美國總統簽署《外國公司問責法》要求中資企業遵守證券交易市場監管及審計規則以保護美國投資者
美國參眾議院於2020年12月2日通過《外國公司問責法》(Holding Foreign Companies Accountable Act),並於12月18日由總統簽署生效。該法要求所有查核美國公開發行公司的國內外會計師事務所,應根據美國證券交易法規,向「美國上市公司會計監督委員會」(Public Company Accounting Oversight Board, PCAOB)註冊並接受監督;若是該外國公司連續三年不配合PCAOB審查,將禁止該公司的證券在任何美國證券交易所掛牌交易。
2002年《沙賓法案》(Sarbanes-Oxley Act)授權PCAOB制訂審計準則;然而PCAOB在外國公司監管方面面臨挑戰,截至2020年9月,中國及香港共有17家在PCAOB註冊登記的會計師事務所,為203家公開發行中國公司簽署審計報告,總市值達1.6兆美元;但中資企業援引中國大陸證券交易法、國家秘密法、檔案法及「關於加強在境外發行證券與上市相關保密和檔案管理工作的規定」,要求工作底稿等檔案應存放於中國境內,若境外監理機關(例如美國PCAOB),欲對某間中國公司進行審計,則應事先向中國證監督管理委員會和主管部門報告並經批准後由雙方合作進行,藉此規避PCAOB檢查,已不當損害美國投資人利益;故本次國會通過《外國公司問責法》參考2020年7月「總統金融市場工作小組」(The President's Working Group on Financial Markets, PWG)發布的《保護美國投資者免受中國公司重大風險報告》(Report on Protecting United States Investors from Significant Risks from Chinese Companies),要求在美國上市的中國大陸公司,由PCAOB實施獨立監管,並查閱公司主要工作記錄及審計底稿,若不遵守規定,美國證券交易委員會(United States Securities and Exchange Commission, SEC)應要求該中國大陸公司從美國證交所下市;達到保護美國投資者、降低新興市場投資風險、提高證券交易所上市標準之目標。
此外,若公司所聘僱的會計師事務所在外國司法管轄區域內有辦公室或分支機構,而PCAOB無法對其進行有效監管,該公司即必須證明其不受外國政府所有或控制,並在審計報告中揭露以下資訊:(1)外國政府擁有註冊發行公司的股份百分比;(2)外國政府是否享有財務控制權;(3)與中國共產黨官員相關的任何訊息;(4)發行公司章程內是否載有中國共產黨工作事項等。
本文為「經濟部產業技術司科技專案成果」
許祐寧
專案經理 編譯整理
S.945 - Holding Foreign Companies Accountable Act, 116th Congress, Dec.18, 2020, https://www.congress.gov/bill/116th-congress/senate-bill/945 (last visited Jan. 6, 2021).
Statement after the Enactment of the Holding Foreign Companies Accountable Act, U.S. Securities and Exchange Commission, Dec. 18, 2020, https://www.sec.gov/news/public-statement/clayton-hfcaa-2020-12 (last visited Jan. 6, 2021).
President’s Working Group on Financial Markets: Report on Protecting United States Investors from Significant Risks from Chinese Companies, The President's Working Group on Financial Markets, July 24, 2020, https://home.treasury.gov/system/files/136/PWG-Report-on-Protecting-United-States-Investors-from-Significant-Risks-from-Chinese-Companies.pdf (last visited Jan. 6, 2021).
China-Related Access Challenges, PCAOB, Sept. 30, 2020, https://pcaobus.org/oversight/international/china-related-access-challenges (last visited Jan. 6, 2021).
