📚#元照新書賞閱📚公司治理與法令遵循
【作 者】王文宇／臺大法律學院教授兼比較法研究中心主任
　
【本書簡介】
🔹梳理現行法律（包括公司、證交法）規定並說明之，同時釐清法規與實務扞格之處（如「經營階層」意涵），並針對相關的法規命令及「軟法」（如實務守則），一併闡明。
🔹第一部分「總論」扼要說明管制策略與發展趨勢；第二部分「公司治理」與第三部分「法令遵循」，依序介紹相關法規與實務。
🔹收錄28則案例或專題研究，結合理論與實務，除了分析本土的重要案例與事件外，也評論國際性議題，以拓展讀者視野。
🔹參與公司治理的企業家（董事與經理人）、專業人士（律師與會計師）、以及有志學習的法商學院學生，皆可藉由此書一窺「公司治理」與「法令遵循」的重要性。
　
詳細介紹：http://www.angle.com.tw/Book.asp?BKID=12914
　
　
⭐聯合推薦⭐

⭐賴英照（前司法院院長）　
　　
王文宇教授是權威的公司法學者，兼有深厚的法學素養和豐富的實務經驗。《公司治理與法令遵循》是他結合學術與實務的結晶，有精采的法學論述，更有實用的專業知識。不論在大學從事學術研究，或在實務界處理企業法律問題，這都是一本案頭必備的好書，特為推薦。
　　
　
⭐陳 冲（新世代金融基金會董事長／前行政院院長）
　
荀子嘗謂：「主其心而慎治之」。文宇教授新著，以法學為經，以人性為緯，多面相剖析公司治理，多層次解讀法令遵循，貫穿其間者，洋溢荀子之道。法遵治理典籍，汗牛充棟，我獨愛2018 Commonsense Principles 2.0，深入淺出，言簡意賅，而Commonsense意謂源自人性，與本書立論，恰相輝映。厥為文宇兄博古通今、學貫中西的最佳註腳。
　
　
⭐曾繁城（創意電子董事長／台積電董事）　
　
金管會於2020年8月發布「公司治理3.0─永續發展藍圖」，可以觀察到過去公司治理較聚焦在董事會職能的強化、資訊透明的揭露，現在隨著全球氣候變遷，各國開始重視ESG永續發展相關的議題，這個趨勢已經是普世價值，沒有任何企業能夠置身於這股永續發展的潮流之外。
　
王文宇教授是學術與實務兼具的法律專業人士，多年來致力推動公司治理不餘遺力，並且已擔任創意電子獨立董事13年，對於公司能夠連續七屆獲得公司治理評鑑前5%的殊榮，貢獻卓著。現今 王文宇教授整理並結合其學術的研究和擔任上市、櫃公司獨立董事的實務經驗，彙編成冊，推出《公司治理與法令遵循》一書，除闡述公司治理架構、董事當責義務及法令遵循外，對於時下熱門話題如資訊安全及ESG相關議題也有所著墨，內容豐富但言簡意賅，個人深受啟發。
　
相信這本《公司治理與法令遵循》對莘莘學子、上市、櫃公司董事和經營團隊及公司治理專業人士會有醍醐灌頂之效，更企盼所有的讀者對於公司治理能夠本於初心，方得始終。
　
　　
⭐胡星陽（國立臺灣大學財務金融學系教授兼管理學院院長）
　
公司治理的議題越來越重要，相關的報導也經常出現在報章雜誌。好的公司治理制度要達到兩個目標：消極面要避免公司經營不善，不讓投資人蒙受像大同或康友-KY這樣的慘劇。積極面要促進公司設定正確的方向和有效率的執行。
　
《公司治理與法令遵循》對公司治理做全面性的介紹，兼顧消極和積極兩個目標，充分反映了作者多年來在學術界、實務界和政府單位的經驗，這樣的結合恰恰是公司治理這個領域所需要的。
　
書中處處可見作者的洞見，值得細讀深思。例如近來有很多討論國內是否應引進SPAC（特殊目的收購公司）制度，作者就指出SPAC的核心是發起人與經營團隊，而國內的根本問題在於法規上的不足，缺乏這類型的專業投資人。
　
　
⭐陳清祥（中華公司治理協會理事長）　　
　
強化法令遵循　落實公司治理
　
法令遵循制度在金融機構已經行之多年，直到兆豐銀行紐約分行因違反洗錢防制相關法令被重罰1.8億美金，才再次被強調。近年來，廣明案（反托拉斯法）、聯電案（營業秘密法）、駭客入侵案（資通安全管理法）、臉書個資外洩案（個人資料保護法）等，都是提醒各行業應更重視風險管理及法令遵循制度。
　
