日本發布利用AI時的安全威脅、風險調查報告書，呼籲企業留意利用AI服務時可能造成資料外洩之風險

　　歐洲議會(European Parliament)於今(2015)年10月8日通過支付服務指令的修正草案(revised Directive on Payment Services; 簡稱PSD2)，修正後的支付服務指令將能降低消費者使用支付服務時所花的費用、提升支付服務的安全性、吸引業者投入支付服務領域及促進支付服務的創新。 　　未來，擁有網路帳戶的付款人可以利用第三方支付業者提供的支付軟體及設備進行付款。新法中也明訂，若付款者使用支付工具，如金融卡(Debit Card)或信用卡(Credit Card)為付款時，支付業者不得向付款人收取額外的費用，這個規定使付款人得以省下一筆開銷。 　　新法也規定，提供付款人帳戶資訊的銀行，若對第三方支付業者有安全上的疑慮時，其向監管機關提出客觀合理的理由後，得拒絕第三方支付業者向其存取付款人的帳戶資訊。 　　另外，為降低用戶被盜款的風險及保障用戶的財務資料，支付業者有義務提供嚴格的用戶認證機制(strong customer authentication)。此機制藉由確認付款人的密碼、使用的卡片或聲音或指紋的認證來確認付款人的身分。而當用戶的付款工具(payment instrument)遺失、被竊取或不當利用，而造成有未經用戶同意而為支付的情況發生時，依新法規定，用戶負擔之損失，最多不得超過50歐元。

歐盟REACH規則之登錄義務與化學品創新商業模式 資訊工業策進會科技法律研究所 2019年12月 　　依據「聯合國化學品管理策略方針 」（UN Strategic Approach to International Chemical Management SAICM）要求在化學品的製造、使用及管理上，應盡可能地減少對環境及人體健康的負面衝擊，並以聯合國2030年永續發展目標為基礎，持續推動化學品管理，減少有毒物化學物質與危險材料的釋出，將全球的回收與安全再使用率提高，使化學品健全管理成為實現永續發展的必要條件，透過開發創新的化學品商業模式與經濟活動，來促進綠色化學及永續發展之目標前進。 壹、歐盟REACH規則與登錄義務之要求 一、歐盟REACH規則之立法目的及意旨 　　歐盟於2006年以「化學品登錄、評價、許可及限制規則」（Registration, Evaluation, Authorization and Restriction of Chemicals, REACH）[1]，作為歐盟境內統一性化學物質管理法制。依據REACH規則第1條規定「本規章之目的為確保人類健康及環境之高度保障（high level of protection），包括促進對於因化學物質（substance）產生之危險之替代評估方法，維護物質於歐洲內部市場之自由流通，及同時提高競爭力和創新。」其目的除管制歐盟境內之化學物質，來保護人類健康與環境安全，達到永續發展之目的外，亦期望透過歐盟境內一致性的協調性規範，使化學物質的流通能夠順暢，以促進經濟的發展。 二、歐盟REACH規則之登錄義務要求 　　為掌握歐盟境內化學物質之風險管理與因應措施，REACH規則第5條以下要求製造者或輸入者須完成化學物質本身或混合物或成品中化學物質之登錄後，始得製造或輸入。登錄制度之建立有助於獲取更多化學物質的資訊，並使相關產業之供應鏈及公眾獲知更多相關物質資訊。特別是，對於後續進行化學物質之風險管理，具有重要性之影響與作用。依REACH規則第5條至第14條規定，登錄義務人（化學物質之製造者與輸入者）須提供其生產或輸入之化學物質的相關資訊及暴露情境、暴露評估及風險特性等資訊，並且針對該物質應提出適當之風險管理措施的建議。 三、歐盟REACH規則之登錄義務對於產業之影響 　　由於製造商與輸入商須提供暴露情境、暴露評價與風險評估報告之義務，該報告內容包含簡易資訊卡（the simple infocard）、細節性摘要檔案（the detailed brief profile）及完整來源數據（the full source data）之資訊。