從103年度民專上更(一)字第7號淺析智慧財產管理對認定職務發明的重要性
資策會科技法律研究所
法律研究員 林明賢
105年01月30日
壹、事件摘要
馬克旦(台灣綠牆開發股份有限公司員工,原審被告,以下稱被上訴人)以其所有之新型專利第M367678號與方智股份有限公司簽訂合作開發案,方智股份有限公司之股東與被上訴人共同成立台灣綠牆開發股份有限公司(原審原告,以下稱上訴人)。被上訴人將新型專利第M367678號授權予上訴人使用,並簽立專利授權書,約定被上訴人如使用上訴人資源進行研發,研發成果由雙方共享。被上訴人於就職期間逕行在台灣申請並取得新型專利第M417768號,並依此專利向中國大陸申請相同內容之中國大陸實用新型專利CN202026637U號。上訴人請求法院確認台灣新型專利第M417768號及中國大陸實用新型專利CN202026637U號(以下簡稱系爭專利)為上訴人與被上訴人共有。
貳、本案重點說明[1]
一、上訴人可循民事訴訟程序請求認定專利申請權及專利權歸屬
有關專利申請人的變更,專利申請人能否提起確認之訴?主要考量論點有二說:(一)行政法構造論;(二)利益考量論[2]。行政法構造論認為行政處分若有違法應以行政訴訟的程序予以撤銷,或尋舉發之程序予以撤銷專利權。真正專利權人不能用確認訴訟的方式變更專利權人。而利益考量論認為真正專利權人能用確認訴訟的方式變更專利權人。
本案法院認為因僱傭關係而生專利申請權及專利權歸屬之爭執,可先向民事法院提起確認專利申請權及專利權歸屬之訴訟,於獲勝訴判決確定後,即可附具該確定判決,向專利專責機關申請變更權利人名義[3]。
二、系爭專利為兩造所共有
本案系爭專利授權書第4條記載:「甲方(按:即馬○旦)如使用乙方(按:即綠○公司)資源進行研發,研發成果由雙方共享之」。雙方的締約真意在於若被上訴人研發之專利有使用上訴人資源,則該專利須登記為雙方共有。法院認定系爭專利係利用上訴人資源所研發,依前開系爭專利授權書第4條及兩造訂約真意,系爭專利應登記為兩造所共有。
參、事件評析
一、職務發明或非職務發明的界定
我國關於職務發明的定義主要規定在專利法第7條第2項[4],職務發明係指受雇人於僱傭關係中之工作所完成之發明、新型或設計。我國智慧財產局公布之專利逐條釋義進一步提到「職務上發明」係指受雇人於僱傭關係存續中,基於本身派受工作之範圍內,所完成之發明,發明為其工作內容之一,也是執行職務之結果。如於僱傭關係存續中,完成與職務無關之發明,則非屬職務上發明,故並非所有僱傭關係存續中之發明,均屬職務發明。亦即與受雇人本身執行職務所負擔之工作內容有直接或間接關係之發明,方屬之。因此,是否為職務發明,取決於職務工作內容與發明、新型或設計之內容,而不在於是否於上班時間內完成。申言之,所謂職務上所完成之發明,必與其受雇之工作有關連,即依受雇人與雇用人間契約之約定,從事參與或執行與雇用人之產品開發、生產研發等有關之工作,受雇人使用雇用人之設備、費用、資源環境等,因而完成之發明、新型或設計專利,其與雇用人付出之薪資及其設施之利用,或團聚之協力,有對價之關係。
我國對於職務發明的權利歸屬規定在專利法第7條第1項[5],原則上職務發明的專利申請權及專利權歸屬於雇用人,但可以契約另行約定。我國對於非職務發明的權利歸屬規定在專利法第8條第1項[6],非職務發明的專利申請權及專利權歸屬於受雇人,但若非職務發明係利用雇用人資源或經驗者,雇用人得於支付合理報酬後,於該事業實施其發明、新型或設計。
由於職務發明或非職務發明的認定將影響專利申請權及專利權歸的歸屬,因此法院如何解釋專利法第7條第2項則亦顯重要。智慧財產法院100民專上51號判決曾提及我國專利法第7條第2項的立法意旨在於平衡雇用人與受雇人間之權利義務關係,其重點在於受雇人所研發之專利,是否使用雇用人所提供之資源環境,與其實際之職稱無關,甚至與其於契約上所約定之工作內容無關,而應以其實際於公司所參與之工作,及其所研發之專利是否係使用雇用人所提供之資源環境為判斷依據。
中國大陸關於職務發明的定義主要規定在中國大陸專利法第6條第1項[7],職務發明係指執行本單位的任務或者主要是利用本單位的物質技術條件所完成的發明創造。中國大陸專利實施細則第12條[8]則進一步敘明職務發明創造係指:(一)在本職工作中作出的發明創造;(二)履行本單位交付的本職工作之外的任務所做出的發明創造;(三)退休、調離原單位後或者勞動、人事關係中止後1年內作出的,與其在原單位承擔的本職工作或者原單位分配的任務有關的發明創造。
