歐盟與美國宣布就新的跨大西洋資料傳輸框架達成原則性協議

　　德國聯邦工業聯盟（Bundesverband der Deutschen Industrie）與Noerr法律事務所於2015年11月共同公布「工業4.0 – 數位化進程面臨之法律挑戰」(Industrie 4.0 – Rechtliche Herausforderungen der Digitalisierung)意見報告。該報告透過德國聯邦工業聯盟與Noerr法律事務所訪談德國數家企業法務部門，以釐清業界在邁入工業4.0轉型下會遇到的法律議題，並對此議題提出法律意見。 　　此報告針對工業4.0相關法律議題提出以下建議： 1.資料保護:業者可透過技術性設計達到資料保護的目的，例如隱私設計（Privacy by Design）。另，繼歐盟法院針對安全港判決的裁定，業者應積極關注歐盟第29條資料保護工作小組針對跨國資料傳輸的指引或德國聯邦資料保護委員（Datenschutzbeauftragten des Bundes）針對跨境資料保護規範的建議。 2.資料產權：在立法上不應急於規範管制，有恐危及企業資料分享的空間。建議企業間可透過雙方性契約規定資料的使用權 3.資訊安全：雖支持於2015年7月通過之德國資訊系統安全法（IT-Sicherheitsgesetz），強制性業者履行在遭資安攻擊時履行通報義務（Meldepflicht）。但是，若能實施以業者本身主動完成資安保護措施之鼓勵機制，則更能積極性的鼓勵業者履行其資安義務。 4.智慧財產權：標準必要專利的授權及使用係業者在工業4.0體系中，特別在系統的互通性上，非常重要的一環。在法制環境上應讓各個業者，在一定的條件下，均享有標準必要專利授權。 5.產品責任：因智慧工廠下之自治系統（autonome Systeme）有自主決定的能力，而因其所導致的民事糾紛，可透過新民事責任概念的架構所解決，並不一定要將該自治系統視為一獨立的數位法人（ePerson）。

　　在世界各國，無論是公務機關或非公務機關，均無可避免地大量蒐集個人資料，這些資料包括一般民眾、雇員、顧客或潛在客戶等。對此，加拿大隱私委員會辦公室（Office of the Privacy Commissioner of Canada,簡稱OPC）發布關於「個人資料保存與處理指引文件：原則與良好實作」（Personal Information Retention and Disposal：Principles and Best Practices），以協助聯邦機構與私人機構對組織內部保有之個人資料，做好妥善保存與處理。 　　OPC建議組織應在內部制定相關管理政策與程序，並於指引文件中提出11項參考要點，其中包括1.是否定期審查蒐集個人資料與保有目的之關連與妥適性？多久審查一次；2.對於保有之個人資料及保存目的是否進行清查與盤點？多久確認一次？3.個人資料儲存的形式與地點為何？是否有備份？4.法律是否有規定最低保存期限？5.組織如何處理個人資料與相關備份檔案？6.對於儲存個人資料之裝置或設備，是否採行適當地安全維護措施？7.個人資料保管與處理相關政策的核決人為誰？8.對於利用資料生命週期追蹤資料，是否存在適當管制程序？9.內部員工是否了解並熟悉組織關於個人資料保存與處理之政策規定？；是否有制定文件銷毀之安全措施？10.資料等候處理期間是否受到安全妥善之保管？11.對於使用資料之第三方，是否有透過合約或其他機制進行有效監督管控措施？是否制定定期查核機制？等，期以協助組織掌握政策與程序制定要領。

　　歐洲資料保護監督官(European Data Protection Supervisor, EDPS)於2009年12月7日，針對歐盟執委會(European Commission)近年所提出關於設立歐盟「自由、安全及司法領域」(area of freedom, security and justice, AFSJ)大型資訊技術系統(IT System)作業管理機構之立法計畫，基於個人資料保護之立場提出正式法律意見。如此一立法計畫順利通過，該機構預計將擔負起包括「申根資訊系統」(Schengen Information System, SIS II)、「簽證資訊系統」(Visa Information System, VIS)、「歐洲指紋系統」(European Dactylographic System, Eurodac)及其他歐盟層級之大規模資訊技術系統之作業管理(operational management)任務。 　　根據EDPS首長Peter Hustinx表示，由於前述各項系統之資料庫中均包含諸如護照內容、簽證及指紋等大量敏感個人資料，因此儘管設立單一之作業管理機構，可以在相當程度上釐清歐盟各部門職責歸屬及準據法適用之問題，但如此一機構欲取得合法性，其活動範圍及相關責任即必須在立法中獲得明確界定，否則即可能產生個人資料濫用(misuse of personal data)及資料庫「功能潛變」(function creep)之風險。而基於此一分析，Hustinx認為目前執委會之機構立法計畫尚未符合個人資料保護要求。 　　此外，針對後續立法進程，EDPS建議除應確實釐清該管理機構之活動範圍是否包括整體AFSJ，亦或僅限於邊境檢查及難民與移民事務；執委會與該機構之關聯性與責任等重要問題外，是否可在缺乏相關經驗及實證評估下，即直接將所有歐盟層級之大型資訊技術系統與資料庫歸入該機構管轄，顯然亦有商榷餘地。EDPS就此認為，透過立法界定「大型資訊系統」之範圍，並且採取資料庫分次進入該管理機構責任範圍之方式，應係日後執委會可以努力之方向。

　　日本文部科學省於２００２年提出產學合作契約範本，實行以來發現內容缺乏彈性，對於共同提交專利申請的共有專利權人能否進行商業化等研發成果歸屬問題規範不清。為此，２０１７年３月日本文部科學省科學技術及學術政策局參考英國智財局發布的Ｌａｍｂｅｒｔ　ｔｏｏｌｋｉｔ等文件，提出１１項合約範本，稱為【櫻花工具包】。 　　該工具的主要目標是期望產學合作從在意權利共有轉為重視研發成果商業化，提出包括大學或企業單獨擁有研發成果、雙方共有研發成果等多類型的合作契約模式，並解析如何從數種模式中選擇最適合的合約範本，盡可能在產學合作契約簽訂前，事先考量研究成果的商業化策略，從而提高研發成果商業化的可能性。當中建議，在進行模型選擇時需考慮以下因素： 對研發成果的貢獻程度。 智財權歸屬於大學的處理方法。 是否有必要通過大學發布研究成果。 研究成果歸屬（大學擁有、企業擁有、雙方共有）。 雙方是否同意智財權共有。 　　此外，為了盡可能使研究成果的智財權更廣泛應用，在參考適用範本時，皆應考量研發成果商業化的靈活性，無論智財權歸屬於大學或企業方，都必須滿足以下的條件： 不限制大學後續研究的可能性。 所有的智財權都要適當的努力使其商業化。 研究成果需在約定的期間內進行學術發表。 　　日本此一工具包之內容對於產學合作研究之推展，提供了更細緻化的指引，或許可為我國推行相關政策之參考，值得持續關注其內涵與成效。