歐盟執委會提出資料治理與資料政策

歐盟執委會提出資料治理與資料政策

資訊工業策進會科技法律研究所
2020年10月12日

  歐盟執委會(European Commission,以下簡稱執委會)於2020年7月提出「資料治理與資料政策」(Data Governance and Data Policies at the European Commission)[1],旨在說明歐盟執委會將如何透過資料治理及相關政策,轉型為資料驅動型組織(data-driven organization),並提供一致的方向或原則,促進執委會下各政務總署(Directorate-General)及事務部門(Service Department)(以下簡稱相關部門機構)之資料共享。

壹、背景目的

  「促成歐洲適應數位時代,並使執委會成為完全數位化、具敏捷性、靈活性與透明性的歐盟組織」是執委會現任主席Ursula von der Leyen所提出的2019年至2024年政策願景之一[2]。隨著數位化發展,透明(transparent)、循證式(evidence-based)的決策需運用人工智慧資料分析技術,「資料」是直接影響人工智慧運用於政策決定的關鍵要素。欲提升人工智慧運用結果被信賴的程度,首先必須有可查找(findable)、可近用(accessible)、可互通(interoperable)、安全(secure)且高品質(high-quality)的資料。歐盟機構內部資料、資訊與知識的共享與治理,有助於此願景之達成。

  因此,執委會提出「資料治理與資料政策」,建立執委會統一的資料治理架構與政策原則,幫助執委會轄下相關部門機構共同遵循資料管理(data management)、資料近用、資料保護、智慧財產權、資訊安全等相關法律與監理要求。同時,執委會亦期能藉此優化資料建立(creation)、蒐集(collection)、取得(acquisition)、存取(access)、利用(use)、處理(processing)、共享(sharing)、保存(preservation)與刪除(deletion)等資料生命週期必經流程,改善資料品質,提升資料管理及共享之效率。

貳、內容摘要

  「資料治理與資料政策」的適用範圍為執委會及其相關部門機構所擁有、利用或再利用的資料集,包括政策決定所使用的資料、行政資料與個人資料。在「資料治理與資料政策」的執行上,則導入「遵守或解釋」(comply-or-explain)原則,除非法律明示規定為選擇性適用,否則執委會轄下相關部門機構皆需遵守;倘未遵守,則需就無法遵守的原因提出解釋。以下分別就「資料治理」與「資料政策」兩大部分重點說明。

一、資料治理

  主要目的在建構執委會統一的資料治理架構,釐清相關角色的責任與相互依賴關係。依角色與任務的不同,執委會將資料治理分為三層級,並由秘書總署集體治理團隊(Secretariat-General corporate governance team)支援三層級的執行工作。

(一)策略層級(strategic level)

  由資訊管理指導委員會(Information Management Steering Board, IMSB),處理資料治理與資料政策相關議題,界定長期推動願景、提供政策方向、監督推動與執行之進程,並作出策略決定。

(二)管理階層(managerial level)

  由資料議題相關的組織、委員會、團體所組成之資料協調小組(data coordination groups)、各地區資料聯絡窗口(local data correspondent)、執委會各相關部門機構下的資料治理委員會(data governance board),以及策略層級就各資料集所指定之資料擁有者(data owner),依策略層級所提出之願景與政策方向,在各處建立並執行資料政策、監督執行進度,並向策略層級報告執行進度及任何超出其決策權限之問題。

(三)運作階層(operational level)

  由資料擁有者選出或指派資料管理員(data steward),並與資料利用者(data user)實際執行資料政策,必要時將相關議題提到管理層級解決。

二、資料政策

  就資料管理(data management)、資料互通性與標準(data interoperability and standards)、資料品質(data quality)、資料保護與資訊安全(data protection and information security)等核心面向,建立上位原則。

  其中關於「資料管理」部分,又依資料生命週期細分。例如在「資料集建立、蒐集或取得」方面採取一次性原則,故執委會轄下相關部門機構在建立、蒐集或取得資料之前,需探詢必要資料或資訊是否已存在,避免重複取得。主要需求資料集的部門機構,應協助讓其他執委會相關部門機構或歐盟機構也獲得使用該資料集之權利。又例如「資料集存取、使用與共享」方面,除非歐盟相關的執委會決定、指令或規則另有規定[3],否則以「需要共享」(need to share)或「預設共享」(share by default)為原則,並使用一致化的資料管理與視覺化工具或資料平台。

