歐盟執委會提出ESG評鑑機構監管草案,以健全歐盟永續金融市場
歐盟執委會(European Commission, EC)於2023年6月13日發佈「環境、社會與治理(ESG)評鑑透明度與誠信的規則草案(Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the transparency and integrity of Environmental, Social and Governance (ESG) rating activities,下稱本草案)」,以健全歐盟永續金融市場。
ESG評鑑係指評鑑機構向投資者和金融機構提供有關ESG的投資策略和風險管理等關鍵資訊,在歐盟永續金融市場扮演重要角色。因此本草案提出評鑑機構治理與利益衝突防免的規範,確保ESG評鑑機構誠信營運、提升評鑑的可靠性和透明度、並協助投資者作出更明智的永續投資決策。本草案要點如下:
(1)授權許可:ESG評鑑機構原則上須取得歐洲證券與市場管理局(European Securities and Markets Authority, ESMA)的授權許可,始得於歐盟境內經營ESG評鑑業務。如為第三國ESG評鑑機構,則須申請取得同等認定(equivalence decision)後始得在歐盟經營ESG評鑑業務
(2)評鑑機構內部治理:要求ESG評鑑機構確保其獨立性、建立申訴處理機制、限制評鑑機構兼營金融與稽核業務等
(3)提升評鑑透明度:要求ESG評鑑機構公開揭露方法論、模型、主要假設與技術標準等
(4)授予ESMA監管權力:ESMA得要求評鑑機構與相關人士提供資料、詢問評鑑機構代表或職員、甚至實地查核等措施;就違反規定的評鑑機構,ESMA亦有要求暫停營運、課予罰鍰以及撤銷經營許可的權力
本文為「經濟部產業技術司科技專案成果」
吳允中
副法律研究員 編譯整理
EUROPEAN COMMISSION [EC], Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the transparency and integrity of Environmental, Social and Governance (ESG) rating activities (2023), https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52023PC0314 (last visited Sept. 4, 2023)
沈娟娟,〈英國氣候過渡計畫小組公布氣候揭露報告框架與實施指南〉,科技法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8957&no=64(最後瀏覽日:2023/9/4)。
蔣瑜玲,〈瑞士ESG新法規正式生效〉,科技法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8795&no=64(最後瀏覽日:2023/9/4)。
2018年7月27日印度電子及資訊科技部(Ministry of Electronics and Information Technology, MeitY)公告個人資料保護法草案(Protection of Personal Data Bill),若施行將成為印度首部個人資料保護專法。 其立法背景主要可追溯2017年8月24日印度最高法院之判決,由於印度政府立法規範名為Aadhaar之全國性身分辨識系統,能夠依法強制蒐集國民之指紋及虹膜等生物辨識,國民在進行退稅、社會補助、使用福利措施等行為時都必須提供其個人生物辨識資料,因此遭到人權團體控訴侵害隱私權。最高法院最後以隱私權為印度憲法第21條「個人享有決定生活與自由權利」之保護內涵,進而認為國民有資料自主權,能決定個人資料應如何被蒐集、處理與利用而不被他人任意侵害,因此認定Aadhaar專法與相關法律違憲,政府應有義務提出個人資料專法以保護國民之個人資料。此判決結果迫使印度政府成立由前最高法院BN Srikrishna法官所領導之專家委員會,研擬個人資料保護法草案。 草案全文共112條,分為15章節。主要重點架構說明如下: 設立個資保護專責機構(Data Protection Authority of India, DPAI):規範於草案第49至68條,隸屬於中央政府並由16名委員所組成之委員會性質,具有獨立調查權以及行政檢查權力。 對於敏感個人資料(Sensitive personal data)[1]之特別保護:草案在第4章與第5章兩章節,規範個人與兒童之敏感個人資料保護。其中草案第18條規定蒐集、處理與利用敏感個人資料前,必須獲得資料主體者(Data principal)之明確同意(Explicit consent)。而明確同意是指,取得資料主體者同意前,應具體且明確告知使用其敏感個人資料之目的、範圍、操作與處理方式,以及可能對資料主體者產生之影響。 明確資料主體者之權利:規範於草案第24至28條,原則上資料主體者擁有確認與近用權(Right to confirmation and access)、更正權(Right to correction)、資料可攜權(Right to data portability)及被遺忘權(Right to be forgotten)等權利。 導入隱私保護設計(Privacy by design)概念:規範於草案第29條,資料保有者(Data fiduciary)應採取措施,確保處理個人資料所用之技術符合商業認可或認證標準,從蒐集到刪除資料過程皆應透明並保護隱私,同時所有組織管理、業務執行與設備技術等設計皆是可預測,以避免對資料主體者造成損害等。 指派(Appoint)資料保護專員(Data protection officer):散見於草案第36條等,處理個人資料為主之機構、組織皆須指派資料保護專員,負責進行資料保護影響評估(Data Protection Impact Assessment, DPIA),洩漏通知以及監控資料處理等作業。 資料保存之限制(Data storage limitation):規範於草案第10條與第40條等,資料保有者只能在合理期間內保存個人資料,同時應確保個人資料只能保存於本國內,即資料在地化限制。 違反草案規定處高額罰金與刑罰:規範於草案第69條以下,資料保有者若違反相關規定,依情節會處以5億至15億盧比(INR)或是上一年度全球營業總額2%-4%罰金以及依據相關刑事法處罰。 [1]對於敏感個人資料之定義,草案第3-35條規定,包含財務資料、密碼、身分證號碼、性生活、性取向、生物辨識資料、遺傳資料、跨性別身分(transgender status)、雙性人身分(intersex status)、種族、宗教或政治信仰,以及與資料主體者現在、過去或未來相連結之身體或精神健康狀態的健康資料(health data)。