中國大陸專利法對於職務發明的權利歸屬規定在專利法第6條第1及3項[9],原則上職務發明的專利申請權及專利權歸屬於雇用人,但若是利用本單位的物質條件所完成的發明創造,則可以契約另行約定。中國大陸對於非職務發明的權利歸屬規定在專利法第6條第2項[10],非職務發明的專利申請權及專利權歸屬於受雇人。值得注意的是,中國大陸專利法修正草案第6條第1項已將「利用本單位物質技術條件所完成的發明創造」從職務發明創造之範疇排除[11],所以未來企業在中國大陸有相關商業活動者,應特別留意該修正草案後續發展。未來因應做法可考量先行將「利用本單位物質技術條件所完成的發明創造」以契約約定專利申請權及專利權的歸屬,避免後續不必要的爭議發生。
在中國大陸設廠的我國企業後續也應持續關注中國大陸職務發明條例草案。中國大陸職務發明條例草案第20條[12]有規定對獲得發明專利權或者職務新品種權的職務發明,給予全體發明人的獎金總額不得低於該單位在崗職工月平均工資的兩倍;對於其他智慧財產權的職務發明,給予全體發明人的獎金總額不得低於該單位在崗職工的月平均工資。此外,中國大陸職務發明條例草案第21條[13]更詳細地載明企業每年實施職務發明應給付發明人的最低合理報酬。
無論是我國或中國大陸,一旦受雇人之創作被認定為非職務發明時,則專利申請權及專利權將歸屬於受雇人而非雇用人。所以,如何證明受雇人創作係屬職務發明而不是非職務發明則對企業來說更顯重要。由於法院判斷受雇人的創作屬於職務發明或非職務發明需要透過實際上的客觀證據來認定,因此受雇人在企業任職期間的研發記錄、測試記錄、開模記錄、溝通記錄、會議記錄、費用單據等與職務發明相關的重要資料,企業應妥善地保管留存。後續企業方能據以主張專利申請權及專利權的權利歸屬。
二、台灣專利申請人變更
企業在發生專利申請權及專利權爭議時,可先透過民事訴訟程序請求確認專利申請權人及專利權人,待取得勝訴判決後再據以向智慧財產局申請變更專利權人名義。需提醒的是,雖然雇用人亦可透過我國專利法第71條第1項第3款[14]向智慧財產局提起舉發。在舉發撤銷確定後,再依專利法第35條[15]向智慧財產局重新申請。但需注意的是,真正專利權人必須在專利公告後兩年內提起舉發。若舉發撤銷確定,則真正專利權人必須要在兩個月內提出重新申請。企業若欲透過舉發的方式修改專利權人名義,則需要特別注意時效上的限制。
三、我國企業可依據我國勝訴判決更正中國大陸專利權人
現今台海兩地商業活動頻繁,許多專利申請人都會同時在台灣及中國大陸申請專利。關於台灣專利的部分,企業可根據法院的勝訴判決向智慧財產局申請變更權利人名義。但關於中國大陸專利的部分,企業是否需到中國大陸另行起訴呢?根據中國大陸『最高人民法院關於人民法院認可台灣地區有關法院民事判決的規定』的有關規定[16],企業於中國大陸能以台灣法院的勝訴判決先向中國大陸人民法院申請認可和執行後,再向國務院專利行政部門辦理專利權移轉手續。
需要提醒的是,中國大陸『最高人民法院關於人民法院認可台灣地區有關法院民事判決的規定』第9條[17]列舉6項不予認可的事由:(一)申請認可的民事判決的效力未確定的;(二)申請認可的民事判決,是在被告缺席又未經合法傳喚或者在被告無訴訟行為能力又未得到適當代理的情況下作出的;(三)案件係人民法院專屬管轄的;(四)案件的雙方當事人訂有仲裁協議的;(五)案件係人民法院已作出判決,或者外國、境外地區法院作出判決或境外仲裁機構作出仲裁裁決已為人民法院所承認的;(六)申請認可的民事判決具有違反國家法律的基本原則,或者損害社會公共利益情形的。雖然透過這個機制我國企業能較快速地依據我國勝訴判決來修改中國大陸專利的專利權人名義,但不可輕忽的是,我國企業若於中國大陸當地設廠要更加注意當地職務發明相關資料的證據留存。
肆、結論:智慧財產管理協助企業保護智財權利並降低歸屬爭議
隨著智慧財產爭議的不斷浮現,智慧財產管理對企業更益顯重要。若企業內部缺乏完善的智慧財產管理制度,將導致智財風險相對地提高。在實務上職務發明真正專利權人救濟成功的案例失敗者遠高於成功者。因此種爭議首先需探究何時完成該發明,發明人在該時點於哪一公司任職。但發明是人類心智活動的產出,一件發明是由誰所產出,甚難直接且清楚舉證證明。兼以在專利先申請原則之下,此種爭議之訴訟實務,多以該申請專利之發明的申請日而不以發明完成日為準,亦即申請時發明人係在哪一家公司任職。因此,離職後再申請專利者,前一家公司欲主張之前任職之職務發明,即處在不利之地位[18]。
