歐盟個資保護委員會對英國個資傳輸適足性認定之意見

歐盟、中國第三方支付立法簡介 科技法律研究所 2013年4月1日 壹、事件摘要 　　自2010年起，國內便不斷湧現訂立第三方支付專法的呼聲，希望主管機關開放第三方支付相關業務，並立法給予第三方支付明確的法律地位，以提升產業發展環境，滿足產業發展需求。事實上，第三方支付服務在國外已有多國立法規範，如中國、歐盟、日本、美國、新加坡、香港、泰國、馬來西亞等等。有將第三方支付定位為資金傳輸業者，或強調是「非銀行」的金融服務業者，著重於第三方支付服務的支付清算功能。多數國家的第三方支付主管機關為金融監理單位或者是中央銀行，如日本金融廳，英國金融服務局(Financial Service Authority，FSA)，新加坡金融管理局(Monetary Authority of Singapore，MAS)，中國、馬來西亞、泰國央行。礙於篇幅，本文以下僅就歐洲以及中國規範做介紹。 貳、重點說明 一、歐盟 　　第三方支付服務為歐盟2007年「支付服務指令(Payment Service Directive，簡稱PSD) 」所規範的「支付服務(payment service)」，第三方支付服務業者為指令所稱之「支付機構(payment institution)」。依照PSD第5條規定，支付機構欲進行營業必須要依照會員國國內法向會員國相關主管機關提出核准申請。以英國而言，英國的主管機關是「金融服務局(Financial Service Authority)」。 以下說明重要規範。 (一)創辦資本(initial capital)最低金額： 　　依照第6條，支付機構具有最低創辦資本額限制，網路支付機構的最低資本額限制為五萬歐元。 (二)資本維持義務(Own funds)： 　　依照第8條規定，支付機構必須要繼續持有一定數額的資金，至於應持有的金額，以下述三標準判定，如果下述三標準判定出的金額低於前述創辦資本的金額，則以創辦資本的金額為應持有資金的數目： 1.前一年度固定經常費用(overhead)的10%。 2.依照前年月平均處理金額的一定比率決定。 3.依照前一會計年度利息收入、利息支出、所收取的費用以及其他營運收入的總和，按比例提存之。如果實際無前一會計年度資料，可採取預估值。 (三)資金防護義務(safeguarding requirements)： 　　依照第9條規定，支付機構對於自消費者所收取的代收轉付資金，必須要提供下述防護措施，原則上只要滿足其一即可。對於個別支付金額超過600歐元的消費者，指令認為會員國的主管機關可以要求對於這類大額消費者單獨提供防護措施。 1.專用存款帳戶： 　　消費者的資金不得與其他資金混同，支付機構一旦收取代收轉付資金即須將之存入獨立的帳戶，或者是投資於由會員國指定的低風險、流動性佳的資產。 2.破產隔離： 　　應依照會員國的國內法，基於消費者的利益做好破產隔離工作，排除支付機構的其他債權人對代收轉付資金主張權利。 3.保險： 　　為消費者的代收轉付資金投保，或者是提供其他來自保險公司或者是信用機構同等效力的擔保，在支付機構無法履行其財務責任時進行理賠。 (四)資料保存義務(Record-keeping)： 　　依照第19條規定，會員國應要求支付機構妥善保存交易資料，保存義務期限至少五年。 (五)洗錢防制義務： 　　依照第5條規定，支付機構在申請核准時，需要提供公司治理以及內部控制規劃架構，其中第f款指出，支付機構須提出符合Directive 2005/60/EC以及Regulation (EC) No 1781/2006關於防制洗錢以及恐怖組織金融活動(terrorist financing)的內部控制機制。 (六)書面締約義務： 　　依照第41條規定，支付服務提供者必須要與支付服務使用者就第42條所規定的事項以紙本或者是其它可永久保存的媒體(durable medium)進行締約。第41條並要求支付服務提供者應在契約中使用淺顯易懂的文字，並以支付服務提供者所在國的官方語言或者是雙方同意使用的語言進行。第42條所規定的契約要項除了雙方的姓名之外，必要規定事項包含費用說明、支付服務使用所需的系統說明等等，除了必要規定事項，雙方也可以約定支付服務的支付金額限制，或者是依照第55條約定服務提供者得基於支付工具安全的理由限制支付工具的使用，例如發生可疑交易或詐欺事件而封鎖使用者，暫停其使用權限。 二、中國 　　中國人民銀行在2010年發布了「非金融機構支付服務管理辦法」，依照該法第2條規定，網路支付為該法所稱之非金融機構支付服務。非金融機構提供支付服務，應當向中國人民銀行申請取得「支付業務許可證」成為支付機構，未按規定申請者將被處以行政罰，嚴重者會被處以刑罰。