該登錄義務對於上游供應鏈業者而言，往往面臨缺乏對物質情境與風險管理之相關資訊，例如其對於勞工與消費者接觸之危害程度、化學物質之用途以及對於評價之風險應提出何安全建議等[2]。除此之外，中小企業由於資源有限性、人力及成本的考量，相較於大型企業容易在物質資訊交換論壇（Substance Information Exchange Forums, SIEF）遇到困難[3] 。 貳、創新化學品商業模式與REACH規則登錄義務之交互作用 一、以服務為導向之化學品租賃商業模式 　　國家發展與經濟成長的同時，化學工業的生產、製程與發展的過程中，為人們生活條件與經濟物質帶來許多便利性；然而，過程中所排放的廢氣、廢水與廢棄物等污染，可能為人類健康與環境安全，帶來直接、間接或隱藏性的危害。有鑑於此，聯合國工業發展組織（United Nations Industrial Development Organization, UNIDO）與奧地利政府合作，推動「以服務為導向」的化學品租賃服務（Chemikalienleasing, ChL），此一創新化學品之商業模式有助於循環經濟體系之推動，除同時確保化學品內廢棄物回收物質之風險，更有利於降低人類健康及環境安全之危害物質[4]。 二、化學品租賃有助於REACH登錄義務之履行 　　化學品租賃係供應商以「化學品的產品週期」的產品服務取代傳統「數量或容量」之實物作為契約交付方式；從客戶端而言，其得按其對於化學品之實際需求，購買相關使用化學品之提供及後續產品維護等服務[5] 。從而，由於化學品之製造或輸入商提供化學品使用之服務，即實質地掌握物質的物質資訊、使用情境與風險危害資訊，相對於傳統線性模式有較完整之風險評估與防範措施。就此而論，其符合REACH規則之建置基礎，精準地掌握物質風險、有效控管物質危害及減少客戶依據REACH規則遵守登錄要求[6]。 三、化學品租賃有助於達成綠色化學與永續發展之目標 　　當下游使用者或客戶不再以擁有化學品的所有權為主，反而係享受化學品的使用服務時，除加深產業鏈之間的資訊交流緊密度，更有效地擺脫傳統線性經濟之取得、製造、丟棄之線性經濟模式，降低原物料的成本與減少對環境之污染，成為有效推動綠色經濟轉型與提升產業競爭力之關鍵綠色轉型契機例如SAFECHEM業者將汽車金屬製品的洗劑，改用租借整套清洗機台與洗劑給使用者，除讓清潔劑（化學品）可以被循環使用，並為客戶減少93%的溶劑使用量[7]。。 參、小結與建議 　　化學工業產業作為所有產業的一切基礎，如何讓化學工業發展對環境更有好的技術研發、降低危害性質之安全替代物質，以及發展更節省成本與降低污染的商業模式，固有發揮其重要性意義與亟迫需求。環保署現無一統籌性推行創新化學品商業之單位與措施，根據「107年至109年資源回收再利用推動計畫」建議加強推動化學品級產品租賃服務，藉以延長產品之壽命[8]。關於化學品租賃之推動多由民間業者自主發起與推行。 　　由於使用後之化學品，依據廢棄物清理法第28條規定，須委託經許可清理、處理廢棄物之公民營廢棄物清除處理機構予以清理、處理，造成供應商無法回收、再利用使用後之化學品、溶劑或副產品等。現行解套措施為環保署同意改以資源物處理，經專案申請核可後，同意供應廠商收回純化、再製循環使用，以協助廠商推動化學品租賃制度。惟僅係個案性解套化學品租賃之法規障礙，對於回收使用後之化學物質之風險資訊及危害程度，並無法實質性與國內「毒性及關注化學物質管理法」做鏈結與接軌。 　　從而，國內若能透過調修相關化學物質管理法制之規範，由此通盤性打造有利於「創新化學品商業模式」之制度框架，建置符合循環經濟利用資源不斷循環、再利用為基礎，善用化學品租賃之新型商業模式與創新合作關係，將有助於協助引導化工產業之企業進行永續化學之綠色轉型，降低使用化學品所產生之空氣污染、廢水及廢棄物等，俾利於保護人類健康及環境安全之雙贏目標。 　　 [1] Regulation (EC) No 1907/2006 of the European Parliament and of the Council of 18 December 2006 concerning the Registration, Evaluation, Authorisation and Restriction of Chemicals (REACH). [2] ECHA, ECHA, Report on the Operation REACH and CLP 2016 (2016), at 10, https://echa.europa.eu/documents/10162/13634/operation_reach_clp_2016_en.pdf (last visited Dec. 1, 2019). [3] id. at 32. [4] United Nations Industrial Development Organization [UNIDO], https://www.unido.org/our-focus/safeguarding-environment/resource-efficient-and-low-carbon-industrial-production/chemical-leasing (last visited Dec. 1, 2019) [5] Bundesministerium für Umwelt, Naturschutz und nukleare Sicherheit [BMU], Chemikalienleasing als Modell zur nachhaltigen Entwicklung mit Prüfprozeduren und Qualitätskriterien anhand von Pilotprojekten in Deutschland (Mar. 1, 2010), S. 7, https://www.bmu.de/fileadmin/Daten_BMU/Pools/Forschungsdatenbank/fkz_370767407_chemikalienleasing.pdf (last visited Dec. 1, 2019) [6] United Nations Industrial Development Organization [UNIDO], GLOBAL PROMOTION AND IMPLEMENTATION OF CHEMICAL LEASING BUSINESS MODELS IN INDUSTRY (2016), at 13-14, http://www.recpnet.org/wp-content/uploads/2016/08/10-Years-Chemical-Leasing-Report.pdf (last visited Dec. 1, 2019). [7] SAFECHEM, https://safechem.com/de/metallreinigung/compleasetm.html (last visited Dec. 1, 2019) [8] 行政院環保署，推動循環經濟—廢棄物資源化，頁12，網址：https://www.ey.gov.tw/File/A7633C551685F1CC?A=C （最後瀏覽日：2020/1/8）。

　　所謂營業秘密相關的秘密保持命令（或稱保密令），指訴訟中當事人所提示的證據內含有營業秘密時，為防止該些證據所涵括的特定營業秘密在民事或刑事訴訟程序進行中，可能因他造請求閱覽或當事人之證據揭示義務等事由，造成該當營業秘密洩漏，得在當事人釋明後，由司法機關依當事人或第三人聲請而採取的制度性保密措施。營業秘密的核心價值與保護法益，在於其秘密性的維持，無論為技術性或業務經營上的秘密，若因相關訊息的揭露導致該資訊獨占性喪失，也將連帶使其市場價值大幅減損，基此，立法者將應實施防止秘密資訊外洩之相關措施的領域，自社會經濟活動場域擴張至訴訟場域，避免漏洞產生。 　　經司法機關發秘密保持命令所生之主要效果，包含限制該特定營業秘密僅得被使用於實施該當訴訟程序之目的，以及禁止揭露給未接受該秘密保持命令之人。此規範一方面係為確保該訴訟之當事人得有效行使防禦權，另一方面，則是考量到因訴訟程序進行中，關於營業秘密保護的規範相對完善，基於實施該當訴訟為目的之使用導致洩密的可能性較低而設。制度設計上，如我國智慧財產案件審理法第11條至15條中，針對涉及營業秘密的民事與刑事訴訟程序所制定的秘密保持命令相關規範，即為適例。