許祐寧,〈美國防堵華為策略之法制研析〉,科技法律透析第32卷第8期,2020年8月,https://stli.iii.org.tw/legal-details.aspx?no=65&d=7320&i=9129(最後瀏覽日:2021/1/6)。
范晏儒,〈中國大陸商務部《不可靠實體清單規定》〉,資策會科法所,2020年11月,https://stli.iii.org.tw/article-detail.aspx?tp=5&i=180&d=8548&no=67(最後瀏覽日:2021/1/6)。
美國明尼蘇達州明尼亞波利斯市的市議會鑑於人臉辨識技術有可靠性的疑慮,以及對有色人種有潛在的傷害,該議會於2021年2月12日通過修正《明尼亞波利斯條例》(Minneapolis Code of Ordinances)關於資訊治理(Information Governance)的部分,新條例規定除有例外情形,禁止政府部門採購人臉辨識技術及使用從該技術獲得之資訊。明尼亞波利斯是繼波士頓、舊金山、奧克蘭等,新加入禁用人臉辨識技術的城市。 新條例是由該市市議會議員Steve Fletcher倡議,其指出市民擔心在未得其同意時使用人臉辨識技術進行監視,是否會侵害市民的隱私權。此外,根據研究亦顯示人臉辨識技術仍存在瑕疵,尤其是辨別婦女、兒童和有色人種的錯誤率相當高,而不正確的識別,恐怕讓弱勢者受到更不利的對待。 明尼亞波利斯市以明尼蘇達州《明尼蘇達政府資料應用法》(Minnesota Government Data Practices Act)中所定資料隱私原則,作為制定新條例的基礎,規定在蒐集有關個人資料時應考慮並重視個人隱私,包含僅在具備理由時始得蒐集資訊,並且就蒐集的內容與原因保持透明。再者,新條例要求在市議會設置專門的委員會,市政府應向該委員會提出書面報告,說明新條例遵守的情形,以及追蹤及報告違反的情形及賠償措施。惟隨著技術和情事的變化,政府部門可能有使用人臉辨識技術的需求,就此,新條例規定政府部門需向市議會解釋使用該技術的必要性、說明如何使用該技術及所獲取之資訊、對技術及所獲取之資訊進行監管的計畫,市議會依規定應召開公聽會。若例外情形符合消除歧視、保護隱私、透明與公眾信任的目標,市議會則可同意政府部門使用人臉辨識技術,或要求政府部門修正前述監管計畫,作為市議會同意的條件。
歐盟啟用半導體供應鏈示警系統,監測各成員國半導體供應鏈狀況歐盟執委會(European Commission, EC)於2023年5月10日宣布啟用《歐盟晶片法案》(EU Chips Act)三支柱之一的半導體供應鏈示警系統(Semiconductor Alert System),其目的在於監測半導體供應鏈短缺之問題。 根據《歐盟晶片法案》,歐盟各成員國的半導體供應鏈主管機關須定期執行半導體供應鏈的觀測任務,以隨時確認半導體供應鏈之狀況。然而,由於歐盟係由眾多不同的國家所組成,各成員國間訊息的流通相比於其他單一國家可能較為緩慢,故EC決定創建半導體供應鏈示警系統,交換半導體供應鏈資訊以解決上述問題。在此系統中,私人企業得單獨對所處產業中的早期半導體短缺進行回報,惟個別產業常常單獨誇大或高估危機的發生可能性,對此,EC成立了歐盟半導體專家小組(European Semiconductor Expert Group, ESEG),協助收集各半導體產業與成員國所回報之訊息,除將其用於建立風險評估外,亦彙整並分析成有價值的資訊後再分享給各成員國。 若資訊收集完成後,ESEG或EC察覺歐盟確實有發生半導體供應鏈崩潰的危險,EC將召開特別委員會會議(extraordinary board meeting),共同尋求解決方案,包含聯合政府採購(joint procurement),或與第三國進行合作,以合力解決半導體供應鏈之危機。