為有效降低如同本案受雇人或離職員工擅自將職務發明申請專利的風險,企業可透過建置智慧財產管理系統於受雇人進入企業的前、中及後期分別檢視,以保護企業的智慧財產。舉例來說,在受雇人進入企業的前期,應與員工簽訂工作契約或聘雇契約,並於契約明定智慧財產歸屬、保密要求;必要時,可包括競業禁止要求。透過多面向的保護,受雇人一旦擅自將職務發明申請專利,則企業不僅可透過契約證明自己是真正專利權人,受雇人更可能因擅自揭露企業營業秘密而有洩密的刑責和需向企業支付損害賠償。
在受雇人進入企業的中期,企業應該要求受雇人詳實記錄研發過程,以確保企業可證明該成果係自行研發。相關記錄應包括可識別研發之人、時間、地點與內容等資訊。如此一來,一旦雙方後續發生爭執,企業也能透過研發紀錄佐證受雇人的申請專利確實屬於職務發明且為企業內部的研發成果。
受雇人進入企業的後期,企業應對離職員工提醒相關智慧財產規定。對於涉及企業重要智慧財產之員工離職時,應進行面談。必要時,得簽定離職契約,約定特定智慧財產之權利歸屬。如此一來,企業能再次透過契約約定特定智慧財產之權利歸屬,以避免受雇人將職務上發明逕行申請專利且占為己有。此外,企業還應定期追蹤與公司研發成果相關的專利申請動向。一旦受雇人離職後發生如同本案的爭議,雇用人還可趕緊提起確認之訴或舉發等程序救濟,以保護企業內部的智慧財產。
[1] 本文主要聚焦於專利申請權及專利權歸屬之判決討論。本案判決尚涉及協議書及授權書效力之爭執,本文不另行贅述。
[2] 劉國讚,《專利法之理論與實用》,元照出版,初版,頁186(2012)。
[3] <司法院101年度「智慧財產法律座談會」「民事訴訟類相關議題」提案及研討結果第5號>,司法院法學資料檢索系統,http://jirs.judicial.gov.tw/FJUD/index_1.htm (最後瀏覽日:2016/1/21)。
[4] 我國專利法第7條第2項:「前項所稱職務上之發明、新型或設計,指受雇人於僱傭關係中之工作所完成之發明、新型或設計」。
[5] 我國專利法第7條第1項:「受雇人於職務上所完成之發明、新型或設計,其專利申請權及專利權屬於雇用人,雇用人應支付受雇人適當之報酬。但契約另有規定者,從其約定」。
[6] 我國專利法第8條第1項:「受雇人於非職務上所完成之發明、新型或設計,其專利申請權及專利權屬於受雇人。但其發明、新型或設計係利用雇用人資源或經驗者,雇用人得於支付合理報酬後,於該事業實施其發明、新型或設計」。
[7] 中國大陸專利法第6條第1項:「執行本單位的任務或者主要是利用本單位的物質技術條件所完成的發明創造為職務發明創造。職務發明創造申請專利的權利屬於該單位;申請被批准後,該單位為專利權人」。
[8] 中國大陸專利實施細則第12條:「專利法第六條所稱執行本單位的任務所完成的職務發明創造,是指:
(一)在本職工作中作出的發明創造;
(二)履行本單位交付的本職工作之外的任務所作出的發明創造;
(三)退休、調離原單位後或者勞動、人事關係終止後1年內作出的,與其在原單位承擔的本職工作或者原單位分配的任務有關的發明創造。
專利法第六條所稱本單位,包括臨時工作單位;專利法第六條所稱本單位的物質技術條件,是指本單位的資金、設備、零部件、原材料或者不對外公開的技術資料等」。
[9] 中國大陸專利法第6條第3項:「利用本單位的物質技術條件所完成的發明創造,單位與發明人或者設計人訂有合同,對申請專利的權利和專利權的歸屬作出約定的,從其約定」。
[10] 中國大陸專利法第6條第2項:「非職務發明創造,申請專利的權利屬於發明人或者設計人;申請被批准後,該發明人或者設計人為專利權人」。
[11] 中國大陸專利法修改草案第6條第1項:「執行本單位任務所完成的發明創造為職務發明創造」。
[12] 中國大陸職務發明條例草案第20條:「單位未與發明人約定也未在其依法制定的規章制度中規定對職務發明人的獎勵的,對獲得發明專利權或者植物新品種權的職務發明,給予全體發明人的獎金總額最低不少於該單位在崗職工月平均工資的兩倍;對獲得其他智慧財產權的職務發明,給予全體發明人的獎金總額最低不少於該單位在崗職工的月平均工資」。
[13] 中國大陸職務發明條例草案第21條:「單位未與發明人約定也未在其依法制定的規章制度中規定對職務發明人的報酬的,單位實施獲得智慧財產權的職務發明後,應當向涉及的所有智慧財產權的全體發明人以下列方式之一支付報酬:
(一)在智慧財產權有效期限內,每年從實施發明專利或者植物新品種的營業利潤中提取不低於5%;實施其他智慧財產權的,從其營業利潤中提取不低於3%;