支付業務許可證的有效期限五年，達五年期限者得於期滿前半年申請續展。 (一)最低資本額要求： 　　依照第9條規定，想要在中國全國境內提供支付服務者，最低註冊資本額為1億元人民幣；想要在中國單一省，或自治區、直轄市範圍內提供不跨境的支付服務者，最低註冊資本額應達3000萬元人民幣。最低註冊資本額為實繳貨幣資本，應於申請支付業務許可證時全數繳足。 (二)洗錢防制義務： 　　依照第8條規定，許可證申請人在申請時必須要提出符合相關法令要求的反洗錢措施。依照「非金融機構支付服務管理辦法實施細則」第4條規定，所謂的「反洗錢措施」，包括反洗錢內部控制、客戶身份識別、可疑交易報告、客戶身份資料和交易記錄保存等預防洗錢、恐怖融資等金融犯罪活動的措施。依照第44條規定，支付機構如果沒有履行反洗錢義務，中國人民銀行將可依據相關的反洗錢法規進行處罰，嚴重者得撤銷其支付業務許可證。 (三)服務使用者真實身分查核義務： 　　支付服務的使用者在註冊時必須要提供真實的身分資料。依照第31條規定，支付機構應該要對於客戶所提出的資料比對其有效的身分證件或者是其它的身分證明文件，並且進行登記。 (四)支付服務協議書面簽約義務： 　　支付機構應該與客戶就雙方之間的權利義務、糾紛處理原則以及違約責任等等事項簽訂協議。支付協議可以紙本也可以電子方式呈現，依照「非金融機構支付服務管理辦法實施細則」第32條規定，支付服務協議「包括符合法律法規要求、可供調取查用的紙質形式或數據電文形式的合同。」，與我國電子簽章法第四條關於以電子文件作為法律「書面」要件的規定相似。 (五)專用存款帳戶開立義務： 　　依照第26條規定，支付機構收受服務使用者的資金後，必須要將資金存入在商業銀行所開立的「備付金專用存款帳戶」。一個支付機構只能在一家商業銀行開立一個備付金專用存款帳戶。另外特別指出，依照第24條規定，客戶備付金非支付機構之自有財產，支付機構只能根據客戶的指示轉移備付金，不得自行挪作他用。 (六)資本維持義務： 　　依照第30條規定，支付機構的實際持有資本不能低於日處理金額的10%，日處理金額以90天內每日日中的平均餘額計之。 (七)資料保存義務： 　　依照第34條規定，支付機構應該要妥善保管客戶身分資料、支付業務資料以及會計檔案等資料。依照實施細則第39條，資料保存義務至少為五年。 (八)報表提交義務以及受查義務： 　　依照第20條，支付機構有義務向中國人民銀行提交支付業務統計報表以及財務會計報表。另外依照第35條，支付機構有義務配合中國人民銀行定期和不定期的現場檢查以及非現場檢查。 參、事件評析 　　綜整歐盟以及中國立法例，管制重點為確保業者具有償債能力和營運能力以及洗錢犯罪防制，要求經營需事先申請許可並另外輔以查核等機制。共通管制規範如下： (一)洗錢防制要求： 　　皆要求業者必須要具備內部洗錢防制措施，對外則需要與主管機關密切配合。 (二)償債能力備置要求： 　　要求服務提供者維持一定的資金水位，以避免服務提供者發生賠償責任時無償債能力。歐洲另輔以金融保證或保險，或是以其它方式進行風險隔離。 (三)專用存款帳戶： 　　歐盟與中國皆要求開立專用存款帳戶，避免與服務提供者的資金混同，明確帳務。 (四)代收資金運用限制： 　　業者收取之待轉資金限用於服務使用者指示之移轉，如准予用作投資，也僅限投資於低風險產品，且投資總額必須要依一般會計準則將資金水位維持在代收轉付資金的帳面價值之上。 (五)資料保存義務： 　　為了滿足洗錢防制追查的需求，要求業者對於交易資料進行保存的工作。無獨有偶，歐盟以及中國的保存義務年限都是至少五年。 (六)書面簽約義務： 　　為了保障消費者，要求業者以契約明確列出服務提供的要項以及雙方的權利義務關係。契約需為書面，以電子方式為之應符合各國以電子為書面的法律要件。

　　2019年5月3日，來自全球30多國的政府官員與來自歐盟、北大西洋公約組織的代表於捷克布拉格所舉辦的5G資安會議（Prague 5G Security Conference）中，強調各國建構與管理5G基礎建設時應考慮國家安全、經濟與商業發展等因素，特別是供應鏈的安全性，例如易受第三國影響之供應商所帶來的潛在風險，本會議結論經主辦國捷克政府彙整為布拉格提案（The Prague Proposals），作為提供世界各國建構5G基礎建設之資安建議。 　　在這份文件中首先肯認通訊網路在數位化與全球化時代的重要性，而5G網路將是打造未來數位世界的重要基礎，5G資安將與國家安全、經濟安全或其他國家利益，甚至與全球穩定等議題高度相關；因此應理解5G資安並非僅是技術議題，而包含技術性與非技術性之風險，國家應確保整體性資安並落實資安風險評估等，而其中最關鍵者，則為強調確保5G基礎建設的供應鏈安全。 　　因此在布拉格提案中強調各國建構通訊網路基礎建設，應採用國際資安標準評估其資安風險，特別是受第三國影響之供應商背後所潛藏之風險，並應重視5G技術變革例如邊緣運算所產生的新風險態樣；此外對於接受國家補貼之5G供應商，其補貼應符合公平競爭原則等。布拉格提案對於各國並無法律上拘束力，但甫提出即獲得美國的大力肯定與支持。

