歐盟執委會提出《淨零產業法》草案，促進歐盟淨零技術的發展

　　德國總理Angela Merkel在日前舉辦的法蘭克福書展中強調，反對在google在未釐清相關權利與建置對應的配套機制下，擅自將圖書典藏掃描數位化的作法。而不只德國反對Google的數位圖書計畫，歐盟執委會也在10月19日通過提案，要求歐盟正視圖書館藏數位化的智慧財產權議題，提案委員也督促歐盟應儘快採取行動，配合歐盟著作權法體系，發展更具競爭力的歐盟館藏數位化方案。 　　然在館藏書籍數位化的過程中，有必要先解決孤兒著作（verwaiste Werke）因著作人不明而無法進行數位化及授權的困境。據估計，英國圖書館館藏就有40%屬於孤兒著作。為找出一套簡易的授權機制，並建立歐盟各國針對孤兒著作共通的認定標準，歐盟在eContent Plus計畫架構下，於2008年11月便開始所謂「ARROW行動方案（Accessible Registries of Rights Information and Orphan Works）」，希望透過各國圖書館、著作權集體管理團體、出版商間的參與，整合歐盟境內不同的權利登記機制，共同開發出一套適用於全歐盟的權利登記系統，清楚顯示歐盟境內各種著作的權利狀態，促使數位館藏的授權可以在一個透明且價格合理的機制下進行，同時確保著作人可以得到適當的報酬。 　　有關歐盟針對圖書數位化的政策與討論，以及google數位圖書協議後續協商的結果，仍有待持續追蹤觀察。

從美國聯邦最高法院判決探討實用物品設計之著作權保護原則 資訊工業策進會科技法律研究所 法律研究員　龔芳儀 107年8月25日 壹、事件摘要 　　運動服飾設計製造與銷售公司Varsity Brands, Inc.（後稱Varsity公司）擁有兩百餘件美國平面美術著作，而另一家運動服飾銷售公司Star Athletica, LLC（後稱Star公司）所販售之產品包含啦啦隊用品及啦啦隊服等。 　　Varsity公司於2014年向美國田納西州西區聯邦地區法院對Star公司提起著作權、商標權等侵權訴訟，本文將針對著作權爭議進行討論，Varsity公司控告Star公司於2010年的產品型錄與網站中所展示的啦啦隊服相似於其五件已註冊為美國著作之啦啦隊服設計，請參見圖一。 資料來源：JD Supra, LLC彙整 圖一 Varsity公司指出Star公司之啦啦隊服相似於Varsity公司已註冊為美國著作之啦啦隊服設計[1] 　　Varsity公司所擁有之五件平面美術著作[2]，如圖二所示，其中兩件（Design 299A與Design 299B）為啦啦隊服照片，另三件（Design 074、Design 078與Design 0815）為啦啦隊服之設計圖稿。被告Star公司認為Varsity公司之設計圖稿明顯是以啦啦隊服之輪廓進行設計，且當隊服缺乏設計時便成為空白之布料而失去啦啦隊服之功能，因此該些設計具有功能性，進而不符合美國著作權法第1302條第4項所指「設計之呈現僅為功能實現（dictated solely by a utilitarian function of the article that embodies it）」而不受保護之設計項目，即設計在作品上之呈現方式，僅展現功能性質，也就是說啦啦隊服上的圖樣設計為凸顯啦啦隊服功能，該些圖樣具功能性而不受著作權所保護。而Varsity公司主張設計師構思設計時並未被要求須考量啦啦隊服之功能、或實際製造之可行性，因此該設計不涉及功能性，而可受美國著作權法所保護。 資料來源：美國田納西州西區聯邦地區法院判決 圖二 Varsity公司之五件美國平面美術著作 　　美國田納西州西區聯邦地區法院法官[3]認為Varsity公司啦啦隊服可承受劇烈動作、吸汗等功能係屬於實用物品、且其顏色與設計在概念上無法從所依附的啦啦隊服分離，而認定該設計不被著作權法所保護，即Varsity公司所擁有之著作權無效，並在簡易法庭中認同Star公司之見解：啦啦隊員因穿著隊服而產生啦啦隊效果，使觀察者看到穿著啦啦隊服者而知道其為啦啦隊員，若少了啦啦隊服上的設計則失去啦啦隊意象，認為該啦啦隊服具備功能性而無法受著作權所保護，故Star公司無從侵害Varsity公司之五件平面美術著作。 　　本案經Varsity公司上訴，聯邦第六巡迴上訴法院於2015年推翻了一審法院判決[4]，認為Varsity公司啦啦隊服上之設計為圖形設計[5]且可被分離、獨立於啦啦隊服，即圖形設計與啦啦隊服可各別存在，使該些設計可被著作權法所保護。 　　一、Varsity公司具有有效之著作權（ownership of a valid copyright） 　　Varsity公司分別於2005年至2008年間於美國著作權局(Copyright Office)完成前述五件平面美術著作註冊，得以推定Varsity公司擁有原創著作。 　　二、Star公司所抄襲之元素為著作保護標的 　　針對證明Star公司是否抄襲，Varsity公司須考量Star公司在創作時是否以其著作當作創作模型之事實問題（a factual matter）、進而判斷受Star公司所抄襲之元素是否為著作保護標地之法律問題（a legal matter）。 　　