(二)在智慧財產權有效期限內,每年從實施發明專利或者植物新品種的銷售收入中提取不低於0.5%;實施其他智慧財產權的,從其銷售收入中提取不低於0.3%;
(三)在智慧財產權有效期限內,參照前兩項計算的數額,根據發明人個人月平均工資的合理倍數確定每年應提取的報酬數額;
(四)參照第一、二項計算的數額的合理倍數,確定一次性給予發明人報酬的數額。
上述報酬累計不超過實施該智慧財產權的累計營業利潤的50%。
單位未與發明人約定也未在其依法制定的規章制度中規定對職務發明人的報酬的,單位轉讓或者許可他人實施其智慧財產權後,應當從轉讓或者許可所得收入中提取不低於20%,作為報酬給予發明人」。
[14] 我國專利法第71條第1項第3款:「違反第十二條第一項規定或發明專利權人為非發明專利申請權人」。
[15] 我國專利法第35條:「發明專利權經專利申請權人或專利申請權共有人,於該專利案公告後二年內,依第七十一條第一項第三款規定提起舉發,並於舉發撤銷確定後二個月內就相同發明申請專利者,以該經撤銷確定之發明專利權之申請日為其申請日」。
[16] 最高人民法院關於人民法院認可台灣地區有關法院民事判決的規定第2條:「臺灣地區有關法院的民事判決,當事人的住所地、經常居住地或者被執行財產所在地在其他省、自治區、直轄市的,當事人可以根據本規定向人民法院申請認可」。
[17] 最高人民法院關於人民法院認可台灣地區有關法院民事判決的規定第9條:「臺灣地區有關法院的民事判決具有下列情形之一的,裁定不予認可:
(一)申請認可的民事判決的效力未確定的;
(二)申請認可的民事判決,是在被告缺席又未經合法傳喚或者在被告無訴訟行為能力又未得到適當代理的情況下作出的;
(三)案件係人民法院專屬管轄的;
(四)案件的雙方當事人訂有仲裁協議的;
(五)案件係人民法院已作出判決,或者外國、境外地區法院作出判決或境外仲裁機構作出仲裁裁決已為人民法院所承認的;
(六)申請認可的民事判決具有違反國家法律的基本原則,或者損害社會公共利益情形的」。
[18] 劉國讚,《專利法之理論與實用》,元照出版,初版,頁187(2012)。
馬來西亞「內國貿易及消費事務部」( Domestic Trade and Consumer Affairs Ministry )部長 Datuk Shafie 在五月底舉行的智慧財產權研討會上表示,為加速法院審理智財權侵權案件的速度,以有效打擊此等違法行為,馬來西亞政府擬於 2007 年設立智慧財產權法院( Intellectual Property Court )。 近年來,馬來西亞政府持續修正智慧財產權相關法律以強化實務執法的效果,惟修法的成效相當程度取決於法官對於新法的學習及認知能力,此次設立智慧財產權法院將可培養專業法官以彌補目前法官在智慧產財權本職學能上的不足。 日本於 2004 年 6 月已通過「智慧財產權高等法院設置法」(知的財產高等裁判所設置法),新制並已於 2005 年 4 月正式實施;而我國亦於今年二月間審議通過「智慧財產法院組織法草案」及「智慧財產案件審理法草案」,目前已送請立法院審議。
新加坡個人資料保護委員會發布資料保護專員之職能與培訓準則新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於2019年7月17日發布資料保護專員之職能與培訓準則。基於新加坡個人資料保護法(Personal Data Protection Act 2012, PDPA)明文規範非公務機關必須設立至少一名資料保護長(Data Protection Officer, DPO),負責個資保護政策之制定落實、風險評鑑及個資事故處理等工作。為了使資料保護專業人員增強能力並於企業組織有效履行其職責,新加坡個人資料保護委員會就此特別發布此準則,將資料保護專員分為三種工作職能,九項專業能力,進而規劃相關培訓課程。 此準則使企業組織能就工作職能聘僱合適之資料保護專員,亦使相關專業人員能掌握清晰之職業生涯,確定自我能力與培訓課程之落差,進而調整有效實施組織之個人資料保護管理政策與流程。其分為資料保護專員、資料保護長、區域資料保護長,依據工作職能與職責區分如下: 一、 資料保護專員 需監視與評估組織之個人資料保護管理政策與程序,並確保其遵循新加坡個人資料保護法。 識別個人資料之風險,並提出風險管控之措施。 提供組織個人資料保護政策之實施與實踐證據。 定期檢視審核,分析現況並矯正改善。 識別並規劃利害關係人之需求與利益。 