美國網路安全相關法規與立法政策走向之概覽 科技法律研究所 法律研究員 沈怡伶 104年08月11日 　　網路安全（cyber security）是近年來相當夯的流行語，而在這個萬物聯網時代，往後數十年對於網路安全的關注勢必不會減退熱度。在美國，因層出不窮的網路攻擊和資料外洩事件讓政府機關不勝其擾，也讓許多企業產生實質上經濟損失和商譽受損，隨之而來的是聯邦和州政府主管機關的關切目光，除了透過政策和行政規管之外，國會也開始制訂新法或對現行法規進行修法，補入對於網路安全維護之要求，以下本文將簡介美國現行法規範之要點及目前最新法案。 壹、美國聯邦政府相關網路安全規範、標準及措施 一、金融業相關管制規範 　　對金融機構的管制依據為「金融服務業現代化法/格雷姆-里奇-比利雷法（Gramm-Leach Bliley Act, GLBA ）」，該法要求金融機構必須建置適當的程序保護客戶的個人財務資訊，維護客戶個人資料的機密性、完整性和安全性，避免遭受任何可遇見的威脅或騷擾，以及避免任何未經授權的近用行為導致損害或對客戶造成不便利[1]。 　　另外美國證券交易委員會（Security and Exchange Commission, SEC）下設法令遵循檢查與調查室（SEC Office of Compliance Inspections and Examinations, OCIE），在2014年發布全國檢查風險警示（National Exam Program Risk Alert），命名為「OCIE 網路安全芻議（OCIE Cybersecurity Initiative）」，用來評估證券交易商和投資顧問對網路安全維護的準備以及曾遭遇過的資安威脅種類和經驗；而金融監管局（Financial Industry Regulatory Authority ,FINRA）也在2014年實施「掃蕩計畫（sweep program）」，金融監管局就其主管的特定企業會寄發的檢查通知書，要求回答有關於企業網路安全的相應準備措施[2]。 二、支付卡產業資料安全標準（Payment Card Industry Data Security Standard, PCI DSS） 　　該標準是由支付卡產業標準協會由五家國際信用卡組織聯合訂定的安全認證標準，雖不具法律位階，但因其公信力，美國企業都會自律遵循的規範，保護支付卡的資料安全。該標準關注於組織應該要開發和維護資訊系統和應用程式，並追蹤和監督網路資源和持卡者的個人資料，並發展出一個強健的支付卡數據安全流程，包括預防、偵測及適當回應資安事故的方式[3]。 三、醫療健康資訊相關管制規範 　　「健康保險可攜式及責任法（Health Insurance Portability and Accountability Act of 1996, HIPPA）」是最先開始要求所有電子化的受保護醫療照護資料在創建、接收、維護和傳輸時，需受有基本的保護措施和機密性之法規[4]；爾後，「經濟與臨床健康資訊科技法(Health Information Technology for Economic and Clinical Health Act, HITECH)」則將HIPPA適用主體擴及所有處理受保護醫療照護資訊的個人和機構，並強化資訊傳輸時的安全性和效率性規定[5]。 貳、立法焦點新況：網路安全及網路威脅資訊共享 　　美國政府對網路安全非常看重，因其對國家經濟和國家安全都有巨大的影響力，不過美國總統歐巴馬曾明白表示美國對於資訊及通信基礎建設的防護措施尚未到位，也尚未建立數位關鍵基礎建設的全方位發展策略；透過盤點與檢視，美國政府的網路空間政策（Cyberspace Policy）方向之一，是建立網路安全合作夥伴關係，包括各級政府間的水平合作及公、私部門間的上下合作網絡，共同研發尖端技術因應數位式帶的網路安全威脅[6]。 　　針對網路威脅資訊分享方式，美國國會一直持續的研擬相關法案，希望能在妥適保護公民隱私和公民自由的前提下，建立資訊分享管道，2015年3月美國參議院提出754號法案「網路安全資訊分享法2015（Cybersecurity Information Sharing Act of 2015, CISA）」[7]，試圖將CISA作為國防授權法（National Defense Authorization Act，NDAA）修正案之一部，但卻未獲得足夠通過票數[8]。