歐盟在考量營業秘密對企業重要性下,通過兼顧重要資料保護的資料法法案,以推動資料經濟發展
歐盟理事會於2023年11月27日批准通過資料法法案(Data Act),該法案雖預計於2025年才會生效,該草案自2022年公告以來,各界對該法案都紛紛從不同角度表示意見,如企業對於資料共享是否對營業秘密外流的風險表達擔憂,歐盟在發揮資料經濟價值(資料交易與資料使用)的方向下,將業界考量納入進行修改,以下就經理事會通過之資料法法案關鍵影響概要如下:
1、資料共享
有鑑於因網路裝置/服務所產出的數位資料往往掌握於產品製造商或服務提供商身上,資料法建立了資料共享的基本規則,確保數位資料由製造商/服務商流動至第三人(包含產品/服務使用者),另資料法所保護之資料包含使用AI所產生之資料。
2、營業秘密保護
為避免資料持有人的營業秘密因此外流,資料持有人可以與請求提供資料的第三人(資料請求者)協議應採取之保密措施,在保密措施未達成一致或使用者未實施保密措施,資料持有人可暫停資料共享,在有重大經濟損失之虞時甚可拒絕資料共享。
3、對資料持有者的限制
資料持有者僅能在與使用者約定之範圍內使用資料,在無使用者許可下,不得用使用者所產出之資料去回推使用者的經濟、資產或生產等資訊,以避免損及使用者的商業地位。
資料法法案的主要目標在於塑造具競爭性的資料市場生態,確保資料的價值可公平分配到不同參與者身上,其聚焦在非個人資料的數位資料上,除適用於對歐盟提供產品/服務之廠商外,亦包含可於歐盟境內取得資料之情況。國內廠商宜先檢視自身商業行為與歐盟之關聯性,盤點現有產品或服務所產出的資料屬性,如可能需特別約定保密措施之營業秘密,預先規劃資料管理機制與對應管制措施,就重要資料或營業秘密管理機制可參資策會科法所公布之《重要數位資料治理暨管理制度規範(EDGS)》、《營業秘密保護管理規範》。
本文同步刊登於TIPS網站(https://www.tips.org.tw)
- Council of the European Union, Data Act: Council adopts new law on fair access to and use of data, Nov. 27, 2023
- The European Data Act
- Dr. Martin Braun, Anne Vallery & Itsiq Benizri, Details of the EU Data Act (1)—Data Access Rights and Obligations, WILMERHALE, Dec. 4, 2023
- DR. AXEL SPIES & JIAZHEN GUO, NEW EU DATA ACT: IMPACT ON DATA FLOWS WITHIN AND OUTSIDE THE EU’S BORDERS, Morgan Lewis, Dec. 5, 2023
- Vilhelm Schroder, The Data Act and Trade Secrets, HANNES SNELLMAN, Sep. 7, 2023
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 114年「企業營業秘密保護實務座談會」(南部場)
- 【8/27上午場】2025 科技專案成果管理之法制與實務課程
- 【8/27下午場】2025 科技專案成果管理之法制與實務課程
- 114年「企業營業秘密保護實務座談會」(中部場)
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【上午場】2026科技專案成果管理之法制與實務課程
- 【下午場】2026科技專案成果管理之法制與實務課程
- 製程工業AI應用與規範研討會
莊越程
高級法律研究員 編譯整理
Council of the European Union, Data Act: Council adopts new law on fair access to and use of data, Nov. 27, 2023, https://www.consilium.europa.eu/en/press/press-releases/2023/11/27/data-act-council-adopts-new-law-on-fair-access-to-and-use-of-data/?utm_source=dsms-auto&utm_medium=email&utm_campaign=Data+Act%3a+Council+adopts+new+law+on+fair+access+to+and+use+of+data (last visited Dec. 8, 2023).
The European Data Act, https://www.eu-data-act.com/ (last visited Dec. 8, 2023).
Dr. Martin Braun, Anne Vallery & Itsiq Benizri, Details of the EU Data Act (1)—Data Access Rights and Obligations, WILMERHALE, Dec. 4, 2023, https://www.wilmerhale.com/en/insights/blogs/WilmerHale-Privacy-and-Cybersecurity-Law/20231204-details-of-the-eu-data-act-1-data-access-rights-and-obligations (last visited Dec. 8, 2023).
DR. AXEL SPIES & JIAZHEN GUO, NEW EU DATA ACT: IMPACT ON DATA FLOWS WITHIN AND OUTSIDE THE EU’S BORDERS, Morgan Lewis, Dec. 5, 2023, https://www.morganlewis.com/pubs/2023/12/new-eu-data-act-impact-on-data-flows-within-and-outside-the-eus-borders (last visited Dec. 8, 2023).
Vilhelm Schroder, The Data Act and Trade Secrets, HANNES SNELLMAN, Sep. 7, 2023. https://www.hannessnellman.com/news-views/blog/the-data-act-and-trade-secrets/ (last visited Dec. 8, 2023).