上訴法院針對法律問題進行討論，列有分離性判斷原則之五個提問，並針對Varsity公司設計之分離性進行分析，如表一所示。 表一 以上訴法院分離性判斷原則比對Varsity公司之設計 上訴法院分離性判斷原則 比對Varsity公司之設計 （1）該設計是否屬「圖畫、圖形及雕塑著作」? Varsity公司之設計已取得平面美術著作註冊，係屬「圖畫、圖形及雕塑著作」 （2）若是，該設計是否為實用物品之設計? Varsity公司之設計係為啦啦隊服之設計，而該啦啦隊服為本質上具有實用性功能之物品，而非僅描繪（portray）該物品之外觀或傳達訊息（information） （3）實用物品之實用面為何? 啦啦隊服本質上之實用性功能為「覆蓋身體（cover the body）」即吸濕氣並承受運動員劇烈之動作 （4）一般設計觀察者是否能從實用物品之實用面辨識出圖畫、圖形及雕塑之設計特徵? 觀察者能辨識Varsity公司設計之圖形特徵，Varsity公司之客戶能從型錄中辨識不同圖形特徵之設計，即可從中挑選客製圖形設計 （5）實用物品之圖畫、圖形及雕塑設計特徵是否能獨立存在於實用物品之實用面? Varsity公司之設計師進行設計圖形特徵時，並未被要求考量啦啦隊服生產過程且該些設計具可換性（interchangeability），推斷圖形設計與啦啦隊服係可分離，可附於其他類型之服飾上，因此圖形特徵能獨立存在於啦啦隊服 資料來源：本研究彙整 　　另一方面，啦啦隊服之表面圖形設計是為織品設計（fabric design），如符合該分離性判斷標準則屬著作權法保護之範疇；相對地，隊服輪廓剪裁則具有遮蔽、包覆人體等功能係屬於服裝設計（dress design），該功能性則不受著作權保護。 　　Star公司不服上訴法院判決，本案於2016年進入美國聯邦最高法院[6]，法官於2017年3月認同聯邦第六巡迴上訴法院見解，認為Varsity公司啦啦隊服之圖形設計與啦啦隊服可分離，並提出實用物品之設計在符合以下兩構件之分離性判斷原則，即為著作權所保護之標的範圍：（1）當設計特徵可被視成為平面或立體著作並且能與實用物品分離（can be perceived as a two- or three-dimensional work of art separate from the useful arti­cle）；以及（2）若該設計特徵符合圖畫、圖形及雕塑著作（pictorial, graphic, and sculptural works, ”PGS works”），可被設想為可分離於實用物品，不管是獨立存在、或者依附於其他媒體上（either on its own or fixed in some other tangible medium of expression），即為著作權所保護之標的。 　　如表二，根據上述條件與Varsity公司之設計進行比對。Varsity公司啦啦隊服上之線條、圖紋、色塊等圖形設計係屬圖形著作，且該些圖形設計可從啦啦隊服分離，而可依附在其他媒體上、或獨立存在，因此該圖形設計為著作權法所保護之標的，Star公司確實侵害Varsity公司之五件平面美術著作。 表二 以聯邦最高法院分離性判斷原則比對Varsity公司之設計聯邦最高法院分離性判斷原則 聯邦最高法院分離性判斷原則 比對Varsity公司之設計 （1）當設計特徵可被視成為平面或立體著作並且能與實用物品分離。 Varsity公司啦啦隊服上之線條、圖紋、色塊等圖形設計係屬圖畫、圖形及雕塑著作中之圖形著作。 （2）若該設計特徵符合圖畫、圖形及雕塑著作（PGS works），可被設想為可分離於實用物品，不管是獨立存在、或者依附於其他媒體上，即為著作權所保護之標的。 該些圖形設計可從啦啦隊服分離，而可依附在其他媒體上、或獨立存在，如裝飾其他形式之服裝、或裱掛於牆上之圖形藝術，因此該圖形設計為著作權法所保護之標的。 資料來源：本研究彙整 貳、重點說明─實用物品設計是否為著作權標的，應分析與實用物品分離後之圖形設計而非物品本身 　　美國著作權法並未將屬實用物品之工業設計產品之設計納為保護標的，但工業設計不全是具功能之設計，當工業設計產品之設計附有藝術元素時，該保護界線便難以劃分。 　　對此，美國著作權法第101條[7]（17 U.S.C.§101）提供實用物品之設計有限的著作權保護：當實用物品之設計具備圖畫、圖形及雕塑之藝術特徵（”pictorial, graphic, and sculptural features” of the “design of a useful article”），且該些特徵可被分離、或獨立存在於該物品之實用面（that can be identified separately from, and are capable of existing independently of, the utilitarian aspects of the article），應認為係屬圖畫、圖形或雕塑著作，該特徵便可受著作權法所保護。 　　