  針對「資料互通性與標準」與「資料品質」兩部分,著重在執委會內部的共通一致性,包括資料格式、資料相關詞彙、資料品質的定義與量測等。而在「資料保護與資訊安全」方面,則強調「歐盟機關個人資料保護規則」[4]相關義務,以及歐盟資料保護監督機關(European Data Protection Supervisor, EDPS)所提相關指引之遵循。

參、簡析

  觀察歐盟執委會的「資料治理與資料政策」,可知其資料治理架構與相關政策,是以形成一個資料共享再利用生態系為藍圖。除了強調資料一次性建立及資料預設共享等原則,更從組織管理角度,界定不同單位或角色的任務與責任,並凸顯資料治理管理組織的建構,對資料政策執行之重要性。

  我國政府長期致力於數位國家之發展,在政府資料開放政策推動上已有不少成果,例如建立政府資料開放平台、訂定各級機關資料開放作業原則、統一資料開放格式等。為持續厚植數位國家的資料應用能量,建議未來可進一步完善政府資料治理構面,兼納「政府對民眾之資料開放」及「公務機關間之資料共享」等面向,借鏡歐盟執委會之作法,確立資料共享再利用之管理架構及原則,提升政府資料應用的效率與效能。

 

[1] EUROPEAN COMMISSION, Data Governance and Data Policies at the European Commission (2020), https://ec.europa.eu/info/sites/info/files/summary-data-governance-data-policies_en.pdf (last visited Oct. 5, 2020).

[2] See Ursula von der Leyen, My Agenda for Europe: Political Guidelines for the Next European Commission 2019-2024 (2019), https://ec.europa.eu/commission/sites/beta-political/files/political-guidelines-next-commission_en.pdf (last visited Oct. 8, 2020).

[3] 例如歐盟執委會決定Commission Decision 2011/833/EU、歐盟規則Regulation (EC) No 1049/2001及歐盟指令Directive (EU) 2019/1024等,有關近用歐盟資料之例外規定。

[4] Regulation on the Protection of Natural Persons with regard to the Processing of Personal Data by the Union Institutions, Bodies, Offices and Agencies and On the Free Movement of Such Data, and Repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC, Council Regulation 2018/1725, 2018 O.J. (L295) 39.

相關附件
※ 歐盟執委會提出資料治理與資料政策, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8550&no=57&tp=1 (最後瀏覽日:2026/07/02)
引註此篇文章
你可能還會想看
印度電子及資訊科技部公告封鎖數款由中國企業開發之應用程式

  2020年6月、9月及11月,印度電子及資訊科技部(Ministry of Electronics and Information Technology, MeitY)分別發布三項公告,內容為封鎖數款具資安風險之應用程式,並直接列出名單,總數一共高達220款。三項公告分別如下: 政府封鎖59款有害印度主權之完整性、防禦力、國家安全及公共利益的手機應用程式(Government Bans 59 mobile apps which are prejudicial to sovereignty and integrity of India, defence of India, security of state and public order)。 政府封鎖118款有害印度主權之完整性、防禦力、國家安全和公共利益的手機應用程式(Government Blocks 118 Mobile Apps Which are Prejudicial to Sovereignty and Integrity of India, Defence of India, Security of State and Public Order)。 政府禁止國內使用者使用43款手機應用程式(Government of India blocks 43 mobile apps from accessing by users in India)。   三項公告皆指出依照資訊技術法(Information Technology Act 2000)第69A條之規定,中央政府為保護印度主權之完整性、國家安全、公共利益而有必要,得透過命令封鎖、監視或解密由特定電腦資源(computer resource)產生、傳送、儲存或管理的資料。依照同法第2條第1項第k款,電腦資源係指電腦設備、電腦網路、軟體或應用程式。   電子及資訊科技部進一步表示,經民眾檢舉後調查發現,在手機Android及iOS系統之應用程式商店中,有許多應用程式未經使用者授權就存取其重要資料,並傳輸到印度境外的伺服器,不僅對印度人民隱私造成威脅,更損害印度國家安全與公共利益。有鑑於此,電子及資訊科技部決定封鎖此類具資安風險之應用程式,將名單中所列應用程式自應用程式商店中下架,名單中包括TikTok、WeChat、淘寶、支付寶、微博等應用程式。由於名單中大多數皆屬中國企業開發之應用程式,外界普遍認為是今年6月中印軍隊於邊界西段加勒萬河谷(Galwan Valley)發生衝突,因此印度透過封鎖中國資通訊服務之手段以牽制對方,預計此舉將導致兩國關係更加緊張。

