來的風險，也願意在新創公司的早期階段（Seed / Early Stages）投入資金換取公司股份，秉持「日本最先進風險投資公司」的經營理念，希能建立早期支援的風險投資模式，將校園研發成果進行商業化實踐。投資策略上UTEC主動介入投資事業有限合夥所出資的公司，並指派投資經理人與投資公司建立長期承諾，而UTEC 亦會積極參與公司成長後續階段之投資。截至2014年4月止，UTEC已經投資了51家新創企業，其中有9家IPO和7家接受併購（M&A）。 參、「投資事業有限合夥」資金管理模式 　　UTEC的資金不只來自於東京大學，而是透過另外成立3個[6]「投資事業有限合夥」，接納外部投資家之投資作為基金進行營運。具體架構上，UTEC在「投資事業有限合夥」中扮演普通合夥人[7]（業務執行者），而有限合夥中的其他出資者則擔任有限合夥人（投資家）之角色。此架構與國外私募股權基金常見作法雷同[8]。對於東京大學而言，好處在於其可透過UTEC此一有限責任公司擔任普通合夥人方式形成屏障，與其自身現有的資產作風險隔離，避免普通合夥人的無限責任直接影響東京大學本身之財務。 　　UTEC成立的第一個投資事業有限合夥，是2004年7月1日的「UTEC 1號投資事業有限合夥（ユーテック一号投資事業有限責任組合）」，規模為83億400萬日元存續期間至2014年12月31日止（最多得延展1年）；第二個是2009年7月31日成立的「UTEC 2號投資事業有限合夥（UTEC2号投資事業有限責任組合）」，規模為71億4800萬日元，更新投資期間至2014年7月30日，存續期間至2019年6月30日止（最多得延展2年）；目前最新成立、金額也最高的是2013年10月15日成立的「UTEC 3號投資事業有限合夥（UTEC3号投資事業有限責任組合）」，規模為145億7400萬日元，更新投資期間至2018年10月14日，存續期間至2023年12月31日止（可得延展）。 肆、評析 　　在創投資金方面以美國為例，「天使」與「創投」可被視為好的「創業種子」的篩選者，是美國經濟發展的火車頭。經由天使與創投的活動，學研單位的研發成果才有商品化及產業化的契機。依2014年資料，美國每年創投資金大約為新臺幣6千億元，中國大陸於2011年為新臺幣8千億元，但我國目前每年創投資金大約僅有新臺幣20億元[9]。我國的創業天使大多為創業者的親朋好友，專業度往往不足，國際創投對臺灣新創事業的關注也有限，而我國的科研經費在無豐沛的海外資金支援下，我國的新創事業在早期階段經常無法取得成長所需的資金。 　　對此，今年度我國「有限合夥法」的通過，為新創事業資金不足問題的解決帶來了契機。然而，從前揭東京大學UTEC「投資事業有限合夥」的操作及管理模式觀之，我國若要完整援用此等操作架構，除了「有限合夥法」外，尚有待其他配套法令跟進鬆綁。詳言之，應考慮鬆綁大學出資設立企業的相關限制，開放國立大學可以校務基金捐助成立獨立於學校外部「產學營運中心」，並透過該中心投資成立創投公司擔任普通合夥人角色。如此一來，可在兼顧財務風險下，以更為彈性之獎勵與人才聘僱制度，吸引具有專業經驗投資經理人或相關人才投入校園新創，取得更多國內外資金挹注新創事業之發展。 [1]周志豪，〈有限合夥法三讀 創意將成企業資產〉，聯合新聞網，財經焦點，2015/06/06，http://udn.com/news/story/ (最後瀏覽日：2015/09/10)。 [2]投資事業有限責任組合契約に関する法律（ＬＰＳ法），http://www.meti.go.jp/policy/economy/keiei_innovation/sangyokinyu/kumiaihou.htm(最後瀏覽日：2015/09/10)。 [3]東京大学アントレプレナープラザ，http://www.ducr.u-tokyo.ac.jp/jp/venture/entre_plaza.html (最後瀏覽日：2015/09/10)。 [4]株式会社東京大学エッジキャピタル，http://www.ut-ec.co.jp/cgi-bin/WebObjects/1201dac04a1.woa/wa/read/1201e8150e4_0/(最後瀏覽日：2015/09/10)。 [5] UTEC チーム & ファーム理念，http://www.ut-ec.co.jp/cgi-bin/WebObjects/1201dac04a1.woa/wa/read/1201e782b5b_0/(最後瀏覽日：2015/09/10)。 [6] UTEC 運営ファンド，http://www.ut-ec.co.jp/cgi-bin/WebObjects/1201dac04a1.woa/wa/read/1201e815110/(最後瀏覽日：2015/09/10)。 [7]「普通合夥人」雖然負責管理執行私募股權基金業務，但實務上幾乎都會另外委任投資經理人來提供投資建議，投資經理人直接對普通合夥人負責。由於普通合夥人對外負無限責任，委任投資經理人能夠把從普通合夥人收取到的報酬隔離於無限責任範圍外，而保留在投資經理人手中。事實上，多數的股權私募基金真正的發起人就是投資經理人，普通合夥人只是投資經理人為了發起私募股權基金另外設立的新實體。 [8]許杏宜，〈有限合夥法最新草案之評析-兼談私募股權基金之運作〉，《全國律師》，第19卷第3期，頁40-51 (2015)。 [9]丁靜雯，〈從實驗室到市場—我國科技創新政策之探討〉，《科技部自行研究計畫成果報告》，頁44 (2014)。

　　歐盟議會之環境、公共健康暨食品安全委員會（以下簡稱委員會）於6月2日以55票贊成，1票反對，2票棄權，通過對電子電機設備有害物質限用指令（RoHS指令）修訂之提案。該提案要求對包括鹵化阻燃劑（Halogenated Flame Retardants）、聚氯乙烯（PVC）以及奈米銀(nanosilver)、長型多壁奈米碳管(long multi-walled carbon nanotubes，MWCNT)等目前未列於有害物質禁用清單之化學物質，評估是否列入清單。 　　RoHS指令適用於自其他第三國進口以及於歐盟地區所生產之電子電機設備產品，影響層面廣泛，值得注意的是，該修訂提案中就其適用對象改採「開放性適用」（open scope），亦即除有特別明文排除者外，所有電子電機設備產品皆適用此一指令。歐盟議會目前提議排除用於生產再生能源、特定大規模設備與工業工具以及用於生產軍事目的之物質和車輛之電子電機設備。 　　針對奈米銀和長型多壁奈米碳管兩項奈米物質，委員會於修訂提案將其增列於附件IV當中，將產生對內含上述二種物質且達可探測程度（detectable level）之電子電機設備禁止進入歐盟市場流通之效果。委員會也對內含奈米物質之電子電機設備要求進行標示，製造商亦應向歐盟執委會提供奈米物質之安全數據。惟有論者表示，在歐洲議會目前對於奈米物質之定義尚未明確之前提下，此修訂提案可能導致必須對所有的電子產品進行奈米標示之情況。