二、 資料保護長 制定並審查個人資料管理計劃。 根據組織職能,視需求與流程,執行個人資料保護與風險評鑑,並解決相關業務風險。 制定培訓計劃,舉辦個人資料保護政策與流程之教育訓練。 確保組織內部個人資料保護之意識。 根據業務營運與個資法遵要求之落差評估,並建立合規性流程。 透過客戶對隱私與個人資料保護之要求,做為日後促進資料創新之實施。 三、 區域資料保護長 監督資料傳輸活動,並提供個人資料保護法之領導指南。 建立區域創新之資料保護策略。 減少區域內之個資事故。 於資料創新之運用提供戰略性,為組織創造業務價值。 評估新興趨勢與科技,如隱私增強技術、雲端運算、區塊鏈、網絡安全之風險與可行性。 針對上述工作職能與職責,結合所需之專業能力,包括個人資料管理、風險評鑑管理、個資事故緊急應變、利害關係人管理、個人資料稽核認證、個人資料治理、個人資料保護之倫理、資料共享與創新思維,規劃基礎個人資料保護相關課程與進階資料創新課程,使其個人資料保護制度更專業具有規模。目前我國對於資料保護專員並無相關立法規範,若未來修法新加坡個人資料保護委員會之做法亦值參酌。
雲端時代資料保險機制之解析雲端時代資料保險機制之解析 科技法律研究所 2013年12月05日 壹、前言 資訊時代,資訊應用所帶來的風險幾乎無可迴避,且往往帶來莫大衝擊;尤其在網路應用普及之後,大量資料透過網路傳輸、流通而暴露於資訊安全的風險當中,縱有再有高層級的防護,也無法使資料受損或漏失的風險機率降至零,因此有論者以為,對於無法藉由資訊安全措施加以避免的「殘餘風險」(Residual Risk),應由「保險機制」予以移轉。本研究特探討本議題,以呼應目前日益進展的保險產品發展趨勢。 此類的保險機制,一般稱為資料保險,專門填補網路應用所造成的風險,諸如網路安全(Network security)之欠缺所造成的損失,或者隱私(Privacy)被害所造成的損失。依據產業觀察者意見,此類保險產品的市場正有逐漸擴張的趨勢,尤其是對於健康照護服務(Health care)以及中小型的業者而言,此類保險對於風險管理服務可以發揮長足的作用,其能夠填補資料被害的通知成本、信用監控以及加強資料防護的成本[1]。 本文以雲端運算應用的興起為背景,觀察相應保險機制的演進及發展;以及其對於產業發展而言,為何被視為不可或缺的配套機制,進一步檢視我國推動資料保險的可行性與條件。 貳、資料保險機制的發展 一、資料保險的種類 用來填補資料受害之損害的保險,一般被稱為「資料保險」,尚可見以「網路保險」或「隱私保險」稱之。與其直接定義何謂「資料保險」,不如分析此保險的涵蓋範圍。此類保險早在十幾年前出現,當時其保險範圍,是填補資料被害所引發的損害賠償責任[2]。 財產保險可分成兩大類型,一類是一般的財產損害,即保險事故發生導致被保險人的財產減損或喪失,承保此類財產損失之保險,即英美法系所稱之「第一方保險」(First-party coverage)。另一類則是責任保險,即保險事故發生導致被保險人應負擔法律上責任或契約上損害賠償責任,承保因被保險人應負擔責任之財產損失,即所稱之「第三方保險」(Third-party coverage)。 在資料應用環境中,因資料受害導致損害大抵可依上述區分。當遭遇網路犯罪的損害、毀壞(Destroys)或是剝奪被保險人對於資料的使用權限,則屬於第一方財產損失。另一方面,當被保險人所保護、監管(Custody)或控制的第三人資料或資訊,遭遇網路犯罪損害、毀壞或竊取時,將使被保險人必須承受對第三方負擔損害賠償責任、並支付相關費用,此屬於第三方財產損失,例如入侵資訊系統而竊取信用卡資訊、受保護的個人資料、及銀行的帳戶號碼,又如妨礙有合法權限的第三人近用系統,以及違反法規所要求而未向第三人通知資料侵害等…[3]。 二、資料受害所致損害是否得請求保險賠償過往有很大爭議 傳統的財產保險,由於未指明承保因資料被害所致損失,往往會在被保險人因資料被害導致財產損失而請求保險賠償時,發生很大的爭議。主要的原因是,傳統的財產保險其設計原則,是以被保險人對於有形財產的「保險利益」作為「保險標的」,並以有形財產受損來估算保險損害,並未考量到資料等無形財產。因此,起因於資料或類似形態的程式、軟體之缺損所致的損害,是否可能在傳統財產的保險範圍內,頗有疑義,且司法實務上的意見相當分歧,茲整理如下。 (一)有利於被保險人的實務見解 在America Guarantee & Liability Insurance Co. v. Ingram-Micro[4].