美國國家標準與技術研究院「隱私框架1.0版」
美國國家標準與技術研究院(NIST)於2020年1月16日發布「隱私框架1.0版」(NIST Privacy Framework Version 1.0),為促進資料的有效利用並兼顧對隱私權的保障,以風險管理(risk management)的概念為基礎建構企業組織隱私權管理框架。本隱私框架依循NIST於2018年所提出的「健全關鍵基礎設施資安框架1.1版」(Framework for Improving Critical Infrastructure Cybersecurity Version 1.1)架構,包含框架核心(Core)、狀態評估(Profile)與實施層級(Implementation Tier),以利組織能夠同時導入隱私與資安兩種框架。由隱私框架核心所建構的風險管理機制,透過狀態評估來判斷當前與設定目標的實施層級,進而完成組織在隱私保護上的具體流程與資源配置。
NIST基於透明、共識、兼顧公私利害關係人的程序訂定本隱私框架,用以促進開發者導入隱私設計思維(privacy by design),以及協助組織保護個人隱私,其目標包含透過支持產品或服務設計中的倫理決策(ethical decision-making)及最小化對隱私的侵害來建立客戶的信任;在當前與未來的產品或服務中,因應持續變化的技術與政策環境遵守對隱私的保護義務;以及促進個人、企業夥伴、稽核者(assessor)與監管者(regulator)在隱私權保護實踐上的溝通與合作。
本隱私框架並非法律或法規,亦不具備法律效果,而是做為數位時代下NIST協助企業導入隱私權管理制度的參考工具,企業或組織將能基於本隱私框架靈活應對多樣化的隱私需求,掌握其產品或服務所隱含的隱私權侵害風險,並識別隱私權相關法律規範,包含加州消費者隱私法(California Consumer Privacy Act)與歐盟一般資料保護規則(General Data Protection Regulation, GDPR)等,提出更具創新性與有效性的解決方案,並有效因應AI與物聯網技術的發展趨勢。
本文為「經濟部產業技術司科技專案成果」
范晏儒
專案經理 編譯整理
英國資訊委員辦公室(ICO)發布企業自行檢視是否符合歐盟一般資料保護規則之12步驟,資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?tp=1&i=72&d=8019&no=64 (最後瀏覽日:2020/02/04)。
中國大陸商業特許經營相關法律法規分析 科技法律研究所 法律研究員 汪奇蕙 2015年03月20日 連鎖加盟(中國大陸稱商業特許經營)在台灣或許已經是一種發展成熟的商業模式,對於中國大陸而言,則是上世紀80年代經濟改革之後才始見,相對於台灣市場或世界其他先進經濟體,中國大陸起步較晚,但是發展快速。眼見連鎖加盟行業在中國大陸的發展時機越趨成熟,台商界也掀起連鎖加盟的熱潮。 但在秩序相對混亂、競爭相對激烈的中國大陸市場,經營面向的風險也許難以預先掌控,但是複雜的相關政策和規定則是要前往該地投資的台商必須正視並且了解的,本文提供商業特許經營(以下簡稱特許經營)相關法規的分析,期待在發展商業之餘,台資特許人可以更敏銳的維護自身權利。 壹、主管法律法規 2007年開始,中國大陸第一部特許經營專門法令《商業特許經營管理條例》(以下簡稱《管理條例》)以及配套的《商業特許經營備案管理辦法》(以下簡稱《備案管理辦法》)、《商業特許經營信息披露管理辦法》(以下簡稱《信息披露管理辦法》)由國務院及其下屬機關陸續頒布施行,讓中國大陸連鎖加盟的法令更加完善。 《管理條例》中介紹有關中國大陸政府對特許經營的定義內容,特許經營權的內容是指特許人擁有或有權授予他人使用註冊商標、企業標誌、專利、專有技術等經營資源[1]。