從美國政府責任署建議國防部應改善其處理智慧財產的方式初探美國國防部之智財管理

從美國政府責任署建議國防部應改善其處理智慧財產的方式初探美國國防部之智財管理 資訊工業策進會科技法律研究所 2022年2月15日   根據美國政府責任署(U.S. Government Accountability Office,下稱GOA)於去(2021)年12月發布的報告指出,美國國防部(U.S. Department of Defense,下稱DOD)對智慧財產的管理能力不足,可能降低任務準備程度並導致維運軍武的成本飆升[1]。本文將簡介GOA報告的發現,聚焦於DOD的智財管理情況,藉此一窺美國國防部的智財管理模式。 壹、事件摘要   美國國會於2018年通過《國防授權法案》(National Defense Authorization Act,簡稱NDAA),裁示DOD建立智財取得及授權政策,DOD據此訂定其智財指令、規劃智財權責單位、人員及相關培訓機制,嗣後國會於2021年委請GAO檢視DOD之智財指令及其執行情況。 貳、重點說明 一、DOD的智財指令   DOD依據以下智財相關法規,設定其智財指令,如:使小型企業、大學和其他非營利組織可保留其發明之專利權的《拜杜法》(Bayh-Dole Act)[2]、授予無論規模大小所有聯邦締約方全部或部分由聯邦資金所獲得的專利權之12,591號行政命令[3],以及要求DOD應訂定相關規範以解決和締約方間技術資料的相關權利之《國防採購改革法案》(Defense Procurement Reform Act)[4]等,並強調六項核心原則[5]: 1.將智慧財產權規劃整合到採購策略中,以考量對競爭力和可負擔性的長期影響。 2.確保採購專業人員具備履行公務所需的相關智財知識,以支援智財採購規劃期間內進行關鍵的跨職能協調。 3.對智財可交付成果和相關授權進行特別協商,相較標準授權能更有效地平衡DOD和產業界間的利益。 4.就預期智財和維運目標與產業界進行明確有效的溝通。 5.尊重和保護私部門和政府資助的智慧財產權。 6.政府必須確保締約方所交付之智財成果和有相應的授權。 二、GAO檢視DOD之智財指令執行結果   應國會要求,GAO對DOD的智財指令進行通盤檢視,並對智財權責單位、人員及負責培訓之機構展開調查,訪談相關人員指令的實際執行情況,其檢視結果如下: (一)DOD的智財指令不足以促進其取得智財的製程細節或處理資料權利之能力   DOD智財指令雖整合取得、授權智財的相關法規和指引等要求,並強調其核心原則,然該指令和DOD其它相關的內部指令仍未有更明確的內容可解決取得細部製程或處理資料權利的問題。DOD通常會為其新銳軍武器系統-包含電腦軟體、技術資料、用戶手冊等取得或註冊智財權,而DOD智財指令所指的技術資料,是包括任何科學或技術性質的記錄資訊,如:產品設計或維護資料和電腦軟體檔案(含:執行程式碼、開源碼、程式碼清單、設計細節、流程、流程圖等);但常未同步取得用於運行和維護武器系統的智財,如:細部製程或技術資料等[6],倘若未及早取得或獲得相關授權,可能影響軍武系統的操作和維護,從而影響武器的競爭力,並增加管理成本[7]。   實際上,GAO已接獲因技術資料取得問題而對任務有不良影響的報告:2021年7月F-35計劃因維修供應商取得的技術資料不足以滿足維護需求,使關鍵的引擎維修時間比預期的更久;2020年3月部分海軍艦艇計劃的維護作業也因缺乏技術資料出問題,而上述情況若在計畫前期就確認包含技術資料和細部製程等所需智財,並在採購過程中及早規劃取得,可因此節省後續衍生的數十億美元維護成本[8]。 (二)DOD尚未為智財人員訂定完善的策略、人員配置規劃和投注足夠的資源,以充分履行智財指令所規定的廣泛職責   根據GOA的調查與訪談相關人員,智財人員在以下情況都面臨不確定性: 1.資金和人員配置   DOD目前計劃在2023財會年度前,為智財主任及其在國防部長辦公室(Office of the Secretary of Defense,下稱OSD)的團隊提供五個職位的資金,但其中四個為臨時職位,這可能在招聘人才的過程中造成反效果,不利於未來的人員配置。 2.連結其他計劃專家支援不足之處   OSD的智財人員希望DOD中其他計畫的智財專家庫能提供支援,協助訂定智財策略並與承包商進行談判等事宜,但DOD尚未針對 OSD智財團隊將如何和其他專家合作提出具體作法。 3.專業知識   DOD的智財指令指出智財人員應該具備:採購、擬定契約、工程學、法律、後勤、財務分析以及估值等領域的專業知識,但受訪談的人員表示,該部門目前在智財權估值和財務分析這兩個關鍵領域仍有不足,仍須進行補強[9]。 (三)智財培訓涵蓋多項活動但未安排優先順序,且未具體確定哪些人員應該接受培訓   DOD的智財培訓由其設立的美國國防武獲大學(Defense Acquisition University,又譯為國防軍需大學,下稱 DAU)執行,該大學專為國防相關之政府人員、承包商提供採購、技術和後勤等專業培訓[10]。