歐盟在考量營業秘密對企業重要性下,通過兼顧重要資料保護的資料法法案,以推動資料經濟發展
歐盟理事會於2023年11月27日批准通過資料法法案(Data Act),該法案雖預計於2025年才會生效,該草案自2022年公告以來,各界對該法案都紛紛從不同角度表示意見,如企業對於資料共享是否對營業秘密外流的風險表達擔憂,歐盟在發揮資料經濟價值(資料交易與資料使用)的方向下,將業界考量納入進行修改,以下就經理事會通過之資料法法案關鍵影響概要如下:
1、資料共享
有鑑於因網路裝置/服務所產出的數位資料往往掌握於產品製造商或服務提供商身上,資料法建立了資料共享的基本規則,確保數位資料由製造商/服務商流動至第三人(包含產品/服務使用者),另資料法所保護之資料包含使用AI所產生之資料。
2、營業秘密保護
為避免資料持有人的營業秘密因此外流,資料持有人可以與請求提供資料的第三人(資料請求者)協議應採取之保密措施,在保密措施未達成一致或使用者未實施保密措施,資料持有人可暫停資料共享,在有重大經濟損失之虞時甚可拒絕資料共享。
3、對資料持有者的限制
資料持有者僅能在與使用者約定之範圍內使用資料,在無使用者許可下,不得用使用者所產出之資料去回推使用者的經濟、資產或生產等資訊,以避免損及使用者的商業地位。
資料法法案的主要目標在於塑造具競爭性的資料市場生態,確保資料的價值可公平分配到不同參與者身上,其聚焦在非個人資料的數位資料上,除適用於對歐盟提供產品/服務之廠商外,亦包含可於歐盟境內取得資料之情況。國內廠商宜先檢視自身商業行為與歐盟之關聯性,盤點現有產品或服務所產出的資料屬性,如可能需特別約定保密措施之營業秘密,預先規劃資料管理機制與對應管制措施,就重要資料或營業秘密管理機制可參資策會科法所公布之《重要數位資料治理暨管理制度規範(EDGS)》、《營業秘密保護管理規範》。
本文同步刊登於TIPS網站(https://www.tips.org.tw)
- Council of the European Union, Data Act: Council adopts new law on fair access to and use of data, Nov. 27, 2023
- The European Data Act
- Dr. Martin Braun, Anne Vallery & Itsiq Benizri, Details of the EU Data Act (1)—Data Access Rights and Obligations, WILMERHALE, Dec. 4, 2023
- DR. AXEL SPIES & JIAZHEN GUO, NEW EU DATA ACT: IMPACT ON DATA FLOWS WITHIN AND OUTSIDE THE EU’S BORDERS, Morgan Lewis, Dec. 5, 2023
- Vilhelm Schroder, The Data Act and Trade Secrets, HANNES SNELLMAN, Sep. 7, 2023
莊越程
高級法律研究員 編譯整理
Council of the European Union, Data Act: Council adopts new law on fair access to and use of data, Nov. 27, 2023, https://www.consilium.europa.eu/en/press/press-releases/2023/11/27/data-act-council-adopts-new-law-on-fair-access-to-and-use-of-data/?utm_source=dsms-auto&utm_medium=email&utm_campaign=Data+Act%3a+Council+adopts+new+law+on+fair+access+to+and+use+of+data (last visited Dec. 8, 2023).
The European Data Act, https://www.eu-data-act.com/ (last visited Dec. 8, 2023).
Dr. Martin Braun, Anne Vallery & Itsiq Benizri, Details of the EU Data Act (1)—Data Access Rights and Obligations, WILMERHALE, Dec. 4, 2023, https://www.wilmerhale.com/en/insights/blogs/WilmerHale-Privacy-and-Cybersecurity-Law/20231204-details-of-the-eu-data-act-1-data-access-rights-and-obligations (last visited Dec. 8, 2023).
DR. AXEL SPIES & JIAZHEN GUO, NEW EU DATA ACT: IMPACT ON DATA FLOWS WITHIN AND OUTSIDE THE EU’S BORDERS, Morgan Lewis, Dec. 5, 2023, https://www.morganlewis.com/pubs/2023/12/new-eu-data-act-impact-on-data-flows-within-and-outside-the-eus-borders (last visited Dec. 8, 2023).
Vilhelm Schroder, The Data Act and Trade Secrets, HANNES SNELLMAN, Sep. 7, 2023. https://www.hannessnellman.com/news-views/blog/the-data-act-and-trade-secrets/ (last visited Dec. 8, 2023).