註冊商標、企業標誌或商號是表彰該特許經營事業的品牌,具有讓消費者迅速辨識獨特商品或服務的商業利益;專利、專有技術(包含管理系統及特定商業模式)則是支持商品或服務內容具有獨特性、競爭力的特許經營事業技術。 《管理條例》對於特許人的資格條件、特許經營事業備案、特許合同內容要件、特許人的信息披露義務以及特許人違反該條例的罰則皆有概括的規範。《備案管理辦法》、《信息披露管理辦法》也是在上位的《管理條例》法規授權下逐步生成,成為具體行政施行的準則。 貳、關於特許人資格 依照《管理條例》規定,特許人資格條件有二個方面需要具備。 一、只有企業法人有資格成為特許人。 企業以外的單位和個人都不能成為特許人[2]。 二、特許人必須有成熟的經營模式[3]。 特許人在發展加盟以前應當至少擁有2個直營超過1年的直營店。而且特許人要具備持續提供被特許人經營指導、技術支持和業務培訓等服務能力,上述各種能力,特許人在備案過程將被要求提供證明文件,比如備案時特許人要提交與經營活動相關的商標權、專利權有效的註冊證書;此外,《信息披露管理辦法》中要求特許人要事先披露擁有的經營資源情況和持續提供被特許人服務的情況[4]。 參、關於特許合同要件[5] 以下為《管理條例》所列舉的合同要件及簡要說明: 一、特許人、被特許人的基本資訊 如雙方地址、連絡方式、公司註冊號碼等。 二、特許經營的內容、期限 特許人持有的特許經營系統、經營範圍介紹,特許人授予被特許人的特許經營權性質(單店特許或區域特許[6]),被特許人的特許經營活動和範圍限制(營業地及加盟店介紹、被授予的特許經營權是否具有獨占性或排他性),特許經營合同的期限[7]以及可續期條件等。 三、特許經營費用的種類、金額及其支付方式 加盟費用、保證金、其他約定費用及雙方約定分攤費用的支付比例(如房地產和裝修費用、設備等購置費;管銷費用等),支付方式及收取後的確認方式。 四、經營指導、技術支持以及業務培訓等服務的具體內容和提供方式 約定被特許人是否有義務要接受特許人定期或不定期的經營活動指導、檢查,以利整體特許經營事業的統一性發展。 五、產品或服務的質量、標準要求和保證措施 特許人可依產品或服務的性質自己建立品管的標準要求。 六、產品或者服務的促銷與廣告宣傳 是否允許被特許人自行策劃,以及其可從事推廣或宣傳活動的範圍。 七、特許經營中的消費者權益保護和賠償責任的承擔 約定雙方因故意或過失造成消費者權益受損或整體特許經營事業所受損失(包含商譽損失)的責任承擔。 八、特許經營合同的變更、解除和終止 被特許人是否可以轉讓特許經營內容及合同義務,及可以轉讓的條件(如事前通知期)。建議特許人要保留因被特許人自行對消費者提供瑕疵產品或服務以至於消費者對特許人求償損失的追索權利,以及因被特許人故意或過失造成整體特許經營事業所受損失(包含商譽損失)的求償權利。 九、違約責任 約定雙方違反合同條款約定行為的法律後果。 十、爭議的解決方式 雙方有爭議時的調解管道,以及若欲訴訟,約定訴訟管轄地等。 肆、關於特許經營事業備案[8] 為加強對特許經營行業的管理,協助潛在被特許人了解該特許事業的基本資訊,《管理條例》設立了事後備案的監管制度。 特許人應自首次訂立合同之日15日內向商務主管部門備案。應向特許人所在地的省、自治區、直轄市政府的商務主管部門備案。跨省的特許經營事業應該向國務院商務部備案。 中國大陸目前已啟用網路備案方式以加快備案手續及效率,特許人登錄國務院商務部主管的《中國商業特許經營網》[9]註冊後,將註冊完成的特許人信息表和相關紙本文件[10]帶到當地備案管理部門[11]進行審核,審核通過後備案管理部門會發給特許人備案系統登錄帳號和登錄密碼。特許人登錄在《中國商業特許經營網》的特許經營備案系統後,可以在網路上進行《備案管理辦法》中規定的資料填寫或電子檔案的上傳工作。 