進一步分析美國著作權法[8]所定義之實用物品（useful article）係指本質上具備固有的實用功能、並非僅是勾勒物品之外觀或資訊傳達（having an intrinsic utilitarian function that is not merely to portray the appearance of the article or to convey information）。 　　因此，判斷附於實用物品之藝術特徵是否適用著作權法，應就當實用物品除去藝術特徵後，該藝術特徵是否為著作權法所保護之標的。至於除去藝術特徵之實用物品則維持相似之實用性（remain similarly useful）即可，而非觀察當實用物品除去藝術特徵時是否喪失與原本相同之實用性（equally useful）[9]，換言之，有無藝術特徵對實用物品的影響相對次要。 　　就本案而言，聯邦最高法院判斷啦啦隊服之圖形設計是否受著作權法所保護，並非針對當Varsity公司啦啦隊服移除圖形設計後，而使隊服不具備或削弱了啦啦隊意像而喪失與原本相同之實用性，就此認定該些設計具功能性、而不被著作權法所保護。據此，應將附有設計之Varsity公司啦啦隊服與未有裝飾設計之素白啦啦隊服兩者進行比較，兩啦啦隊服具有相似之實用功能，而針對該些啦啦隊服之設計係屬可分離於啦啦隊服之圖形著作，因此符合著作權法之保護標的。同時，聯邦最高法院根據上訴法院的觀點，敘明前述之判斷並不含括該啦啦隊服之剪裁及規格尺寸，其實質上係為功能設計，即非著作權法所保護之範圍。 參、事件評析 　　一直以來，實用物品之設計是否具可分離性而受著作權法所保護，美國法院未有一個共通的判決原則因此存在著不確定性，而本案釐清了判斷方法，並提供實用物品之設計是否為著作權法所保護之判斷原則。 　　如同過去法院或學者對於著作權標的所判斷關鍵，本判決仍著重於可分離性（separability），即設計是否能從實用物品分離，並且該設計可獨立存在或依附在其他物品上。而本判斷原則強調應針對分離後之設計而非物品進行討論，對應到本案即應討論啦啦隊服之設計而非啦啦隊服，即從啦啦隊服分離後之啦啦隊服設計係為圖形著作，屬著作權法之保護標的。 　　如此，除了讓既有的時尚產業對於服裝設計、布料裝飾等是否受著作權法保護有了較為明確的判斷方法，進而影響了工藝品、文創作品、甚至是逐漸大眾化之3D列印製品[10]等同時具備藝術設計與功能性之物品，其藝術設計特徵是否屬著作權法所保護之標的之辨別。 　　美國著作權保護標的之圖畫、圖形及雕塑著作，對應於台灣著作權法第5條第4項美術著作（含圖畫與雕塑）與第6項圖形著作，然而台灣著作權法對於實用物品等判斷似未見相關規範，對此美國聯邦最高法院對實用物品設計之可分離性所提出之判斷原則可作為參考。 　　此外，建議相關企業組織未來若在美國經營服飾、工藝品等銷售，透過美國著作權登記以取得該國著作權法第410條第(c)項[11]所規定享有著作權「初步證據-推定為著作權人」（prima facie）在訴訟上的實益，以及第412條[12]、第504條[13]與第505條[14]所規定之法定損害賠償及律師費用，以強化設計保護及爭訟過程中之主張。 　　針對服飾上之設計，除了透過著作權保護該些設計之概念表達外，亦可藉由設計專利保護具有設計之服飾，即保護物品之全部或部分之形狀、花紋、色彩或其結合，透過視覺訴求之創作。著作權保護不具功能性之創作表達，而設計專利則針對實體物之外觀設計進行保護；因此當設計本身擁有不具功能性的創作表達、且物品設計外觀符合產業上利用性、新穎性及創作性等設計專利要件，即可同時獲有專利法與著作權法之保護。 　　當該設計已具有識別性則可透過商標權保護，即藉由圖形、記號、顏色等設計組合產生足以使相關消費者認識其為表彰商品或服務之標識，當然會需要投入相對之行銷資源將該圖形、記號或顏色組合之設計讓大眾知悉且區別商品或服務來源。將設計透過商標保護之另一優點在於，該設計如果具有識別性，便不像設計專利一樣限於依附於特定物品如服飾上，還可將該設計申請註冊商標，指定使用於其他產品甚至服務類別上，更加發揮設計擴大應用。 　　企業組織可針對所產製之設計，規劃不同階段之智財保護策略，當創作完成時即享有著作權，建議可進行註冊登記將有助訴訟之舉證；當著作物為機械產製，且該些設計符合設計專利之要件時，可同時獲有專利法與著作權法之保護；最後，當行銷資源投入，使該設計逐漸具有識別性，進而可藉由商標註冊完善設計的各面向之智慧財產保護。 [1] JD Supra, LLC, Chevrons, Stripes, Cheerleaders, and Copyright: The Supreme Court Hears Oral Argument in Star Athletica v. Varsity Brands (2016), https://www.jdsupra.com/legalnews/chevrons-stripes-cheerleaders-and-94125/ (last visited Aug 26, 2018). [2] Varsity Brands, Inc. v. Star Athletica, L.L.C., No. 2:10-cv-02508, 2014 WL 819422, at *4 (W.D. Tenn. Mar. 1, 2014). [3] Varsity