中,Ingram-Micro因幾分鐘的電力中斷,導致電腦資產與資料的喪失而嚴重影響正常的業務運作,遂依業務中斷保險(Business-interruption insurance)請求保險賠償,但遭受保險公司拒絕,保險公司提起訴訟並宣稱承保範圍未包含電腦與其他資產。地方法院認為,被保險人客製軟體程式的喪失,構成「具體損害」,具體損害不限於電腦迴路的被有形損毀或傷害,也會包含無法近用(Loss of access)、無法使用(Loss of use)以及功能喪失。 另一案Lambrecht & Associates, Inc. v. State Farm Lloyds[5],保險公司認為電腦病毒感染所造成的損失,非有形損失,因而拒絕保險給付。法院認為,本案之電腦系統以及儲存的資料皆因病毒感染而毀壞、被置換(Replaced),此種結果,等於電腦系統完全無法接收、發送或回復任何形態的資訊,而完全失去作為電腦系統的效用;因此未接受保險公司的主張。 近期一例為責任保險爭議。Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co.[6]中,Retail Venture是DSW鞋子盤商,2005年時它的電腦系統遭駭客入侵,共有百萬筆的客戶資料遭不當下載且許多資料夾也被翻閱過。由於DSW向Nat'l Union購買商業竊盜險,在其承保項目中包括電腦與資金移轉詐欺(Computer & Fund transfer fraud coverage),DSW遂向保險公司請求保險賠償,主張此次駭客入侵所造成的損失有530萬元之多,但保險公司拒絕給付賠償金。於是DSW對保險公司提起訴訟,地方法院認定保險公司應支付保險賠償,保險公司不服,提起上訴至巡迴法院,巡迴法院認為,條款規定雖是限於該損失是由保險事故「直接造成」(Resulting directly from),但這不代表該保險事故必須是造成損失的「唯一」(Solely)與「立即」(Immediately)的原因[7],因此維持地方法院的判決。 (二)有利於保險人的實務見解 在America Online, Inc. v. St. Paul Mercury Insurance Co.中,由於America Online(AOL)所生產的網路接取軟體AOL 5.0據稱會毀壞用戶的電腦系統,因而被客戶訴訟求償,AOL依責任保險內容,轉而請求保險公司應替其進行訴訟防禦,遭保險公司拒絕。為此,AOL對保險公司提起訴訟,法院遂檢視保險契約中是否載明保險公司有進行訴訟防禦的義務。契約中將情境限於「有形」財產損失,法院解釋,從字義上一般不會認為電腦資料、軟體及系統是「有形」財產,因為有形財產應是指可以觸摸(Be touched),但電腦資料、軟體及系統無法被感官感知,因此是無形財產。此外契約中亦有「功能降低除外條款」,意即,不良品或者危險產品所造成的損害非有形,故被排除在承保範圍內。法院據此否認AOL的主張[8]。 三、「新」資料保險產品應運而生 從上述實務案例的觀察,作成不利於被保險人判決結果的法院,是直接認定電腦資料、軟體與系統為無形財產。反之,作成有利於被保險人判決結果的法院,是將「資料」(程式或軟體)與「電腦系統」合為觀之,而認定電腦系統為有形財產,把電腦系統無法發揮正常作用視為具體損害。即使判決結果可能有利於被保險人,但是解釋方式卻較為迂迴,也顯得被保險人相當艱辛。 參、外國資料保險機制之發展實例與推動 雲端運算發展日益普遍日後,可以透過網際網路提供資訊服務(例如儲存空間、應用程式等),「資料」已然不附載在特定或固定的載體(電腦系統)上。因應整體資訊應用形態的轉變,國內外市場上逐漸有相關資料保險產品推出的案例。 一、實例 第一個例子,MSPAlliance是一個資源管理服務業者暨認證聯盟,於2013年4月與保險經紀公司Lockton 合作,設計「雲端暨管理服務」保險(Cloud and Managed Services Insurance),讓其聯盟會員提供資訊服務時得以購買此保險;承保項目包括因網路攻擊、資料滅失或系統故障而導致應負擔損害賠償責任,以及因技術錯誤或無法作用(Tech Errors & Omissions)所導致的損害賠償責任,亦包含在內。至於被保險人的資格要求,則限定是聯盟會員,且必須通過Unified Certification Standard (UCS)驗證。事實上,要求被保險人取得一定的驗證,是保險風險管理很重要的ㄧ環。 