CISA係由美國情報局（Director of National Intelligence）、國土安全部(Department of Homeland Security)、國防部（Department of Defense）和司法部（Department of Justice）共同定之，計十條，目的之一是希望透過法律授權讓聯邦政府機關能即時的將機密性或非機密性網路威脅指標分享與私人實體（個人或企業）[9]、非聯邦政府機關單位、州政府、原住民政府和當地政府，以阻止或減輕網路攻擊帶來的負面衝擊；其二，允許私人實體得為網路安全之目的，在一定要件下監控自己或他人的資訊系統，以運作相關的網路安全防御措施，並分享資訊給聯邦各級政府。CISA亦設計了監督機制，和隱私及公民自由保護條款，避免變相創造一個撒網過廣的監控計畫[10]。CISA法案雖未通過，但參議院並未放棄，欲以該法案的基礎框架進行修正，修正重點為訂定資料外洩事件通報標準並擴大隱私權之保護，預計於同年8月底國會休會期前再次提出修正版本進行表決[11]。 現行法案重點在資訊共享並授權私人實體監控自己或他人之資訊系統，而主要分享標的為「網路威脅指標（cyber threat indicator）[12]及「防禦措施（defensive measure）」[13]。網路威脅指標係指有必要描述或鑒別之： 一、惡意偵察，包括為蒐集與網路安全威脅[14]或安全漏洞之技術資訊，而利用異常態樣的通信模式。 二、能破解安全控制或利用安全漏洞的方法。 三、安全漏洞。包括能指出安全漏洞存在的異常活動。 四、使用戶合法使用資訊系統或儲存、處理、傳輸資訊時，不知情地使安全控制失效或利用安全漏洞的方法。 五、惡意網路命令和控制。 六、引發實際或潛在的危險，包括因特定網路安全威脅使資訊外洩。 七、其他任何具網路安全威脅性質者，且揭露並不違法其他法律者。 八、任何結合上開措施之行動。 　　防禦措施（Defensive measure）則指一個行動、裝置、程序、簽名、技術或其他方式應用於資訊系統或透過該資訊系統進行儲存、處理或傳輸之資訊，能防禦、阻止或減緩已知或懷疑的網路安全威脅或安全漏洞。但不包括私人實體自行/經聯邦機關或其他實體授權同意，破壞、使其無法使用或實質傷害資訊系統或資訊系統內之資訊的相關措施。 　　就資訊共享部分，法案第3條及第5條分別明定聯邦機關分享機密性網路威脅指標給私人實體、以及私人實體分享網路威脅指標和防禦措施給聯邦政府機關之管道。前者指定司法部應會同國土安全部、國家情報委員會及國防部訂定相關辦法，；後者相關辦法由司法部訂定，讓聯邦機關依法接收來自私人實體的指標和防禦措施，不論是電子郵件、電子媒體、內部網路格式、或資訊系統間的即時性和自動化程序等各種形式之資訊，且需定期檢視對隱私與公民自由的保護狀況，限制接受、保留、使用、傳播個人或可識別化個人之資訊。 　　美國各級政府機關得經私人實體同意後，得利用所接收的網路威脅指標，用以預防、調查或起訴下列違法行為：即將發生而可能造成死亡、重大人身傷害、重大經濟危害的威脅，威脅包括恐怖攻擊、大規模殺傷性武器；涉及嚴重暴力犯罪、詐欺、身份竊盜、間諜活動、通敵罪及竊取商業機密罪。另針對監控資訊系統部分，法案第4條授權私人實體得為網路安全目的監控自己或他人所有之資訊系統及資訊系統中儲存、處理或傳輸之資訊，並應用相關防禦措施來保護權利及資產，若屬其他私人實體或聯邦機關之資訊系統，需取得其他私人實體或聯邦機關之授權及代表人之書面同意。 參、小結 　　網路威脅的態樣隨著經濟活動發展和科技技術不斷變化和演進，故在擬訂應對措施時，須納入「適應性（adaptation）」概念，適應性指需要具體討論如何分配實質上的物質資源和經濟上資源，來保護組織內最有價值的智慧財產權和客戶資訊；提供成員和利害關係人相關資訊，讓他們關注網路威脅並能實踐可行的安全措施[15]。 　　就美國在訂定網路安全相關政策及規範之走向來看，充分及即時的資訊互享流通方能產出完善且強健的安全防護政策，惟其中牽涉到國家機密資訊、私部門智慧財產權和商業機密以及個人隱私和自由權利之保護議題。是以，從眾議院到參議院陸續所提出各版本的網路威脅資訊共享草案，均受有恐將產生大規模監控美國公民計畫之爭議，故至今尚未成功通過任一法案。惟資訊共享所帶來之正面效益和影響並未被否定，而究竟如何建構健全且可靠之機制，尚待各方團體與立法機關進行充分的溝同及討論，協同打造能安心活動之網路虛擬空間。 [1] Gramm Leach Bliley Act, https://www.ftc.gov/tips-advice/business-center/privacy-and-security/gramm-leach-bliley-act (last visited Aug.11, 2015). [2]Paul Ferrillo, Weil, Gotshal & Manges LLP, Cyber Security and Cyber Governance :Federal Regulation and Oversight, http://corpgov.law.harvard.edu/2014/09/10/cyber-security-and-cyber-governance-federal-regulation-and-oversight-today-and-tomorrow/ (last visited Aug.11, 2015). [3] PCI DSS, PCI Security Standard Council, https://www.pcisecuritystandards.org/security_standards/documents.php?document=pci_dss_v2-0#pci_dss_v2-0 (last visited Aug.11, 2015). [4] Health Information Privacy, HHS.gov, http://www.hhs.gov/ocr/privacy/ (last visited Aug.11, 2015). [5] Health IT Legislation, Health IT.gov, http://healthit.gov/policy-researchers-implementers/health-it-legislation (last visited Aug.11, 2015). [6] Cybersecurity Laws& Regulations, Homeland Security, https://www.whitehouse.gov/sites/default/files/cybersecurity.pdf (last visited Aug.11, 2015). [7] https://www.congress.gov/bill/114th-congress/senate-bill/754 [8] Text:754-114th Congress, Congress. Gov, http://www.natlawreview.com/article/senate-fails-to-include-cybersecurity-legislation-part-national-defense-authorizatio (last visited Aug.11, 2015). [9] Sec.2(15). [10] S.754- Cybersecurity Information Sharing Act of 2015 Summary, Congress. Gov, https://www.congress.gov/bill/114th-congress/senate-bill/754 (last visited Aug.11, 2015). [11] Amy Davenport, Senate is likely to consider cybersecurity legislation before August recess, Capita; Thinking Blog, July.27, 2015, http://www.capitalthinkingblog.com/2015/07/senate-is-likely-to-consider-cybersecurity-legislation-before-august-recess/ (last visited Aug.11, 2015). [12] Sec.2(6). [13] Sec.2(7). [14] 網路安全威脅（cybersecurity threat）指「不受憲法修正案第一條保護之行為、未經授權而利用資訊系統造成資訊系統或使資訊系統中儲存、處理或傳輸之資訊的安全性、可用性、機敏性或完整性之不利影響，但不包括任何僅違犯消費者條款或服務/消費者許可協議之行為」，參Sec.2(5)。 [15]Paul et al., supra note 2, at 2.