為改善智財培訓,DAU展開為5年期的智財策略計畫,計有60多項活動待執行,但該策略計劃缺乏重點,沒有排出活動的優先順序,也未具體提出DOD的哪些智財人員應該接受培訓[11]。 (四)DOD須致力發展追蹤已取得/授權智財之後續使用情況的能力   DOD目前的智財指令指示相關政府單位須管理智財相關的契約及智財文件,以避免在採購智財及其相關授權時重複採購,或隨時間流逝而喪失智財權,然而根據訪談結果,相關人員表示DOD採購極大量的智財或相關授權,但不具備追蹤各個智財獲授權使用情形的能力[12]。 三、GAO對DOD的建議   GAO彙整其檢視DOD智財指令執行情況的結果後,對DOD提出下列四個建議[13],建議內容不外乎是指定與智財管理相關的重要項目須指定負責人,且該負責人須為對應智財相關單位的較高管理階層,確保待改善項目有監督與執行者。 (一)完善智財指南   採購及維護次長(The Under Secretary of Defense for Acquisition and Sustainment)應確保DOD智財指南已闡明DOD人員將如何取得細部製程或技術資料。 (二)確保跨部門合作與資源連結   國防部長(The Secretary of Defense)應確保部長辦公室和各部門所需的合作、人員配置和資源,以連結各計畫智財相關專家、人員。 (三)確認智財活動優先順序   採購助理部長(Assistant Secretary of Defense for Acquisition)應確保智財主任(Director of the IP Cadre)與DAU主席合作,為DAU在2023年至2025年間主責與智財相關活動確定優先順序。 (四)確保智財培訓效益   採購助理部長(Assistant Secretary of Defense for Acquisition)應確保智財主任訂定補充指引,以協助部門負責人和採購職業管理主任(Director of Acquisition Career Management,DACM)確定國防部人員在關鍵專業領域接受之智財培訓和取得的證書能使其有最大的獲益。 參、事件評析   綜觀GAO的檢視結果,雖然DOD的智財管理仍有改善空間,但以足見美國聯邦政府對其智財管理之重視程度,不僅指示部會自行管理智財,更透過部會外的公正單位,從規範到組織實際執行情況進行通盤檢視;而部會內部對於智財管理的程度,已經從訂定和整合智財相關規範,進一步到落實在日常任務中,不只重視部會所需技術本身的智財取得或保護,更欲推進到策略計劃前期,將維護軍武相關的細部製程和技術資料等相關內容及權利也納入採購範圍,甚至為此盤點智財所需的專業能力、規劃培訓專門人員,以促進智財管理的量能,其對智財管理深化及重視的程度值得我國借鏡。 [1] GAO, Defense Acquisitions: DOD Should Take Additional Actions to Improve How It Approaches Intellectual Property, (Nov. 30, 2021), available at https://www.gao.gov/products/gao-22-104752 (last visited Feb. 7, 2022) [2] The Patent and Trademark Law Amendments Act of 1980 (Bayh-Dole Act), 35 U.S.C.§§ 200–211, 301–307. [3] President’s Memorandum to the Heads of the Executive Departments and Agencies,Government Patent Policy (Feb. 18, 1983); Exec. Order No. 12,591, § 1(b)(4), 52 Fed. Reg. 13,414 (Apr. 10, 1987) [4] Defense Procurement Reform Act, 1984, Pub. L. No. 98-525, § 1201. [5] Supra note 1, 17-18. [6] Id., 7, footnote 21. [7] Id., 1. [8] Id., 1. [9] Id., 24-28. [10] DAU, About DAU, at https://www.dau.edu/about (last visited Feb., 7, 2022) [11] Id., 29-30. [12] Id., 32-33. [13] Id., 33-34.