第二個例子,雲端保險服務平台Cloudinsure於2013年2月宣布與保險經紀公司Lockton合作,擬設計適於雲端環境的隱私與安全責任保險方案。其保險產品內容主要在確保雲端服務提供者可履行在契約、或服務水準協議(Service Level Agreements)中的承諾,再者也能依據其客戶存放於雲端環境之資料的風險層級,給予金錢防護。 第三個例子,與前兩例不同,是針對一般的資訊服務使用者來設計。保險經紀公司達信(Marsh)於2012年6月針對雲端環境的企業使用者,開發新的保險方案CloudProtect。被保險人是採用雲端服務的中小型企業,承保項目包括:因雲端服務中斷所致的營運收入損失(Loss of income)、因採購新的雲端服務提供者所產生的相關費用支出、因資料轉換至新的雲端服務所產生的相關費用支出。 二、政府的參與及投入推動 美國的國家技術標準局(Institute of Standards and Technology, NIST)在規劃新網路時代藍圖時,把持續促進資料「保險」(Cyber Insurance),列為關鍵的一角。從這個角度而言,保險不僅具有轉移風險與填補損害的功能,更具有正面積極的意義,可作為新興技術發展的後盾。對於NIST這樣的主張,美國保險人協會(American Insurance Association)也予以呼應,認為針對網路應用環境而持續開發各種保險產品,是勢在必行的方向。 (一)政策推導 美國證券交易委員會指引(2011年),建議公司若為因應資安風險而購買保險產品,應列入資訊揭露範圍。此被認為是間接鼓勵企業購買相關保險產品的具體措施之一。 (二)政府機關作為被保險人購買資料保險之例 美國有以政府機關名義購買資料相關保險之例,蒙大拿(Montana State Government)購買「網路資料安全保險」(Cyber/Data Information Security Insurance),為期一年(2012年7月1日至2013年7月1日),保險項目包括:資訊安全責任(每次事故保險賠償上限200萬美元)、行政罰款(每次事故保險賠償上限200萬美元)、損害通知支出(每次事故保險賠償上限100萬美元)、網站媒體披露支出(每次事故保險賠償上限200萬美元)、每次保險事故發生以200萬美元為總保險賠償限額。此案之保險業者為Beazley,保險經紀人為Alliant Insurance Services。值得特別注意的是,保險項目當中包含損害通知支出,此是呼應了美國相關法令要求業者必須於獲悉資安事故時踐行通知相關的資料主體。 資安事故的確實可能使政府機關蒙受莫大損失,美國南卡羅萊納州稅務局(South Carolina Department of Revenue)2012年發生駭客攻擊事件,州政府花費約2000萬美元收拾殘局,其中1200萬美元用來作為市民身份被竊後的信用活動監控,其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 肆、結論-我國推動相關資料保險機制可行性之總合評析 現階段我國相關保險市場的現況,為因應我國個人資料保護法的通過與正式實施,也有推出資料相關保險產品,目標客群為企業,以協助企業因應觸及個人資料可能產生對他人的損害賠償責任、及填補其他附帶損害為主要訴求。至於,針對業者(被保險人)因提供資訊服務過程中的資料被害、毀損滅失所導致營業損失(營運中斷、負擔契約上損害賠償責任)之損害填補,似尚未有相關保險產品推出。考其原因,是保險業者對於此種因無形財產(資料)所導致損害的保險賠償模式,尚未累積足夠的經驗,也缺乏相關精算數據的掌握,因而不敢貿然承作,另一方面,保險業者本身也擔憂無足夠資力因應大規模的保險事故。 對此現象,我國主責資訊服務產業推動的有關政府部門,也思及政府投入參與資料保險機制,例如推動以機關為被保險人而購買相關的資料保險,藉以活絡資料保險市場;此種構想,在法律層面並無疑義,此乃保險賠償與國家賠償機制雖有各自目的,但未有所衝突[9]。然而,實際操作上,必須考量政府機關資訊系統是否能通過保險業者的保險風險查核、是否有足夠的預算足以支付保險費用、以及決策單位是否能有效與資訊業務單位溝通以評估購買此類保險的需求...等諸多問題。 事實上,我國相關資料保險市場要邁向成熟發展,尚待多方努力,除保險業者本身規劃並提出合適的保險產品之外,參酌國外經驗,保險經紀公司也能扮演一定角色,可針對客戶需求量身訂作風險評鑑、研提最符合的保險方案,並藉客戶共同需求而匯聚保險風險共同團體。