在中國大陸委託生產時應注意的智財風險 科技法律研究所 法律研究員　林中鶴 2015年03月31日 壹、前言 　　中國大陸向來有世界工廠之稱，即使在人事成本升高的今日，仍舊如此。台商為節省人事、物流成本，或就近服務市場等考量，常會委託中國大陸工廠進行生產以求增加獲利。然而，就在這樣的決策當中蘊藏一些台商必須事前注意的智財風險，稍一不慎，就有可能導致台商不可回復的重大損失。尤其，高科技產業是我國產業的重要命脈，流失關鍵技術，更是不可想像的惡夢。 貳、重點說明 一、台商中國大陸不可忽視智財風險 　　台灣科技大廠聯電在2014年10月宣布決定設立台資在中國大陸第一個12吋晶圓廠，台聯立委立即群起反對，擔心倘若草率西進，製程遭中國大陸廠商模仿、學習，將喪失我國晶圓的代工優勢[1]。類似的疑慮也出現在傳統產業，台灣菸酒公司為了能夠就近服務消費市場，在2010年也決定在中國大陸設立代工廠[2]，委由中國大陸代工，同樣也引發台灣啤酒配方與製程技術可能外流的輿論質疑。對於台商在中國大陸可能遭遇的技術外流疑慮，顯然不是空穴來風。 　　事實上，中國大陸產業發展，相當仰賴對於國外先進技術的學習與奪取，及知名品牌內容的仿冒與抄襲，各種各樣智慧財產權侵害的新聞不絕如縷，就連國際大廠也早就深受其害。蘋果iPhone 6 在未開賣前，網路上就已經出現披著iPhone 6外衣使用Android核心的山寨機[3]。同時間在中國大陸身為iPhone 6最大組裝廠的富士康，也傳出了有員工因竊取iPhone 6外殼轉賣獲利遭逮捕的消息[4]。由此可見，對於台商來說，委託中國大陸代工，除了技術外流風險之外，也一併伴隨著出現高水準仿冒品的風險。 二、委託中國大陸工廠生產時應注意的智財風險 　　台商為節省人事、物流成本，或為能就近服務市場，委託中國大陸台商製造產品是個常見的選擇。為了使代工的台商能夠生產符合所需的產品，台商往往除委託代工廠的生產外，必須提供代工廠商產品的精確規格、詳細的製程技術與商標或專利的使用權利，也因此面臨了下述可能的風險： (一) 法規遵循的風險 　　在委託代工過程中，台商經常也需要提供中國大陸的代工廠必要的製程技術、專利授權或技術指導等跨越國境的技術轉移，因此也涉及到中國大陸官方透過《技術進出口管理條例》對於技術進出口所採行的管制，或透過《專利法》、《專利法實施細則》及《最高人民法院關於審理技術合同糾紛案件適用法律若干問題的解釋》等對於技術轉讓所採取的管制。 　　由於中國大陸為技術發展中的國家，急欲吸收國外先進技術，因此在技術轉移[5]的管理上，著重在於對於技術受轉移方的保護。一方面禁止技術提供方簽訂不利於技術受轉移方的不當限制競爭條款[6]，另方面要求技術提供方負起較重的保證義務[7]，必須保證其為技術的真正權利人、技術實施能達成約定的目標、技術實施不侵害第三人權利等事項。 　　除此之外，在涉及跨國技術移轉的場合，官方復依《技術進出口管理條例》將技術進行分級管理，除條例規定禁止進出口之技術不得進出口[8]、限制進出口之技術應先經許可[9]外，自由進出口之技術於契約簽訂後尚須向地方商務部門申請契約備案[10]。未能遵循管制法令，輕則影響轉讓或授權費用匯出中國大陸，重則可能導致技術移轉契約無效，嚴重影響商業合作。 (二) 技術外流的風險 　　在委託代工過程中，台商常需提供其專有技術、專利技術、製造設備或模具等技術資料，必要時還得提供技術的指導或支援，以確保代工廠商的產能與品質。優質產品的製造技術正是台商重要的競爭力來源，跨越國境的技術移轉不僅增加了技術管理的難度，面對中國大陸積極吸收先進技術的高度競爭環境，技術輸入中國大陸更是大幅提高了技術外流的風險。 　　從簽署代工委託契約之前或一開始，就存在技術外流的風險。台商在締約前後提供技術資料、技術指導或支援時，就常發生不經意提供超過必要或契約範圍外的技術資訊，這等同於台商將自家技術拱手讓人。即使是在必要或契約範圍內的技術資訊，也可能因為代工廠商及其主管、員工、供應商、承包商等有業務往來關係者的故意或疏失，導致技術外流，影響競爭優勢。