伍、關於特許經營信息披露 除了對特許人資格的具體規定以及建立事後審查制度,中國大陸對於特許經營關係中,授權方特許人應該於特許經營關係成立前應揭露給被特許人知悉的相關資訊也有明確的規範,此種規範除了保障被授權人可在資訊透明的條件下做出商業決策,當特許人的特許資料登錄於信息披露網站,也有助於潛在投資人對於該商業規劃的了解,間接促進了整體特許經營行業的能見度和活躍性。 根據《信息披露管理辦法》的規定,特許人在訂立特許經營合同前至少30日應以書面形式向被特許人提供有關資訊和特許經營合同文本。 對於違反特許經營信息披露的特許人,除依《管理條例》第27條規定受行政罰則外,依《管理條例》第23條規定,特許人隱瞞有關訊息或提供虛偽不實訊息的,被特許人享有法定解除權。 法律實務中,法院會綜合考量特許人所隱瞞的程度或者所提供的虛偽不實訊息的重要性、與事實的差異性來區分是惡意詐欺還是商業話術,盡可能維護特許經營合同的穩定性,避免被特許人一旦經營失敗就把全部責任轉嫁給特許人[12]。 陸、特許經營合同知識產權授權特別注意要點 特許經營事業中以知識產權(智慧財產權)的授權為主要內容,應在特許經營合同中一併約定使用條件,特許人應以事前具體約定方式完整保護知識產權及特許經營事業。 一、約定具體的特許經營範圍 特許經營權的授予是屬於單店特許或是區域特許,單店特許者應明定單店資訊,區域特許者應界定區域範圍(如城市、省名)。 特許經營權的授予是否具有獨占性、排他性、非排他性。被特許人可否自行再設立其他分店或以特許人身分再授予第三方。 二、約定知識產權的使用方式 被特許人須依特許人的要求來使用特許經營資源,如商標的使用方式、使用位置,可以用特許人的經營手冊加以細化。 三、約定知識產權授權後被特許人的義務 被特許人以特許人授予的知識產權開展經營後,應當盡的品質保證、品質監督義務。特許經營合同中除概括被特許人監督產出責任外,也可以列舉方式約定被特許人的監督義務,例如被特許人應監督其雇用人員按照特許人約定的方式出產商品或服務、定期向特許人提出產品質量檢查報告。 四、約定特許人監督特許經營事業的權利 除了被動等待被特許人提交經營報告(可包含營業狀況以及財報),特許合同應保留特許人主動對特許經營事業進行檢查、監督、考核的權利,並要求被特許人在合約期間應執行特許人檢查考核後的跟營業相關的決策。 五、約定合同到期後的被特許人使用特許經營資源的狀況 約定特許經營關係結束後,被特許人是否能再以特許人加盟店的形式進行商業活動,包含被特許人是否應向原註冊機關進行註銷登記(如註銷營業執照或變更企業名稱),是否能再使用特許人商標。 另外,因特許經營權授予而獲得的商標以外的相關知識產權(如手冊、培訓教案、軟體等)也應約定是否還能繼續使用。 柒、結論 特許經營事業的成功,除取決於特許人法律法規的掌控,對各項與特許資源相關的知識產權的保護也是維持特許事業穩定成長的重要策略。中國大陸政府因為特許經營事業的特殊性而制定特別的法律及行政規則,期待本文對特許經營法律法規的介紹以及相關知識產權授權應留意的面向建議能對有意前往對岸投資的台資特許人產生實質幫助。 [1]《商業特許經營管理條例》第3條(中國國務院令第485號2007.02.06)。 [2]《商業特許經營管理條例》第3條(中國國務院令第485號2007.02.06)。 [3]《商業特許經營管理條例》第7條(中國國務院令第485號2007.02.06)。 [4]《商業特許經營信息披露管理辦法》 第5條(中華人民共和國商務部令2012年第2號2012.02.23)。 [5]《商業特許經營管理條例》第11條(中國國務院令第485號2007.02.06)。 [6]指特許人授予的特許經營權是僅限於單一加盟店使用或是某一地理區域內可成立數個加盟店。 [7]《商業特許經營管理條例》第13條 規訂合同約定的特許經營期限應該不少於3年,但雙方如有其他約定,可以在合同中註明,即只需雙方合意就可更改特許經營期限。 [8]《商業特許經營管理條例》第8條(中國國務院令第485號2007.02.06)。 [9]主頁,中國商業特許經營網http://txjy.syggs.mofcom.gov.cn/ 。 [10] 各地方主管機關要求的紙本文件可能不一。 [11] 當地的商務委員會。 [12] 王樹章、吳平平,《關於商業特許經營合同審判實踐若干問題的調研報告》,知識產權庭課題組,頁9。