歐美擴大永續報告書的揭露範圍,企業可透過歷程管理增進資料透明度

根據美國瑞生國際律師事務所(Latham & Watkins)於2024年1月發布的ESG年度報告指出,隨漂綠議題延燒,ESG報告不受信任為一課題,因此國際逐步擴大ESG監管,多國透過立法強制企業應揭露永續報告書或供應鏈資訊,比如:歐盟於2023年1月生效之《企業永續報告指令》(Corporate Sustainability Reporting Directive, CSRD),要求企業揭露的永續資訊需增加供應鏈資訊的透明度;美國證券交易委員會(SEC)於2024年3月6日通過規則,要求上市公司及公開發行公司揭露碳排放報告等氣候風險相關資訊。 為因應ESG帶來的挑戰,報告建議企業應採取流程化管理方式,了解產品進出口涉及的其他國家對ESG揭露資訊的要求,加以規劃並建置資料控管規範、進行人員教育訓練以及確認ESG相關資料的所有權歸屬。 由於碳排放量的計算沒有一致標準,且難以確保供應鏈上下游所提供的碳排資訊真實、未經竄改等問題,外界不容易信任企業永續發展書提倡的供應鏈減碳策略。國內企業可參考資策會科法所創意智財中心發布的《重要數位資料治理暨管理制度規範(EDGS)》,透過流程化管理,從制度規劃及留存供應鏈二氧化碳排放量或二氧化碳減量等產品相關資料歷程來增進ESG資料透明度。 本文同步刊登於TIPS網(https://www.tips.org.tw)