現有法制對公立大學教授技術作價之現況與困難 世界衛生組織發布人工智慧於健康領域之監管考量因素文件,期能協助各國有效監管健康領域之人工智慧世界衛生組織(World Health Organization, WHO)於2023年10月19日發布「人工智慧於健康領域之監管考量因素」(Regulatory considerations on artificial intelligence for health)文件,旨在協助各國有效監管健康領域之人工智慧,發揮其潛力同時最大限度地降低風險。本文件以下列六個領域概述健康人工智慧之監管考量因素: (1)文件化與透明度(Documentation and transparency) 開發者應預先規範(pre-specifying)以及明確記錄人工智慧系統(以下簡稱AI系統)之預期醫療目的與開發過程,如AI系統所欲解決之問題,以及資料集之選擇與利用、參考標準、參數、指標、於各開發階段與原始計畫之偏離及更新等事項,並建議以基於風險之方法(Risk-based approach),根據重要性之比例決定文件化之程度、以及AI系統之開發與確效紀錄之保持。 (2)風險管理與AI系統開發生命週期方法(Risk management and AI systems development lifecycle approaches) 開發者應在AI系統生命之所有階段,考慮整體產品生命週期方法(total product lifecycle approach),包括上市前開發管理、上市後監督與變更管理。此外,須考慮採用風險管理方法(risk management approach)來解決與AI系統相關之風險,如網路安全威脅與漏洞(vulnerabilities)、擬合不足(underfitting)、演算法偏差等。 (3)預期用途、分析及臨床確效(Intended use, and analytical and clinical validation) 開發者應考慮提供AI系統預期用途之透明化紀錄,將用於建構AI系統之訓練資料集組成(training dataset composition)之詳細資訊(包括大小、設定與族群、輸入與輸出資料及人口組成等)提供給使用者。此外,可考慮透過一獨立資料集(independent dataset)之外部分析確效(external analytical validation),展示訓練與測試資料以外之效能,並考慮將風險作為臨床確效之分級要求。最後,於AI系統之上市後監督與市場監督階段,可考慮進行一段期間密集之部署後監督(post-deployment monitoring)。 (4)資料品質(Data quality) 開發者應確認可用資料(available data)之品質,是否已足以支援AI系統之開發,且開發者應對AI系統進行嚴格之預發布評估(pre-release evaluations),以確保其不會放大訓練資料、演算法或系統設計其他元素中之偏差與錯誤等問題,且利害關係人還應考慮減輕與健康照護資料有關之品質問題與風險,並繼續努力創建資料生態系統,以促進優質資料來源之共享。 (5)隱私與資料保護(Privacy and data protection) 開發者於AI系統之設計與部署過程中,應考慮隱私與資料保護問題,並留意不同法規之適用範圍及差異,且於開發過程之早期,開發者即應充分瞭解適用之資料保護法規與隱私法規,並應確保開發過程符合或超過相關法規要求。 (6)參與及協作(Engagement and collaboration) 開發者於制定人工智慧創新與部署路線圖之期間,需考慮開發可近用且具有充足資訊之平台,以於適合與適當情況下促進利害關係人間之參與及協作;為加速人工智慧領域實務作法之進化,透過參與及協作來簡化人工智慧監管之監督流程即有必要。
美國司法部與聯邦貿易委員會聯合發布新「垂直合併指引」美國司法部 (Department of Justice, DOJ)與聯邦貿易委員會(The Federal Trade Commission, FTC)於2020年6月30日發布新的「垂直合併指引(Vertical Merger Guidelines)」,其為美國司法部與聯邦貿易委員會首次針對垂直合併所發布之共同指引,且為自司法部1984年「非水平合併指引(Non-Horizontal Merger Guidelines)」頒布以來,首次針對垂直合併之重大修正,內容旨在概述聯邦反托拉斯主管機關如何評估垂直合併之競爭效應、以及該等合併是否符合美國反托拉斯法。 本指引所適用之合併態樣包括嚴格垂直合併(於相同供應鏈之不同階段的公司或資產之合併)、斜向合併(diagonal mergers)(於競爭供應鏈之間之不同階段的公司或資產之合併)、以及於互補合併(mergers of complements)時所會產生之垂直議題。其描述主管機關用於判斷垂直合併之反競爭與促進競爭效果之分析架構。 於反競爭效果分析之單方效果方面,其提出可能之類型包括封鎖與提高競爭對手成本(Foreclosure and Raising Rivals’ Costs)、影響競爭之敏感資訊的近用(Access to Competitively Sensitive Information);於反競爭效果分析之共同效果方面,其指出垂直合併可能會透過鼓勵合併後相關市場中各公司間之協調互動(coordinated interaction)來減少競爭並傷害消費者。 於促進競爭效果分析方面,其著重於針對消除雙重邊際化(elimination of double marginalization, EDM)之分析,因垂直合併通常透過EDM使消費者受益,而傾向於可減少對競爭造成損害之風險。主管機關可以獨立依一切可得之證據來量化EDM之效果,其通常會檢驗被併購後可自給自足之效果,相較於若未被併購時需從獨立供應商購買之情況下所可能節省之成本,作為對於EDM效果之驗證。 藉由此指引之發布,可為主管機關對於垂直合併之評估與分析方式提供了透明度,而有助於為企業界、律師界、與執法者提供更多之可預測性。