印度宣布將推出數位印度法案取代過時的資訊科技法印度電子及資訊科技部(Ministry of Electronics and Information Technology, MeitY)於2023年3月展開了一次公開諮詢和協商,介紹了印度政府以創建印度數位技術生態系統為目的而建構的法律新框架,該框架以《數位印度法案》(Digital India Act)為核心,用來取代已有22年歷史的《資訊科技法》(Information Technology Act)。MeitY強調,現行資訊科技法的創立時代背景中不僅缺乏電子商務、社交媒體平台等現代網路服務,甚至印度還未進入數位化時代,因此有必要進行通盤的法規調整,以符合當代和未來的社會變遷和對法規範的需求。 目前《數位印度法案》的草案細節尚未公布,但是MeitY的介紹揭露印度在未來政策中所重視的幾個方向: 1.新的中介類別:重新定義數位經濟產業中的中介機構類別(如數位媒體、搜尋引擎、遊戲、人工智慧、OTT平台、電信服務業者……等),並依據未來的技術發展及產業轉型,適時的調整新的分類。 2.網路犯罪刑事化:將網路犯罪(如網路色情、詐騙、霸凌、身分冒用或未經授權散播個人資料)歸類為刑事犯罪;過去的資訊科技法僅對此類行為予以罰款。 3.問責機制:建立一個線上的民刑事檢舉、審判機構,並且提供方便使用者採取權利救濟措施的線上管道;另外印度政府也將涉及演算法透明度(algorithmic transparency)、人工智慧的定期風險評估(periodic risk assessments)等評估機制納入監管項目的考量中。以建立網路用戶的權利救濟措施及數位服務者提供服務過程中的責任釐清。 4.防壟斷機制:提出開放網路(Open Internet)的概念,認為網路服務應該是具有選擇性的、容許競爭的、多樣性的,在確保網路服務的多樣性和非歧視性及非壟斷性的前提下運作;印度政府希望能夠監理佔有主導地位的廣告平台和應用程式平台,防止市場力量過度集中造成壟斷。 5.年齡門檻:對於未成年人在社交平台、遊戲和賭博程式中的資訊蒐集、資訊安全和隱私保護加以規範,並且避免以鎖定未成年人為對象的資料蒐集機制。 除了以上五點外,MeitY在介紹《數位印度法案》時也表示為了應對現今數位化時代的發展,並且確保公民的權利保障延伸到數位世界中,將承認被遺忘權(right to be forgotten)、不受歧視權(right against discrimination)和數位繼承權(right to digital inheritance)等數位時代中發展出來的權利。另外,將「推動公私部門及個人於使用數位資訊時的相關規範」以及「保護個人資料的資料保護法案」等議題做為評量指標,以做為規劃印度國家數位治理時的重要考量。這些方針都揭示了印度正在試圖踏上更有規模、更安全且可信賴的數位生態系統建置之路,《數位印度法案》的相關發展細節值得再持續關注。
新加坡公布「於安全性應用程式負責任地利用生物特徵識別資料指引」協助組織合理利用生物特徵識別資料新加坡個人資料保護委員會(Singapore Personal Data Protection Commission, PDPC)於2022年5月17日,公布「於安全性應用程式負責任地利用生物特徵識別資料指引」(Guide on the Responsible Use of Biometric Data in Security Applications),協助物業管理公司(Management Corporation Strata Title, MCST)、建築物及場所所有者或安全服務公司等管理機構,使各管理機構更負責任地利用安全攝影機和生物特徵識別系統,以保護蒐集、利用或揭露的個人生物特徵識別資料。 隨著安全攝影機等科技應用普及化,管理機構以錯誤方法處理個人生物特徵識別資料之情形逐漸增多,因此PDPC發布該指引供管理機構審查其措施。其中包括以下重點: (1)定義生物特徵識別資料包含生理、生物或行為特徵,及以此資料所建立之生物特徵識別模版; (2)說明維安攝影機及生物特徵識別系統運用所應關鍵考量因素,如避免惡意合成生物特徵之身分詐欺、設定過於廣泛而使系統識別錯誤等情形,並舉例資料保護產業最佳範例,如資料加密以避免系統風險、設計管理流程以控管資料等; (3)說明生物特徵識別資料在個資法之義務及例外; (4)列出實例說明如何安全監控之維安攝影機,並提供佈署建築物門禁或應用程式存取控制指引,例如以手機內建生物識別系統管理門禁,以取代直接識別生物特徵,並有提供相關建議步驟及評估表。 該指引雖無法律約束力,仍反映出PDPC對於安全環境中處理生物特徵識別資料之立場。而該指引目前僅針對使用個人資料的安全應用程式之管理機構應用情境,並未涵蓋其他商業用途,也未涵蓋基於私人目的使用安全或生物特徵識別系統之個人,如以個人或家庭身分使用居家高齡長者監控設備、住宅生物特徵識別鎖等應用情境。