Brands, Inc. v. Star Athletica, L.L.C., No. 2:10-cv-02508, 2014 WL 819422, at *15 (W.D. Tenn. Mar. 1, 2014). [4] Varsity Brands, Inc. v. Star Athletica, LLC, 799 F.3d 468, 30 (6th Cir. 2015). [5] 17 U.S.C. § 102(a)(5) (2012). [6] Star Athletica, LLC v. Varsity Brands, Inc., 580 U.S. __, 17 (2017). [7] 17 U.S.C. § 101 (2012). [8] 17 U.S.C. § 101 (2012). [9] Star Athletica, LLC v. Varsity Brands, Inc., 580 U.S. at 13. [10] Varsity Brands, Inc. v. Star Athletica, LLC., Brief of Amici Curiae Formlabs Inc., Matter and Form Inc., and Shapeways Inc. in Support of Petitioner, 2016WL537499. [11] 17 U.S. Code § 410 (c) In any judicial proceedings the certificate of a registration made before or within five years after first publication of the work shall constitute prima facie evidence of the validity of the copyright and of the facts stated in the certificate. The evidentiary weight to be accorded the certificate of a registration made thereafter shall be within the discretion of the court. [12] 17 U.S. Code § 412. [13] 17 U.S. Code § 504. [14] 17 U.S. Code § 505.

　　物聯網是指明確可辨識的實體物件與虛擬的類網路代理架構的聯結。它是由馬克.維瑟於1991年所提出，指的是(個人)電腦作為機具設備的形式未來將逐漸消失，而替換為"智慧元件"的形式。當前人們關注的對象已經不再是物體本身，而是人們的各種活動中的物物相連。其在不知不覺中已經提供人們各式各樣的輔助，例如小型化的嵌入式電腦毋需操作，就可以提供各式各樣的輔助。這種微型的電腦，即所謂的穿戴式裝置，可以最大程度地結合不同感應器直接在服裝上出現。 　　數位化在多個層面正在改變我們的生活和工作方式。現代資訊技術幾乎使任何對象無論是家庭日常物品或工廠內的機器，都能用最小的空間達到強大的計算能力（所謂的“嵌入式系統”）。烤麵包機，洗衣機和機床都可由軟體控制，並可以透過網際網路相互、或與外部世界聯結。 　　物聯網在居家領域具體將以智慧住宅(Smart Home)形式呈現。運用智慧聯網技術將能獲得更多的舒適性和安全性、節約能源或提供適合各年領階層的生活與和起居。現有的解決方案可以透過智慧型手機遠端控制進行空調、電爐和燈具的使用。未來，洗衣機甚至可以自動尋找最優惠的電價決定洗衣服的最佳時間。 　　智慧家居若要成功，需得到消費者的接受。故物聯網解決方案必須具有可信賴性(資料保護、資訊安全)、能夠持久並可靠地運作，並能夠在未來繼續穩定地投入智慧家庭的行列。對於製造商和供應商而言，應該以在新的立場和視角來開拓一個新的市場。

再訪資料跨境流通政策與法制 資訊工業策進會科技法律研究所 2022年03月25日 壹、事件摘要 　　資訊科技與創新基金會[1]（Information Technology and Innovation Foundation, ITIF）於2021年7月發布「跨境資料流通障礙如何在全球層次擴散」（How Barriers to Cross-Border Data Flows Are Spreading Globally）報告，指出近四年內國際間個別國家生效的資料在地化措施增加一倍以上。惟設置資料流通障礙對於一國經濟會產生重大影響，將嚴重削減其貿易總量，依ITIF根據經合組織（Organisation for Economic Cooperation and Development, OECD）市場監控數據計算，一國對資料流通之限制每增加一項，將影響總體貿易輸出達七個百分點，連帶使生產力下降，下游供應鏈的成本亦將上漲[2]。 　　在2020年後，因疫情造成之實體阻隔的影響，加深各方運用數位與資訊科技之力道，資料更被視為戰略性資源，各國如何對資料加以運用與掌握，不僅對數位經濟發展有正相關，更可能與國家整體安全其他面向相互連結（如國防、財務與資訊安全等）。