大倫敦政府推動城市資料市集,期尋求資料利用及隱私保護間之平衡,建立民眾對資料市集之信賴資料利用之層面越來越廣,且無論是基於商業或公益目的,產生越來越多難題。穿戴式裝置及物聯網的發展,亦使得資料之蒐集利用及界線等問題更顯其重要性。有鑑於此,大倫敦政府(Greater London Authority, GLA)在今(2016)年3月公布「倫敦城市資料策略」(London City Data Strategy),積極推動「城市資料市集」(City Data Market),期將倫敦打造成世界首屈一指的智慧城市。 增加大眾對資料市集之信賴並減少疑慮乃「倫敦城市資料策略」之一環,近年在英國有一系列新法上路,除新的歐盟資料保護規範(GDPR)外,英國國內有關「開放銀行」(open banking)之新規範,以及已有能源及電信公司參與之MiData initiative等,上述機制均為促使個人更容易掌握其個資被利用之狀況。 大倫敦政府亦推動「倫敦資料交易」(London Data Exchange),大眾可利用此一機制掌握其個資流向。其中有關建置新的數位符號(digital tokens of proof),使民眾未來可利用此等符號證明符合特定資格,例如在道路受檢時,毋須拿出駕照說明個人姓名、地址、出生年月日等資料,利用該等符號,便可判定符合駕駛年齡。 近期,大倫敦政府透過資料科學合作夥伴(Data Science Partnership)推動資料科學倫理架構(Framework for Data Science Ethics),著手研究民眾對資料交易新機制的反應,試圖在資料利用與法律和道德問題間尋求平衡。
Like or Not!德國地方法院針對facebook「讚」按鈕功能之判決日前有新聞報導,google將推出「+1」按鈕功能,用戶可以點擊該按鈕,向好友推薦特定的搜尋結果,市場上普遍預測google新增此「+1」按鈕功能,主要是用來跟facebook「讚」按鈕(Like Button)競爭。facebook「讚」按鈕功能已成為時下潮流新用語,諸如「給你一個讚」;而且還可以將facebook「讚」按鈕安裝在個人的部落格網頁、文章中。惟facebook的這項功能,一直以來也存在著侵害用戶個人隱私之疑慮。 德國柏林地方法院於今年(2011)03月14日針對facebook「讚」按鈕功能作出一則判決(LG Berlin, Beschluss vom 14.03.2011 - 91 O 25/11)。本案被告經營一項與原告相同的電子商務業務,並在其線上商店網頁中,安裝facebook「讚」按鈕(Gefällt-mir-Button)功能。判決中指出,安裝facebook「讚」按鈕,須運用facebook內建框架(iframe)語法,一旦安裝後,只要是登錄facebook的用戶,同時瀏覽被告網頁時,即使未點擊被告網頁上的「讚」按鈕,用戶的使用記錄都會回傳至facebook。但被告網頁上並未刊登任何有關提醒用戶注意該項資料蒐集、回傳之訊息。 原告因而主張,被告未盡到告知用戶有關個人資料蒐集、加工資訊之義務,已經違反電信服務法(Telemediengesetz,以下簡稱TMG)第13條規定,因而構成不正競爭防止法(Gesetz gegen den unlauteren Wettbewerb,以下簡稱UWG)第4條第11款規定之不允許交易行為。