關於中國大陸商標不予註冊事由—在先著作權的認定

關於中國大陸商標不予註冊事由—在先著作權的認定 科技法律研究所 法律研究員 林昭如 2014年12月26日 壹、前言   《中華人民共和國商標法》(下稱《商標法》)第32條規定,申請商標註冊不得損害他人現有的在先權利。中國大陸的商標確權案件中,常有以著作權登記證書主張在先著作權。然實務上,在部分情況,單以著作權登記證書證明著作權歸屬,其證明力仍嫌不足。   有一文化用品,將其完成幾乎與畢卡索名畫「夢」完全相同的作品,向上海市版權局申請著作權登記。隨後,亦向國家工商行政管理總局商標局申請商標註冊,指定使用於筆類等商品。國家工商行政管理總局商標評審委員會認為,該商標侵害他人的在先著作權,因而裁定不予核准註冊。該文化用品公司不服,因此向北京市第一中級人民法院提起行政訴訟,主張被異議的商標圖形為原創作品,且已取得上海市版權局之著作權登記證書,然法院表示,畢卡索的《夢》世界聞名,推定有接觸可能;且以被異議商標圖形的著作權登記證書為單一證據,尚無法證明系爭圖形之著作權歸屬於該公司[1]。   由於畢卡索的《夢》世界聞名,法院推定有接觸可能,較無疑問,故本文將分析除了著作權登記證書外,其他可作為著作權歸屬的佐證資料,提供台灣企業為著作產出過程的證據保存與管理之參考。 貳、重點說明   由上述事例案可知,當被推定有接觸據爭著作可能時,縱使已取得著作權登記證書,仍不足證明著作權歸屬。實務上,除了以著作權登記證書證明在先著作權外,亦有以在先商標註冊證,證明在先著作權者,關於其證據力分述如下。 一、著作權登記證書之證據力   最高人民法院《關於審理著作權民事糾紛案件適用法律若干問題的解釋》第7條規定,當事人提供的涉及著作權的底稿、原件、合法出版物、著作權登記證書、認證機構出具的證明、取得權利的合同等,可以作為證據。但,此僅作為登記人擁有該登記作品著作權的初步證明,因登記機關是根據登記人主張的創作完成時間為登記,並未進行創作歷程、有無抄襲等實質審查。   當作品早於系爭商標註冊申請日的著作權登記,若無反證推翻,即可能認定在先著作權成立,具有相對高的證明力。問題在於,晚於系爭商標註冊申請日的著作登記,又無法提出其他證據時,如:創作歷程佐證,即使著作權登記證書所載之創作完成時間,早於系爭商標註冊申請日,仍無法證明為著作人。 二、在先商標註冊證之證據力   實務上,有些圖形商標亦構成《中華人民共和國著作權法》(下稱著作權法)第3條的作品。惟原定既是作為商標使用,故通常僅取得商標註冊證,未另為著作權登記。有依據《著作權法》第11條第4款規定,如無相反證明,在作品上署名的公民、法人或者其他組織為作者。主張以商標註冊證所載之註冊人等資訊,為上揭條文之「署名」。有多件法院判決認為,在先商標註冊不足證明在先著作權成立[2],原因在於《著作權法》中的「署名」為作者的姓名表示,然商標註冊證所載之註冊人則在於表示商標專用權人,與《著作權法》的姓名表示權意義不同。 參、事件評析   由上述重點說明可知,儘管有著作權登記證書或在先商標權註冊證,在多數情況下,如無其他佐證,仍無法證明在先著作權。著作權登記制度僅具公示力,證明某個著作在某個時點的特定人主張著作權,登記機關以登記人主張的創作完成時點、首次發表時點為準,並不進行實質審查,有可能發生非真正的著作權人進行登記。 故當對造當事人提出證據推翻著作權登記證書的公示資訊時,尚須再提出其他證據,證明作品為自行創作,其方式有: 一、在著作原件署名   依據《著作權法》第11條第4款規定,如無相反證明,即推定作品上之署名為作者。因此推定的效果,對於著作權人而言,在主張在先著作權利時,可以降低舉證責任。 二、保留創作紀錄   此為證明著作為自行創作的最直接證據,例如:工作會議紀錄、草稿、創作使用的素材、創意發想紀錄、依照日期進行不同階段的存檔…等。這些紀錄除可證明為原創,亦可證明是獨立創作而非抄襲他人。   最後,通常原規劃作為商標使用的圖形設計,大多不會進行創作歷程紀錄,甚或在作品署名,他日如有第三人主張在先著作權,往往面臨無法提出證據推翻之窘境,故建議針對具備創作高度而該當著作權保護之標的,比照上述方式,進行創作歷程保留並進行著作權登記,確保權利之取得與維護。 [1]谭乃文,〈商标确权案中的在先著作权〉,国家知识产权战略网,2014/08/29,http://www.nipso.cn/onews.asp?id=22682 (最後瀏覽日:2014/8/29) [2]徐琳,〈商標圖樣的著作權保護之困境與出路—《商標法》保護在先著作權條款的立法精神與審理標準探析〉,《電子知識產權》,第278期,頁54(2014)。

TOP