追蹤研析各國程度與類別不同的資料在地化政策法制，資料流通限制之方式或可區分為三種模式：（1）由國家規範或限制特定類型資料傳輸境外的條件。各國常見的限制類型包括個人資料、財務／稅務／金融資料、交易支付資料（payment data）、地圖地理空間資料、健康與基因資料、政府紀錄與雲端服務（government records & cloud services）、傳統電信與網際網路通訊服務的用戶資料與內容、資通訊技術與電信資料、公共部門在地雲端（public local cloud）資料、非個人資料（non personal data framework）等。（2）以不確定法律概念限制資料傳輸標的與範圍。各國對資料流通限制越來越寬泛和模糊，動輒以「敏感」（sensitive）、「重要」（important）、「核心」（core）或與國家安全（national security）等不確定法律概念框定所欲限制的資料範圍，但這些限制往往對商業性資料流通造成重大影響。（3）以事實上資料在地化手段替代法制規範。此因個別國家或組織政策使資料傳輸因過程變得複雜、昂貴和不確定，導致企業基本上已無其他選擇，事實上僅能將資料儲存在本地，否則將面對巨額罰款，其他事例尚有對個人資料傳輸要求須得當事人明確之同意，以及要求資料傳輸前須有特別之授權[3]等。 　　歸納上述資料流通限制型態後，本文進一步探討各國對資料跨境流通與資料落地議題之處理態度，更新近期中國大陸、俄、美、歐盟、印度及其他重要國家所採取之政策與立法，期為我國未來掌握資料流向及規劃在地化措施預做準備。 貳、重點說明 　　目前國際間對於資料在地化之立場不一，除少數國家對於資料在地化採取較全面性之要求、較高強度之立法外，大部分國家僅針對特定種類資料要求資料在地化，以下依國別與要求強度進行歸類與評析。 （一）高強度資料在地化要求：中國大陸與俄羅斯 1.中國大陸 　　觀測國家中，資料在地化措施管理強度最高者應屬中國大陸與俄羅斯。就中國大陸而言，其直接明確在地化的法律規定如2017年《網路安全法》第37條，要求關鍵資訊基礎設施的營運者應將其在中國大陸境內蒐集和產生的個人資料與重要數據儲存於中國大陸境內。近二年中國大陸採行資料在地化之範圍逐漸擴大，其涵蓋範圍除早期係以個人資料為範圍[4]，後續則涉及如金融稅務資料、支付資料、地理位置資料、健康與基因資料、政府紀錄與雲端服務資料、電信通訊資料等非僅限於個人資料之範圍，而依2021年之《數據安全法》第21條與31條，政府甚至有權定義何謂「重要數據」，並對境內營運中心蒐集和產生的重要數據制定其得否流出境外的安全管理機制，顯見中國大陸對於資料在地化之考量多出於維護國家安全之目的，近年更高舉維繫其數位主權的旗幟以強化其法制措施背後的論述，並以強大的科技監控能力為擔保，確保該國國家法令的落實。 2.俄羅斯 　　俄羅斯近年對於資料在地化措施之要求有逐漸增強之趨勢，規範密度雖未如中國大陸嚴格，但亦屬於高強度之國家，規範要求之資料種類從個人資料擴及金融稅務、電子支付資料、政府紀錄與雲端資料，乃至電信網路資料等。除要求個人資料之營運商應將處理及儲存俄羅斯公民個人資料之伺服器設置於俄羅斯境內，並向俄羅斯政府報備該伺服器之位置外，另要求每日流量超過一定數量之IT營運商應在俄羅斯建立分支機構或代表處，代表其母公司接受主管機關的管制，並規定強制執行的措施，如禁止蒐集個資、跨境傳輸個料與限制資訊使用等[5]。 　　中國大陸與俄羅斯因其國家體制屬性，其資料在地化法制規範與執行措施有其特定背景，往往出於國家安全整體性考量所為，但由於較不符民主憲政國家所施行之法治國原則（包括比例原則）等憲法核心要求，僅作為了解對象而較不具直接參考價值。 （二）中度資料在地化要求：美、歐、印、澳 1.美國：針對國防與稅務資料 　　美國因其對自由貿易的立場，加上對該國產業而言資料流通最符合該國的產業利益所在，故對於資料的限制與保護要求最為寬鬆，僅在涉及國防[6]與稅務[7]特定領域資料時，聯邦之行政規則層級有資料在地化之規定，要求資料存放於美國境內，除此之外則交由各州個別規範之。 2.歐盟：針對個人資料 　　歐盟利用強化網路基礎建設的政策措施，採取誘導性作法建立可信任架構，使企業更有意願使用歐盟自身的資料與服務，可認為是資料在地化的軟性誘因[8]。此外，基於其一貫維護基本價值、保護個人資料的立場，對於跨境傳輸規範較為謹慎。歐盟於2018年施行GDPR以來，對資料跨境傳輸之限制採取原則禁止、例外許可的立法模式，雖無資料在地化之名，卻已經造成事實上的資料在地化結果。加上Schrem II案判決[9]後的發展，適用新版「標準契約條款」（Standard Contractual Clauses, SCCs）對於個人資料之跨境傳輸採取高標準之適足性規範[10]，令歐盟GDPR有可能變為世界上最大的事實上（de facto）資料在地化框架[11]。另外，從歐盟近來主張數位主權的觀點，這樣的狀況似乎亦合乎歐盟的主張，但這樣的趨勢否有益於對經濟流通與發展，將是未來觀察重點。 3.