歐盟、中國第三方支付立法簡介 科技法律研究所 2013年4月1日 壹、事件摘要 　　自2010年起，國內便不斷湧現訂立第三方支付專法的呼聲，希望主管機關開放第三方支付相關業務，並立法給予第三方支付明確的法律地位，以提升產業發展環境，滿足產業發展需求。事實上，第三方支付服務在國外已有多國立法規範，如中國、歐盟、日本、美國、新加坡、香港、泰國、馬來西亞等等。有將第三方支付定位為資金傳輸業者，或強調是「非銀行」的金融服務業者，著重於第三方支付服務的支付清算功能。多數國家的第三方支付主管機關為金融監理單位或者是中央銀行，如日本金融廳，英國金融服務局(Financial Service Authority，FSA)，新加坡金融管理局(Monetary Authority of Singapore，MAS)，中國、馬來西亞、泰國央行。礙於篇幅，本文以下僅就歐洲以及中國規範做介紹。 貳、重點說明 一、歐盟 　　第三方支付服務為歐盟2007年「支付服務指令(Payment Service Directive，簡稱PSD) 」所規範的「支付服務(payment service)」，第三方支付服務業者為指令所稱之「支付機構(payment institution)」。依照PSD第5條規定，支付機構欲進行營業必須要依照會員國國內法向會員國相關主管機關提出核准申請。以英國而言，英國的主管機關是「金融服務局(Financial Service Authority)」。 以下說明重要規範。 (一)創辦資本(initial capital)最低金額： 　　依照第6條，支付機構具有最低創辦資本額限制，網路支付機構的最低資本額限制為五萬歐元。 (二)資本維持義務(Own funds)： 　　依照第8條規定，支付機構必須要繼續持有一定數額的資金，至於應持有的金額，以下述三標準判定，如果下述三標準判定出的金額低於前述創辦資本的金額，則以創辦資本的金額為應持有資金的數目： 1.前一年度固定經常費用(overhead)的10%。 2.依照前年月平均處理金額的一定比率決定。 3.依照前一會計年度利息收入、利息支出、所收取的費用以及其他營運收入的總和，按比例提存之。如果實際無前一會計年度資料，可採取預估值。 (三)資金防護義務(safeguarding requirements)： 　　依照第9條規定，支付機構對於自消費者所收取的代收轉付資金，必須要提供下述防護措施，原則上只要滿足其一即可。對於個別支付金額超過600歐元的消費者，指令認為會員國的主管機關可以要求對於這類大額消費者單獨提供防護措施。 1.專用存款帳戶： 　　消費者的資金不得與其他資金混同，支付機構一旦收取代收轉付資金即須將之存入獨立的帳戶，或者是投資於由會員國指定的低風險、流動性佳的資產。 2.破產隔離： 　　應依照會員國的國內法，基於消費者的利益做好破產隔離工作，排除支付機構的其他債權人對代收轉付資金主張權利。 3.保險： 　　為消費者的代收轉付資金投保，或者是提供其他來自保險公司或者是信用機構同等效力的擔保，在支付機構無法履行其財務責任時進行理賠。 (四)資料保存義務(Record-keeping)： 　　依照第19條規定，會員國應要求支付機構妥善保存交易資料，保存義務期限至少五年。 (五)洗錢防制義務： 　　依照第5條規定，支付機構在申請核准時，需要提供公司治理以及內部控制規劃架構，其中第f款指出，支付機構須提出符合Directive 2005/60/EC以及Regulation (EC) No 1781/2006關於防制洗錢以及恐怖組織金融活動(terrorist financing)的內部控制機制。 (六)書面締約義務： 　　依照第41條規定，支付服務提供者必須要與支付服務使用者就第42條所規定的事項以紙本或者是其它可永久保存的媒體(durable medium)進行締約。第41條並要求支付服務提供者應在契約中使用淺顯易懂的文字，並以支付服務提供者所在國的官方語言或者是雙方同意使用的語言進行。第42條所規定的契約要項除了雙方的姓名之外，必要規定事項包含費用說明、支付服務使用所需的系統說明等等，除了必要規定事項，雙方也可以約定支付服務的支付金額限制，或者是依照第55條約定服務提供者得基於支付工具安全的理由限制支付工具的使用，例如發生可疑交易或詐欺事件而封鎖使用者，暫停其使用權限。 