韓國於今年1月份爆發史上規模最大的個資外洩案,國民銀行執行長李健浩、國民銀行信用卡公司執行長沈在吾、樂天信用卡公司執行長朴相勳與農協銀行信用卡公司執行長孫京植等人,亦因此請辭以示負責。 為防止將來金融機構再次發生個人資料外洩等事件,韓國金融服務委員會(Financial Services Commission, FSC)與相關部會於3月份發佈一連串要求,以下為其基本原則 1. 金融機構將被要求在處理客戶的個人資料時的每一個階段,包括蒐集、保存、使用和銷毀客戶資料時,都必須擔負起更多的責任。 2. 確保金融消費者可主張關於其個人資料之相關權利,包括金融消費者可決定金融機構於何時如何使用其個人資料。 3. 提升金融機構對於其客戶之個人資料保護責任,包括提升首席資訊安全官(Chief Information Security Officer, CISO)獨立性與責任、加重金融機構於資訊安全違規時相關罰則。 4. 政府將採取更多措施以確保金融機構的網路安全。 5. 金融機構必須建立緊急應變機制,以確保面對未來可能的資料外洩事故時,可迅速有效的應對。 韓國政府於於3月底已對不需修改法律之部分開始執行,而涉及《使用和保護信用資料法》和《電子金融交易法》部分亦待議會修法。
標準必要專利法制發展及對應策略 日本發布Startup交易習慣之現況調查報告最終版,統整新創事業實務上遭遇不公平競爭行為之態樣日本公平交易委員會於2020年11月27日發布「Startup交易習慣之現況調查報告最終版」(スタートアップの取引慣行に関する実態調査について最終報告),主旨為揭露其國內新創事業於交易市場遭遇不公平競爭行為的調查結果。本報告的作成目的,係基於新創事業發展具備推動創新、活絡國內經濟之潛力,故針對各類型新創事業在參與市場交易時,有無因其與相對人間的不對等地位(因需仰賴相對人提供資金或資源),遭遇不公平競爭的情況進行調查。同時,本報告所公布的調查結果,將會作為未來訂定新創事業與合作廠商間契約指引的參考依據,以圖從制度面改善新創事業參與市場的競爭環境。 本報告書所調查的交易態樣,聚焦於容易出現不公平競爭行為的契約或競爭關係,並分別整理主要的行為態樣如下:(1)新創事業與合作廠商間之契約:要求新創事業揭露營業秘密、約定對合作廠商有利的保密協議條款、無償進行概念驗證(Proof of Concept)、無償提供授權、於共同研究契約中約定智財權僅歸屬合作廠商、延遲給付報酬予新創事業等;(2)新創事業與出資者間之契約:要求新創事業揭露營業秘密、負擔出資者外包業務予第三人之費用、購買不必要的商品或服務、提供片面優惠待遇、限制新創事業的交易對象等;(3)新創事業與其他競爭廠商間之關係:競爭廠商要求交易相對人不得向與其存在競爭關係之新創事業買入競爭性商品;競爭廠商針對特定新創事業設定較高的商品售價,而事實上拒絕與其進行交易等。同時,依據報告書,在與合作廠商或出資者進行交易、或訂定契約的過程中,約有17%的新創事業表示曾遭遇「無法接受的行為」(納得できない行為),且當中有約八成的新創事業妥協接受。其中,若為銷售額未滿5000萬日圓、且公司未配有法務人員的新創事業,遇到無法接受行為的事業家數為銷售額5000萬日圓以上、且公司有法務人員之新創事業的2.5倍。
歐盟針對個人資料傳輸第三國之規範提出參考指引歐盟資料保護監督機關(European Data Protection Supervisor, 下稱EDPS)於2014年7月14日,針對利用雲端運算以及行動設備,將個人資料從歐盟境內傳輸至非歐盟國家之部分,提出意見書作為參考指引。EDPS通常會針對雲端業者在從事商業服務時,進行監督審查,當個人資料透過雲端運算服務進行傳輸或處理時,會由EDPS先行確認,以確保該傳輸是否符合歐盟之個人資料保護指令(Directive 95/46/EC)與規則(Regulation (EC) No 45/2001)之規範。 有鑑於跨境合作或使用傳輸服務等需求,歐盟境內將個人資料傳輸至第三國或國際組織之情形日益劇增,此參考指引之主要目的在於詳加解釋歐盟資料保護規則(Regulation (EC) No 45/2001)中關於國際間個人資料傳輸之規定以及應該如何適用。 首先,該指引針對何謂個人資料傳輸以及歐盟資料保護規則第9條之範圍做出說明,後續則分別就適當保護之意涵,以及由歐盟執委會基於規則第9.5條之規定依權限得決定第三國是否已達適當保護標準之國家等部分加以論述。最後,該指引則提供確認表,在資料傳輸前應經過一定的確認流程,包括確認資料接收的國家或組織是否已有適當的保護層級,若無,則是否尚有其他資料可證明。如上述皆無法證明,則應考慮是否有例外情況,例如:取得資料所有人同意得進行傳輸、資料所有人與資料控管者因契約約定同意傳輸、資料控管者與第三人因契約約定,基於資料所有人之利益而傳輸、基於重要公益事由或其他法律上之事項必要傳輸、基於保護資料所有人之重要利益而傳輸、基於資料提供於大眾而傳輸等。倘缺乏以上例外情形,則可考慮資料控管者是否得援引自己已經具備適當的安全機制而可進行資料傳輸。最後,如無任何安全之保護,則資料將無法進行傳輸至第三國。 綜上,歐盟針對資料傳輸予第三國之部分做出更詳細之說明作為參考指引,使資料之傳輸與流通更有明確的規範方向,其後續適用之成效為何應可持續觀察。