除此之外，倘若代工廠商利用台商提供的技術進行了改良，依照《技術進出口管理條例》及《合同法》相關規定，在沒有契約約定下，改良成果即歸屬於改良方，這將嚴重影響到台商原應享有的技術權益。 　　換句話說，台商除了必須面對中國大陸企業因故意竊密行為，導致技術的違法取得外，還必須留意避免因為自己契約或管理上的疏失導致技術的合法外流。此外，在原有技術外，忽略法令或契約限制造成技術改良的成果歸屬受讓方，也是技術外流的重要風險來源。 (三) 仿冒氾濫的風險 　　中國大陸的代工廠商一方面為台商生產製造產品，貼上台商的品牌商標，就近服務中國大陸市場，或外銷歐美及日本市場；另方面中國大陸的代工廠商也透過代工的過程不斷學習成長，成為台商潛在的競爭對手。事實上這也是台商一路走過的代工產業歷史。然而，正是這一層的代工關係，使得這些代工廠商成為台商品牌產品潛在的、高度的仿冒風險來源。 　　在中國大陸各城市或電子商務平台上經常可以看到低價的國外品牌商品，其中有一類俗稱外貿原單或尾單的產品[11]，品質幾乎與正牌商品無異。事實上這些商品並不是品牌廠商合法授權製造、銷售的產品，而是代工廠商將原訂單中基於備份需求額外製造的產品、未通過品質檢驗的不良品或次級品，或在訂單以外利用剩餘原料、零件自行製造的產品。除此之外，倘若代工廠商不僅自行在訂單數量外額外生產產品，外流產品上還貼原廠品牌商標，在價格或品質方面可能影響原廠的市場行銷策略。 　　除代工過程中流出的原單或尾單外，在代工關係結束後，中國大陸的代工廠商也可能在未經合法授權的情況下繼續製造、銷售原廠的品牌產品。由於透過為台商生產製造產品，不僅提升了製程能力、獲取了技術經驗，同時也建置了足以隨時生產製造產品的模具、設備與廠房規模。除此之外，過程中也可能獲得關於原料、零件或組件之供應商來源等寶貴資訊。這類代工廠商一旦脫離代工關係，從事仿冒生產，更可能因為其品質接近正品，對企業品牌的價值及對外授權的管理將產生更大的衝擊。 參、事件評析 一、明確約定契約條款內容，減輕技轉法令不利影響 　　面對中國大陸涉外或國內技轉法令的管制，為避免因為未能遵循法令的問題，導致授權契約無效或資金流通受阻，影響企業在中國大陸的生產委託活動，在涉及技術移轉時，建議企業應該留意下述基本事項： 　　1.契約涉及授權時應明確界定授權型態為獨佔、排他或普通授權 　　(1)約定不明確時，依司法解釋[12]將視為普通授權 　　2.契約應充分考慮技轉法令中的保證義務與限制條款 　　(1)應明確界定因技術實施導致侵害第三人權利之情況 　　(2)應明確界定技術實施之條件與達成技術目標之標準 　　(3)應避免不合理的限制競爭條款[13]以免影響契約之效力 　　(4)大陸商務部取得許可 3.自由輸入之技術移轉契約應行備案並留意外匯所需手續[14] 　　(1)應向地方商務部門提出必要文件取得技術進口合同登記證 　　(2)申請人憑技術進口合同登記證，辦理外匯、銀行、稅務、海關等相關手續。 二、設想技術外流的可能情境，運用契約與保密措施降低風險 　　面對委託代工過程中所涉惡意或無意的技術外流，及因技術改良產生的權利流失，節省中國大陸企業技術開發成本，影響我國企業面對中國大陸企業的優勢，建議企業應該留意下述基本事項： 　　1.事前應評估技術是否適合移轉、是否應先申請專利 　　(1)企業應評估技術移轉中國大陸是否可能影響核心競爭力 　　(2)企業應評估技術移轉中國大陸前是否應考慮申請專利保護 　　2.事前應調查委託生產之對象的生產能力與商業信用 　　3.應強化委託代工契約條款中關於營業秘密保護之規定與措施 　　(1)明確約定授權技術的機密範圍、保密義務與違約罰則 　　(2)要求代工廠商及其員工負保密義務，並採取保密措施(並視需要可約定禁止以反向工程破解取得技術秘密) 　　(3)明確記錄技術資料交付之項目，利於契約結束後回收 　　(4)明確約定發生技術外流疑慮時，進入現場調查的機制 　　(5)明確約定各種契約解除及中止之事由，便於代工爭議的善後 　　(6)明確約定契約後之保密義務與相關回收及銷毀的義務 三、落實委外代工契約管理與稽核，防堵高品質仿冒品的外流 　　面對代工廠商未經原廠合法授權將備份品、不良品、次級品外流獲利，或利用代工取得之技術、經驗、設備、模具或原材料來源等經營資源自行生產高品質仿冒品，流入中國大陸或海外市場，影響產品的銷售與品牌權益，建議企業應留意下述基本事項： 　　1.