政府所扮演之角色,除直接以政策推導之外,尚能在若干條件齊備之後實際參與保險機制,其後續方向值得關注。 [1]Collin J. Hite, Top lawyers on trends and key strategies for the upcoming year the ever-changing scope of insurance law, Aspatore Feb. 2013. [2]http://www.computerweekly.com/news/2240202703/An-introduction-to-cyber-liability-insurance-cover (last visited at Oct. 24, 2013) [3]Jack Montgomery, Cybercrime losses and insurance for property damage and third-party claims, Maine Bar Journal, Summer 2012, p. 159. [4]Civ. 99-185 TUC ACM, 2000 U.S. Dist. Lexis 7299 (D. Ariz., April 19, 2000). [5]Lambrecht & Associates, Inc. v. State Farm Lloyds, 119 S.W.3d 16, 25 (Tex. App. 2003). [6]Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co. of Pittsburgh, Pa., 691 F.3d 821 (6th Cir. 2012). [7]Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co. of Pittsburgh, Pa., 691 F.3d 821 (6th Cir. 2012), p.13. [8]America Online, Inc. v. St. Paul Mercury Ins. Co., 207 F. Supp. 2d 459 - Dist. Court, ED Virginia 2002, P.461-462. [9]請參考96年法務部法律字第0960003420號函。
德國與愛爾蘭對於個人資料處理是否須明示同意之見解不同德國與愛爾蘭資料保護局對於資料保護指令所規定個人資料(以下簡稱個資)的處理(process),是否須取得資料當事人明示同意,表示不同的見解。德國資料保護局認為臉書網站所提供之人臉辨識(預設加入)選擇退出(opt out consent)的設定,並不符合資料保護指令(Data Protection Directive)對於同意(consent)的規範,且有違資訊自主權(self-determination);然而,愛爾蘭資料保護局則認為選擇退出的機制並未牴觸資料保護指令。 德國資料保護局委員Johannes Caspar教授表示,預設同意蒐集、使用與揭露,再讓資料當事人可選擇取消預設的作法,其實已經違反資訊自主權(self-determination)。並主張當以當事人同意作為個人資料處理之法律依據時,必須取得資料當事人對其個資處理(processing)之明示同意(explicit consent)。對於部長理事會(Council of Ministers)認同倘資料當事人未表達歧見(unambiguous),則企業或組織即可處理其個人資料的見解,Caspar教授亦無法予以苟同。他認為部長理事會的建議,不但與目前正在修訂的歐盟資料保護規則草案不符,更是有違現行個資保護指令的規定。 有學者認為「同意」一詞雖然不是非常抽象的法律概念,但也不是絕對客觀的概念,尤其是將「同意」單獨分開來看的時候,結果可能不太一樣;對於「同意」的理解,可能受到其他因素,特別文化和社會整體,的影響,上述德國和愛爾蘭資料保護局之意見分歧即為最好案例。 對於同意(consent)的落實是否總是須由資料當事人之明示同意,為近來資料保護規則草案(The Proposed EU General Data Protection Regulation)增修時受熱烈討論的核心議題。資料保護規則草案即將成為歐盟會員國一致適用的規則,應減少分歧,然而對於企業來說,仍需要正視即將實施的規則有解釋不一致的情況,這也是目前討論資料保護規則草案時所面臨的難題之一。