UWG第4條第11款規定「違反本質上涉及交易相對人(Marktteilnehmer)之利益的市場行為(Marktverhalten)有關之法律規定,亦屬於不允許的交易行為(unlautere geschäftliche Handlungen)。」 柏林地方法院認為,TMG第13條本質上係與個人資料保護有關之規定,與涉及交易相對人之利益的市場行為無關,故本案無UWG第4條第11款規定之情形,與不正競爭行為無關,原告之主張因欠缺請求權基礎而敗訴。 然而,值得注意的是,本案法院並未進一步針對被告行為是否違反TMG第13條「有關個人資料保護」之規定提出其見解。TMG第13條係依據「歐盟1995年個人資料保護指令」轉換而來,TMG第13條規定,若網站涉及個人資料的蒐集、加工行為,電信服務提供者(Diensteanbieter)有義務明確告知用戶相關訊息(包括明確告知用戶其可隨時撤回許可相關資料蒐集之表示等)。 爰此,被告於個人網頁安裝facebook「讚」按鈕功能,卻未告知用戶個人資料蒐集、加工之相關訊息,是否違反TMG第13條規定之告知義務,尚有待上級審加以定奪。而判決出爐後,也有專家建議,為避免有侵害個人資料之虞,在社群網站安裝facebook「讚」按鈕時,宜加註個人資料處理、保護之相關聲明。
因應巨量資料(Big Data)與開放資料(Open Data)的發展與科技應用,美國國會提出「資料仲介商有責與透明法草案」(Data Broker Accountability and Transparency Act)美國國會議員Markey與Rockefeller於2014年2月提出S. 2025:「資料仲介商有責與透明法草案」(Data Broker Accountability and Transparency Act),以促進對於消費者保護,與資料仲介產業發展間的平衡。該草案預將授權「美國聯邦貿易委員會」與各州據以監督與執行。 該草案對「資料仲介商」(以下簡稱Data Broker)加以定義為係以銷售、提供第三方近用為目的,而蒐集、組合或維護非其客戶或員工之個人相關資料的商業實體;更進一步的禁止Data Broker以假造、虛構、詐欺性的陳述或聲明的方式(包括提供明知或應知悉為偽造、假造、虛構、或詐欺性陳述或聲明的文件予以他人),自資料當事人取得或使其揭露個人相關資料。 該草案亦要求Data Broker建置及提供相關程序、方式與管道,以供資料當事人進行下列事項: 1.檢視與確認其個人相關資料(除非為辨識個人為目的的姓名或住址)正確性(但有其他排除規定)。 2.更正「公共紀錄資訊」(Public Record Information)與「非公共資訊」(Non-public Information) 3.表達其個人相關資料被使用的時機與偏好。例如在符合一定條件下,資料當事人得以「選擇退出」(Opt Out)其資料被Data Broker蒐集或以行銷為目的而販售。 於此同時,加州參議院亦已於2014年5月通過S.B. 1348:Data Brokers的草案,該草案要求資料當事人擁有檢視Data Broker所持有的資料,並得要求其於刪除提出後10天內永久刪除;當資料一經刪除,該Data Broker不得再行轉發或是將其資料販售給第三人。加州參議院並提案,該法案通過後將涵蓋適用至2015年1月1日所蒐集的資料,且個人於Data Broker每次違反時得提出$1,000美元的損害賠償訴訟(律師費外加)。雖然該草案受到隱私權保護團體的支持,卻受到加州商會(California Chamber of Commerce)與直銷聯盟(Direct Marketing Association)的反對。加州在Data Broker的立法規範上是否能超前聯邦的進度,讓我們拭目以待吧。