二、中國 　　中國人民銀行在2010年發布了「非金融機構支付服務管理辦法」，依照該法第2條規定，網路支付為該法所稱之非金融機構支付服務。非金融機構提供支付服務，應當向中國人民銀行申請取得「支付業務許可證」成為支付機構，未按規定申請者將被處以行政罰，嚴重者會被處以刑罰。支付業務許可證的有效期限五年，達五年期限者得於期滿前半年申請續展。 (一)最低資本額要求： 　　依照第9條規定，想要在中國全國境內提供支付服務者，最低註冊資本額為1億元人民幣；想要在中國單一省，或自治區、直轄市範圍內提供不跨境的支付服務者，最低註冊資本額應達3000萬元人民幣。最低註冊資本額為實繳貨幣資本，應於申請支付業務許可證時全數繳足。 (二)洗錢防制義務： 　　依照第8條規定，許可證申請人在申請時必須要提出符合相關法令要求的反洗錢措施。依照「非金融機構支付服務管理辦法實施細則」第4條規定，所謂的「反洗錢措施」，包括反洗錢內部控制、客戶身份識別、可疑交易報告、客戶身份資料和交易記錄保存等預防洗錢、恐怖融資等金融犯罪活動的措施。依照第44條規定，支付機構如果沒有履行反洗錢義務，中國人民銀行將可依據相關的反洗錢法規進行處罰，嚴重者得撤銷其支付業務許可證。 (三)服務使用者真實身分查核義務： 　　支付服務的使用者在註冊時必須要提供真實的身分資料。依照第31條規定，支付機構應該要對於客戶所提出的資料比對其有效的身分證件或者是其它的身分證明文件，並且進行登記。 (四)支付服務協議書面簽約義務： 　　支付機構應該與客戶就雙方之間的權利義務、糾紛處理原則以及違約責任等等事項簽訂協議。支付協議可以紙本也可以電子方式呈現，依照「非金融機構支付服務管理辦法實施細則」第32條規定，支付服務協議「包括符合法律法規要求、可供調取查用的紙質形式或數據電文形式的合同。」，與我國電子簽章法第四條關於以電子文件作為法律「書面」要件的規定相似。 (五)專用存款帳戶開立義務： 　　依照第26條規定，支付機構收受服務使用者的資金後，必須要將資金存入在商業銀行所開立的「備付金專用存款帳戶」。一個支付機構只能在一家商業銀行開立一個備付金專用存款帳戶。另外特別指出，依照第24條規定，客戶備付金非支付機構之自有財產，支付機構只能根據客戶的指示轉移備付金，不得自行挪作他用。 (六)資本維持義務： 　　依照第30條規定，支付機構的實際持有資本不能低於日處理金額的10%，日處理金額以90天內每日日中的平均餘額計之。 (七)資料保存義務： 　　依照第34條規定，支付機構應該要妥善保管客戶身分資料、支付業務資料以及會計檔案等資料。依照實施細則第39條，資料保存義務至少為五年。 (八)報表提交義務以及受查義務： 　　依照第20條，支付機構有義務向中國人民銀行提交支付業務統計報表以及財務會計報表。另外依照第35條，支付機構有義務配合中國人民銀行定期和不定期的現場檢查以及非現場檢查。 參、事件評析 　　綜整歐盟以及中國立法例，管制重點為確保業者具有償債能力和營運能力以及洗錢犯罪防制，要求經營需事先申請許可並另外輔以查核等機制。共通管制規範如下： (一)洗錢防制要求： 　　皆要求業者必須要具備內部洗錢防制措施，對外則需要與主管機關密切配合。 (二)償債能力備置要求： 　　要求服務提供者維持一定的資金水位，以避免服務提供者發生賠償責任時無償債能力。歐洲另輔以金融保證或保險，或是以其它方式進行風險隔離。 (三)專用存款帳戶： 　　歐盟與中國皆要求開立專用存款帳戶，避免與服務提供者的資金混同，明確帳務。 (四)代收資金運用限制： 　　業者收取之待轉資金限用於服務使用者指示之移轉，如准予用作投資，也僅限投資於低風險產品，且投資總額必須要依一般會計準則將資金水位維持在代收轉付資金的帳面價值之上。 (五)資料保存義務： 　　為了滿足洗錢防制追查的需求，要求業者對於交易資料進行保存的工作。無獨有偶，歐盟以及中國的保存義務年限都是至少五年。 (六)書面簽約義務： 　　為了保障消費者，要求業者以契約明確列出服務提供的要項以及雙方的權利義務關係。契約需為書面，以電子方式為之應符合各國以電子為書面的法律要件。