印度：針對敏感性與關鍵性資料 　　就印度部分，印度國會於2021年12月16日通過新修正個人資料保護法（Data Protection Bill, 2021）[12] ，原2019年時法案修正內容曾要求將所有個人資料（或至少一份副本）儲存於印度境內，但通過之新法則未再做此要求。修法方向的改變推測受西方國家影響而對資料在地化的政策有所緩和，但在法律分類上的敏感性個人資料（類似我國個資法之特種資料）與關鍵性個人資料（由中央政府所指定之資料種類）方面，則運用法律中的不確定法律概念，讓主管機關掌握較大裁量空間，決定何種資料可予在地化限制，形同擴大資料管控的範圍，甚至可泛稱出於國家安全考量，即可限制資料的傳輸、在地。由此觀之，印度對於資料在地化政策，其限制措施在其個人資料保護法新近修正後也朝向擴大的趨勢[13]。 4.澳洲：針對個人醫療資料 　　就澳洲部份而言，因考量到健康資料的高度敏感性，其針對健康資料採在地化政策，，目前規範電子健康紀錄資料庫系統內的資料不得在境外持有及處理[14]。 （三）其他國家 　　而本研究觀察的其他國家目前仍採取較為謹慎保守之立場，且立法動機較為分歧，如加拿大針對國家公共機構資料採取流通限制強度較高之要求態度[15]，但因受COVID-19影響有暫緩實施的狀況[16]。德國出於課稅原因要求業者留存會計紀錄於境內，或於可線上下載情形下得放置於境外[17]；法國則對於中央與地方政府機關之資料要求應儲存於境內[18]。總體而言，各國的立法背後考量，大體係有明確並更亟欲保護之法益和目的，但亦觀察到較為特別的發展，即歐盟資料傳輸政策似乎有逐漸從自由流通走向事實上在地化的狀況，甚至有提升為主權層次議題的可能，值得再予關注。 （四）世界及區域貿易協定：傾向資料自由流通 　　就世界及區域貿易協定部分，檢視「跨太平洋夥伴全面進步協定」（Comprehensive and Progressive Agreement for Trans-Pacific Partnership, CPTPP）[19]、「服務貿易協定」（Trade in Services Agreement, TiSA）[20]、「美加墨協定」（United States-Mexico-Canada Agreement）[21]以及「亞太經濟合作」（Asia-Pacific Economic Cooperation,下稱APEC）之《APEC隱私保護綱領》（APEC Privacy Framework）[22]，因貿易協定側重於國際貿易之發展，儘可能排除任何有礙貿易發展之障礙，故而其多強調資料之流通性，並以自由流通為原則。然近年因資安與隱私保護之觀念日益受到重視，故而轉為要求一定保護機制作為資料跨境傳輸之前提，雖然可能造成事實上的障礙，但整體而言國際間的貿易交流對於資料仍是採取自由流通之較開放立場，未見任何資料在地化之高強度要求。我國近期積極申請參與談判的CPTPP與TiSA，可看出參與談判的國家多半傾向不恣意限制資料的跨境流通，也傾向不任意規範外國服務者須在當地設置相關的電腦設備，CPTPP更是明訂除基於正當公共政策目標外，不得將資訊服務設施在地化列入於會員國境內執行業務之必要條件，我國將來如欲爭取加入，應確保這些國際義務的遵行。 參、事件評析 　　系統化觀察與分析上述國際間主要國家規範性主張之資料在地化法制政策，以及國際層級區域貿易協定與資料在地化相關之重要規定，可發現歐盟、澳、美、加針對特定類型資料，如個人醫療資料、稅務金融資料，或國家公共資料的跨境傳輸政策或資料在地化採取較強之要求，印度則出於國家安全考量亦有較強資料在地化之要求。至於相關國際與區域貿易協議雖傾向資料自由流通原則，各國談判則仍在進行中。 　　參考以上國際間相關法制或政策，建議我國在考量整體性資料跨境傳輸政策時：（一）可優先找出我國亟需保障的利益何在（如我國關鍵的半導體產業），並檢視其在整體產業鏈與供應鏈上的角色與定位，由此思考應採取何種模式（歐、美）的管制方式與強度。（二）確認要保護的核心利益後，可再檢視立法目的究為保護公民的隱私、確保執行機關執行公權或調查證據、保護國家安全、強化經濟成長跟競爭力、或建立公平的遊戲規則，以決定相應不同強度的資料控制手段（如單純禁止、有條件禁止到僅要求儲存副本於本地等態樣），建立起層級化規範架構。短期內建議我國或可再就資料傳輸原則予以檢視，例如現行個人資料保護法採取原則流通，例外禁止的方針是否需要變易。其次，資料傳輸與資料在地化政策法制相關規範，或可優先以金融支付資料、健康基因資料等高度敏感資料為主，基於特定部門產業之監理或數位國土、國家安全等原因，而針對性地要求採取在地化措施，並將資料類型化，針對不同屬性之資料採取不同規範標準。 [1] 資訊科技與創新基金會（ITIF）是美國非營利性公共政策智庫，總部位於華盛頓特區，研究主題專注於有關工業和技術的公共政策。美國賓州大學截至2019年為止都將ITIF列為世界上最權威的科學和技術政策智庫。ITIF， https://itif.org/（最後瀏覽日：2021/12/25）。 [2] 從該報告顯示中國大陸是對資料限制最多的國家，相關措施達29項，其次為印尼、俄羅斯與南非，其經濟均因而受影響，參考Nigel Cory & Luke Dascoli, How Barriers to Cross-Border Data Flows Are Spreading Globally, What They Cost, and How to Address Them, INFORMATION TECHNOLOGY & INNOVATION FOUNDATION[ITIF], Jul. 2021, at 4, https://itif.org/sites/default/files/2021-data-localization.pdf (last visited Dec. 25, 2021). [3] id. [4] 中國人大網，〈中華人民共和國個人信息保護法〉，2021/08/20，http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml（最後瀏覽日：2021/12/25）。 [5] Russian Federal Law No. 242-FZ, https://pd.rkn.gov.ru/authority/p146/p191/ (last visited Mar. 03, 2021). [6] Defense Federal Acquisition Regulation Supplement: Network Penetration Reporting and Contracting for Cloud Services(DFARS Case 2013– D018), 81 Fed. Reg. 72986, 72999(Oct. 21, 2016).(to be codified at 48 C.F.R. pt. 239). [7] INTERNAL REVENUE SERVICE, Tax Information Security Guidelines for Federal, State and Local Agencies 95 (2016). [8] Gaia-X, Gaia-X European, https://www.data-infrastructure.eu/GAIAX/Navigation/EN/Home/home.html (last visited Mar. 03, 2021). [9] Case C-311/18, Data Protection Commissioner v. Facebook Ireland Ltd, Maximillian Schrems, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62018CA0311 (last visited Mar. 03, 2021). [10] 歐盟法院（Court of Justice of the European Union）於2015年Schrems I案判決歐盟執委會「安全港隱私準則」（Safe Harbour Privacy Principles）失效後，歐盟執委會雖於2016年以第2016/1250號決定認可美國提出之「隱私盾架構」（EU-US Privacy Shield Framework），對於跨境傳輸有更嚴謹之規範，但其後的Schrems II案，經歐盟法院於2020年7月以判決宣告該隱私盾架構無效，其中理由除美國政府對外國人個資之監管與近用不符合比例原則外，美國法制架構亦無提供適當之救濟手段，令權利受侵害之人得以獲得賠償。惟歐盟法院對歐盟執委會通過第2010/87號決定之「標準契約條款」，則認為已納入有效之保障機制；倘資料傳輸方或接受方未能遵守SCCs或缺乏歐盟法律所要求之保護程度，歐盟主管機關可命令暫停或停止相關傳輸，因此仍肯認「標準契約條款」之有效性。但SCCs始終無法解決美國法欠缺法律救濟之爭議，故而歐盟法院採取較保留態度，另要求締約國之企業應確保資料接受方所在之各國法規可提供符合歐盟個資法保護相關規範之保護水準，並建議採取「補充措施」以保護跨境傳輸之資料，其後，歐盟執委會於2020年底以（EU）2021/914號執行決定（Implementing Decision）發布的新版SCCs取代舊版條款。see Cross Border Transfer Master Class: Onward transfers from a US controller to a processor that is outside of the US and the EEA, NATIONAL LAW REVIEW, Dec. 24, 2021, https://www.natlawreview.com/article/cross-border-transfer-master-class-onward-transfers-us-controller-to-processor (last visited Dec. 25, 2021). [11] Nigel Cory, How ‘Schrems II’ Has Accelerated Europe’s Slide Toward a De Facto Data Localization Regime, INFORMATION TECHNOLOGY & INNOVATION FOUNDATION[ITIF], Jul. 