紐西蘭眾議院(New Zealand House of Representatives)於2023年3月通過數位身分服務信任框架法案(Digital Identity Services Trust Framework Act,以下稱本法案),旨在建立數位身分信任制度。本法案為數位身份服務商提供自願認證計畫,政府將授予符合信任框架規範之服務商認證。數位經濟與通訊部(Minister for the Digital Economy and Communications)指出,數位身份目前缺乏一致的辨識標準,而信任框架的訂定將有助於緩解身份盜用、詐欺與隱私資料外流之風險。茲所附言,本法案如經總督簽署將於2024年生效。 蓋紐西蘭針對政府數位化與數位轉型已擬定多項計畫、策略,其中包含建構安全、分散且以用戶為中心的數位身份管理制度,而本法案的通過與施行將為上述制度奠定基礎,其特性說明如下: 一、去中心化資料儲存:數位身分資料傳遞是由資訊提供者(如政府、銀行或公用事業公司等持有個人資訊者)、用戶(資料所有者)與服務商三方形成連結網絡,而非源自集中保存身分資料之數據資料庫。 二、以用戶為中心:若用戶有驗證或提供身分資訊之需求,經過政府認證符合信任框架規範的服務商,可在用戶的許可與請求下,傳送相關資料給用戶指定之第三方(需求者)。 三、非強制性機制:紐西蘭政府將不會強制服務商、用戶及需求者使用依本法案所建構之數位身分信任機制。 四、交互認證:基於紐西蘭與澳洲的單一經濟市場議程(Single Economic Market, SEM),本法案將符合對應英國、澳洲與加拿大有關數位信任之規範,減少因法規差異產生之成本和歧視。
英國提出「緊急應變與復原準則」強化災難時之應變規定英國內閣辦公室(Cabinet Office)於2013年10月29日提出「緊急應變與復原準則:依循2004年國民緊急應變法之不成文準則」(Emergency Response and Recovery: Non statutory guidance accompanying the Civil Contingencies Act 2004),針對「應變與復原」作相關規定,以補充內閣辦公室於2006年1月1日提出「緊急準備規則」(Emergency Preparedness)對複合式緊急管理(Integrated emergency management, IEM)規定的不足之處。 英國「2004年國民緊急應變法」(The Civil Contingency Act 2004),為英國處理緊急事件之主要依據,「緊急應變與復原準則」即根據「2004年國民緊急應變法」制訂。此規則於「緊急應變章節」規定地方政府之緊急事件依嚴重程度區分為三級:銅(Bronze),僅需要操作指揮(Operational)、銀(Silver),需要策略指揮 (Tactical)、金(Gold),需要戰略指揮(Strategic),用以判斷是否區需要跨機關合作來因應緊急事故。如事故屬於重大緊急災難時,則屬於需要跨機關協調合作,藉由層級指揮及指令下達掌控應變程序與資訊傳遞,以因應長期及廣泛區域之災難。中央政府的權責在於全國性重大緊急事件,並且災難發生時之首相為最高行政首長,最高緊急機構為「內閣緊急應變會議」(Cabinet Office Brifing Rooms, COBR,又稱為眼鏡蛇),同時國民緊急秘書處(Civil Contingencies Secretariat, CCS)也需要協調跨部門及跨機構事務。 為提升災難應變與復原效率,2013年10月的「緊急應變與復原準則」,說明藉由地方的地方抗災議會(Local Resilience Forum)到中央等全國性之系統與網路串聯以傳遞緊急訊息,並建立三種層級之共同認知資訊圖像(Common Recognized Information Picture, CRIP),包括地方層級、區域以及國家級。此項系統必須足以傳遞並收集來自各方的大量資訊、能評估所收集各資料之性質,如緊急性、關聯性、說明性及可使用性等,並且能夠使大眾週知。 然,處理資料的過程仍有可能面臨數種問題,包括各機關之資料不同、判斷不同、理解錯誤及通訊超載等。2013年10月緊急應變與復原準則亦說明建立資訊管理系統(information management system)並安裝至多機構緊急管理中;而民間機構也應作為多機構之一環,並擔任資訊管理機構。同時,在共享資料之同時,必須注意資料保護,因此必須遵守「資料保護與共享-緊急計畫人與應變人準則」(Data Protection and Sharing-Guidance for Emergency Planner and Responders)。英國地域性與台灣近似,皆屬易於發生水患的國家,英國在緊急災難之應變於各方面的法制皆以趨於完善,殊值得持續觀察未來發展方向。
德國「智慧聯網倡議」德國聯邦經濟及能源部於2016年9月1日公布數位議程框架新的經費公告,以支持智慧聯網示範的實施與推廣。德國聯邦政府於2015年9月公布的智慧聯網(Initiative Intelligente Vernetzung)戰略,該戰略實施的4個面向如下: (1)應用領域的支持:聚焦教育、能源、衛生、交通和管理五大應用領域的數位化和智慧化運用及發展,並排除相關實施障礙; (2)促進合作:促進資通訊技術與五大應用領域間的跨領域溝通與合作; (3)改善框架條件:加強投資環境並消除相關障礙;保護隱私權及加強網路安全;制訂相關標準化作業;提升商品或服務市場競爭力; (4)加強各界參與:促進各界參與及討論,共創及共享經濟利益。德國聯邦政府基於該戰略計劃,提出智慧聯網倡議,及提供開放式創新平台,促進不同領域的合作及整合運用,將有助於產業價值及競爭力的提升,並提高國際間合作的機會。 我國為發展智慧聯網相關產業,曾推出包括「智慧辨識服務推動計畫」、「智慧聯網商區整合示範推動計畫」等相關應用服務整合及解決方案計畫,今年更陸續推出「亞洲‧矽谷推動方案」、「數位國家‧創新經濟發展方案」,藉以提高數位生活服務使用普及率,並以創新驅動產業升級轉型。