應強化並監督落實契約條款中關於營業秘密保護之規定與措施(同前) 　　2.契約載明授權的稽核措施且應保存記錄以管控產量 　　(1)要求代工廠商應保留產品與商標生產數量之相關記錄 　　(2)要求代工廠商應定期報告，以利權利人掌握生產數量 　　(3)明確約定權利人閱覽記錄及到現場調查的權利與機制 　　3.出貨前應作品質檢驗，管控不良品、次級品的銷毀 　　現場派員監控不良品、次級品的銷毀，避免流出市面 　　4.契約解除或終止時管控資料、設備或產品等的生產/銷售、回收/銷毀 　　(1)要求代工廠商立即停止生產、銷售行為 　　(2)返還持有之技術資料及其影本 　　(3)廢棄權利人提供之模具或專門製造設備 　　(4)廢棄或返還使用技術或商標之成品、半成品與包裝材料及商標標籤等 四、小結 　　台商進前中國大陸，將生產的活動委外，合理配置經營資源，以提升企業的成本優勢。然而，台商在中國大陸的委託生產相對於自行生產或國內生產，面臨了更高的法令遵循風險、技術外流風險與仿冒氾濫風險，尤其是技術的外流，甚至有可能讓台商一擊斃命，流失國際市場的競爭力。因此，正視前進中國大陸的智財風險，在前人的經驗上作好風險預防與因應之道，才能保存住商場廝殺的重要本錢。 [1] 自由時報，〈聯電赴廈門投資 台聯：恐技術外流〉，2014/10/30，http://news.ltn.com.tw/news/politics/breakingnews/1144387（最後瀏覽日：2015/01/26） [2] 自由時報，〈台酒中國設廠 養虎貽患〉，2010/02/24，http://news.ltn.com.tw/news/politics/paper/375069（最後瀏覽日：2015/01/26） [3] 新科技，〈iPhone 6被山寨了！披苹果皮怀揣“安卓心”〉，2014/07/14，http://www.hnetn.com/article/article.asp?id=920671&bid=8561（最後瀏覽日：2015/01/26） [4] 蘋果日報，〈iPhone 6被山寨了！披苹果皮怀揣“安卓心”〉，2014/09/18，http://www.appledaily.com.tw/appledaily/article/finance/20140918/36091338/（最後瀏覽日：2015/03/04） [5] 就《技術進出口管制條例》所稱技術轉移來說，包括專利權轉讓、專利申請權轉讓、專利實施許可、技術秘密轉讓、技術服務和其他方式的技術轉移。原則上技術跨越國境移動之所有型態皆有適用之可能性。 [6] 參見《技術進出口管理條例》第29條、《合同法》第329條及《最高人民法院關於審理技術合同糾紛案件適用法律若干問題的解釋》第10條規定。 [7] 參見《技術進出口管理條例》第24、25條及《合同法》第341、349、353條規定。 [8] 參見《技術進出口管理條例》第9條及第32條。 [9] 參見《技術進出口管理條例》第10條及第33條。 [10] 參見《技術進出口管理條例》第17條及第39條。 [11] 原單主要係指原訂單中代工廠額外生產之產品或未通過品檢的不良品或次級品；尾單主要係指原訂單中代工廠利用剩餘原料、零件自行製造之產品。 [12] 參見《最高人民法院關於審理技術合同糾紛案件適用法律若干問題的解釋》第25條第2款之規定。 [13] 參見《中華人民共和國技術進出口管理條例》第29條及《中華人民共和國合同法》第329條之規定。 [14] 參見《中華人民共和國技術進出口管理條例》第18、20條規定。