8, 2021, https://itif.org/publications/2021/07/08/how-schrems-ii-has-accelerated-europes-slide-toward-de-facto-data (last visited Dec. 25, 2021). [12] The Data Protection Bill, TRILEGAL, Dec. 24, 2021, https://trilegal.com/knowledge_repository/the-data-protection-bill-2021/ (last visited Dec. 25, 2021). [13] The Personal Data Protection Bill(2018), MINISTRY OF ELECTRONICS & INFORMATION TECHNOLOGY, GOVERNMENT OF INDIA, https://www.meity.gov.in/writereaddata/files/Personal_Data_Protection_Bill,2018.pdf (last visited Mar. 03, 2021). [14] Stronger My Health Record privacy laws, AUSTRALIAN DIGITAL HEALTH AGENCY, Nov. 26, 2018, https://www.myhealthrecord.gov.au/about/legislation-and-governance/summary-privacy-protections (last visited Dec. 25, 2021). [15] Freedom Of Information And Protection Of Privacy Act § 30(1)(1996), BRITISH COLUMBIA, https://www.bclaws.gov.bc.ca/civix/document/id/complete/statreg/96165_00 (last visited Mar. 03, 2021). [16] Ryan Berger & Cory Sully, BC Government Relaxes “In Canada Only” Data Hosting Requirements for Public Bodies Due To COVID-19, PRIVACY, Mar. 30, 2020, https://www.lawsonlundell.com/change-your-privacy-settings-here/bc-government-relaxes-in-canada-only-data-hosting-requirements (last visited Dec. 25, 2021). [17] Handelsgesetzbuch (HGB) § 257(2020). [18] Martina F Ferracane, Restrictions on cross-border data flows(2017), EUROPEAN CENTRE FOR INTERNATIONAL POLITICAL ECONOMY (ECIPE), at 14, https://www.econstor.eu/bitstream/10419/174853/1/ecipe-wp-2017-01.pdf (last visited Dec. 25, 2021). [19] 「跨太平洋夥伴全面進步協定」（CPTPP）簡介，中華民國外交部，https://www.mofa.gov.tw/cp.aspx?n=2613（最後瀏覽日：2021/12/15）。 [20] Trade in Services Agreement (TISA), FEDERAL MINISTRY FOR ECONOMIC AFFAIRS AND CLIMATE ACTION, https://www.bmwk.de/Redaktion/EN/Artikel/Foreign-Trade/tisa.html (last visited Mar. 03, 2021). [21] United States-Mexico-Canada Agreement, OFFICE OF THE UNITED STATES TRADE REPRESENTATIVE[USTR], https://ustr.gov/trade-agreements/free-trade-agreements/united-states-mexico-canada-agreement (last visited Mar. 03, 2021) [22] APEC Privacy Framework (2015), APEC,https://www.apec.org/publications/2017/08/apec-privacy-framework-(2015) (last visited Mar. 03, 2021).