◎賴文智、王文君
2017年5月經濟學人雜誌的醒目標題,「世界上最重要的資源,不再是石油,而是資料。(The world’s most valuable resource is no longer oil, but data.)[1]」高舉「資料經濟」來臨的大旗。公司治理自然也必須因應將焦點轉到「資料」之上。事實上,1940年美國《投資公司法案》(Investment Company Act),建議公司在董事會中成立審計委員會,以監督財務報告與財務揭露,即源於1930年代末期諸多的公司會計詐欺,足見公司治理向來離不開「資料」的正確性與完整性。近期企業資料治理領域,較常被提及的是鑑識會計,包括在公司法、證交法、員工舞弊等案件,透過會計師的專業及對於資料的掌握與剖析,協助案件調查或訴訟支援。
然而,資料治理不僅是為符合前述公司、證交等規範,近年來反托拉斯法、個人資料保護、著作權、營業秘密、消費者保護、資訊安全等相關法規,都不斷提高企業忽略資料治理可能的風險。倘未建立資料治理的制度,依公司法第23條規定,作為公司負責人的董事、監察人難謂為已盡其善良管理人的注意義務忠實執行職務。身處於「資料經濟」的年代,確保企業各類型、各層級資料及運用的正確性、完整性、安全性、合法性,公司治理的水準必然大幅提昇。以下即由權利面與風險面,初步盤點企業資料治理須注意的法律議題。
壹、資料可能涉及的權利
企業營運所產出、累積、蒐集的資料屬性多元且複雜,有單純的統計數據或原始資料、有涉及自己或他人營業秘密、有屬於受著作權法保護的著作、有自然人的個人資料、甚至有涉及其他人格權益衍生的資料。企業評估資料治理架構及進行資料管理時,必須先認識各類型資料可能涉及的「權利」狀態,才能確保企業是否有完整權利或是應如何確保是合法擁有、利用該等資料,這是企業推動資料治理的基礎。
一、著作權法
企業的資料資產未必只是單純的數據、資料,可能是受著作權法保護的「著作」,如技術資料(語文著作)、圖片、圖表(美術或圖形著作)、照片(攝影著作)、設計圖(圖形著作)、電腦程式著作等。因著作利用即涉及合法性的問題,企業資料治理必須能夠事前評估、事後查核各該資料是否適於作為企業內部營運管理或對外提供服務的一環。亦即,受著作權法保護的資料須進行「溯源管理」,了解該等資料是何時產出、在何種法律關係下產出、企業是否享有完整權利或取得合法授權、是否受有契約或法律的限制等。
以人工智慧發展所需的大量訓練資料為例,若需以大量的照片進行人臉辨識的訓練,這些照片從何而來?能否直接透過程式大量抓取網路上使用者對外公開的照片?如果是網路平台的使用者,網路平台的經營者能夠利用使用者自行上傳的照片嗎?照片通常是受保護的攝影著作,著作權人則是攝影者,但攝影者發布在網路上,並不代表授權他人可以任意利用,就算是Facebook透過服務條款,也未必能夠合法將其使用者在FB平台張貼的照片作為人臉識別的訓練使用。企業資料治理在進行權責、流程、查核等機制的設計時,必須確保其合法性。
二、營業秘密
營業秘密無需經註冊與申請,只要符合營業秘密法第2條營業秘密之定義,即能受營業秘密法保護。營業秘密係指方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊,而符合左列要件者:一、非一般涉及該類資訊之人所知者。二、因其秘密性而具有實際或潛在之經濟價值者。三、所有人已採取合理之保密措施者。企業資料資產如涉及方法、技術、製成、配方、程式、設計或是其他資訊,符合上述一至三的要件,即為營業秘密。
營業秘密的關鍵在於不可以用不正當方法取得、使用或洩漏,若是企業未能掌握哪些資料可能含有營業秘密、該等資訊是否經過合法途徑產出或取得、是否負有保密義務、使用範圍是否會影響其秘密性等,不但可能涉入營業秘密侵害的案件,企業重要的無形資產亦無法即時辨識或給予適當的保護。
三、人格權(隱私權、個資等)
隨著歐盟GDPR實施,各國個人資料保護法制對企業經營影響的威力逐漸發酵。企業希望掌握消費者愈來愈多的資料,無論是作為廣告投放、人工智慧訓練、甚至只是最傳統的客戶關係管理,如何透過資料精準預測消費者的需求,更是現代企業最仰賴巨量資料之處,當然得面對個人資料的問題。歐盟GDPR正是嘗試透過提高個人資料保護的法制強度,擴張歐盟在數位世界的影響力版圖。
然而,資料所涉及的人格權,並非透過遵循各國個人資料保護法規即為已足。以Google街景服務為例,我國個資法雖然規定,「於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料」,不適用個資法規範。但拍攝到他人的肖像,仍然需尊重民法對於肖像權的保護,街景車如拍攝到他人家中的影像,亦須積極處理以避免侵害隱私權;生物學與醫學領域重要的「海拉細胞」,雖然一開始是以醫療廢棄物的方式「合法」取得海莉耶塔.拉克斯的子宮頸癌細胞株,但未經同意即大量散布、使用,難道真的一點問題都沒有嗎?細胞株除醫學研究價值之外,還帶有其原主人的生物特徵,甚至隨著DNA代代相傳而可能與其後代產生一定的關連,即須注意倫理議題。
四、契約規範
企業所擁有的資料可能因各類型的契約關係而影響其權利與限制。舉例言之,許多網站設有使用者條款或隱私權政策等,向使用者取得蒐集、取用資料的授權,及聲明不得以爬蟲程式等方法不當擷取其網站資料等,或與交易相對人、合作對象以契約約定資料產出的合作、使用方式、限制等,尤其在無法自行產製或蒐集大量真實資料的企業,利用外部既有的資料更多常態。企業在評估推動資料治理時,相關的契約及其對於資料的影響,也需要納入考量。
但契約僅有當事人間的相對效力,只能對於簽署契約的相對人進行拘束,無法直接以契約對毫無關係之第三人逕行主張。所以,也要反過來注意若是資料的對外提供或利用,如果可能導致無契約關係的第三人取得或利用,而其取得或利用可能缺乏智慧財產權、個人資料等法律上保護的權利可以主張時,就需要規劃利用契約將保護的範圍擴張。
[1] The world’s most valuable resource is no longer oil, but data, The Economist, https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data, 2021/11/29 visited.