欣見文宇兄以多年累積的專業知識和實務經驗，闡述公司治理及法令遵循各相關層面的議題，輔以經典的國內外實際案例剖析，是一本兼具學術理論與實務探討的好書，研習公司治理與法令遵循制度的參考指引。相信本書定能給產、官、學界帶來啟發和借鏡，協助規劃及落實法令遵循制度，釐清及規範董事監督義務，齊心落實公司治理。
　
　
⭐何麗梅（台積電歐亞業務資深副總經理）　　　
　
王教授擔任台積電轉投資創意電子獨立董事多年，熟諳公司法理論與實務，如今完成公司治理大作，可喜可賀。本書深入淺出，闡明相關法規、剖析治理機制；視角寬廣，既探討國際趨勢，也檢視知名案例，可讀性高，適合所有董事與經理人閱讀。
　
本人身為實務工作者，在台積電擔任企業社會責任委員會主席多年，深知追求「永續」是提升企業價值，促進企業成長的不二法門。企業永續之推動，首在於領導人對於永續文化之建立，並將ESG之精神及各項規範融入於企業日常營運及決策中，上行下效，成為企業的DNA的一部分。
　
本書以淺顯文字介紹ESG、公司治理之法律與法遵面向，深具參考價值；尤其收錄敝公司融合ESG之限制型股票案例，足見理念相同！
　
　
⭐林靖揚（Sullivan & Cromwell LLP合夥人）　　　
　
二十年前在台大法研所師從王文宇教授學習公司法制時，對於老師諸多先進的公司法理念，包括將法人視為不同利害關係人（stakeholders）間的法律關係的核心重新解構「公司」的概念，深感敬佩，這些理念也成為伴隨我執業十餘載的暮鼓晨鐘。
　
《公司治理與法令遵循》一書，延續老師一貫風格，跳脫許多比較法著作羅列各國法規和台灣法規進行比較的傳統套路，以台灣本身的法制為骨架，以國內外近年的公司治理和法令遵循熱點議題和案例為發想，將外國法制、實務和學者見解穿插於文中，刺激讀者思考。由於讀者對於相關議題和案例或已於新聞中耳熟能詳，在閱讀過程中極易產生共鳴，隨著內容跌宕猶如和老師隔空時而探討、時而論辯，時而被深深說服，趣味盎然。
　
本人過去十五年在紐約、香港等金融中心從事證券發行和公司併購等業務，對於本書探討的許多觀點深有所感。尤其，各市場的法制文化不同，絕非「參考先進法制」就能憑空產生適當的法制規範或最佳實務（best practice）。例如，一般而言，美國法制長期依賴訴訟和法院形成規範、而香港更借重專業的證券監管機關來防弊。
　
本書探討了諸多重要的實務案例。如樂陞案引出的買方資金證明問題，在美國並無法規強制要求上市公司併購的買方提供資金證明，但實務上併購案賣方的董事會均會有此要求，以滿足董事誠信義務降低訴訟風險，而香港則更偏向監管機構介入，由證監會要求買方的財務顧問出具資金確認函。又如上市公司併購時的賣方董事會下設特別委員會，在美國和香港均非法律強行要求，實務上設置的主要目的是為了處理有利益衝突的情形，並非所有併購均有必要。再如榮化併購案，如果李氏家族在買方實體的上層結構中有持股，在美國和香港將有不同的披露要求，且在香港更可能導致李氏家族不能在股東會投票等等，均有整體的法制思維支撐。
　
這兩年朝野倡議將台灣建設為亞洲金融中心之一。跨國企業考慮上市、融資的市場時，除了經濟因素外，法制基礎建設也極為關鍵。同樣的，國際投資人在選擇投資標的時，公司治理和法令遵循也是重要的考量。如本書所強調，良好的公司治理法制必須同時能「興利」和「防弊」。同樣的，當一家公司在考慮其公司治理，例如董事會和委員會的組成、股權激勵制度的設計時，也離不開決策對於受影響的利害關係人可能帶來正面、負面的行為動機。當然，無論何種制度設計，都無法自外於台灣的法制、文化、主管機關和法院的專業性等，否則徒法不足以自行。
　
閱讀至此，忽聞鳥鳴。轉頭一看不覺天邊已微明。幾個小時的深夜閱讀收穫滿滿，不啻是疫情下在家工作時的最佳精神食糧。
　
　　
　　
　　
　
📚居家安心學，全站折扣滿799免運：http://qr.angle.tw/x2m

📚＃元照新書賞閱：http://qr.angle.tw/pp8

📢訂閱　＃月旦雜誌，贈〈充電包〉＆《月旦簡明六法》一本：http://qr.angle.tw/gyj
　
📢#月旦知識庫 最新購點優惠
http://qr.angle.tw/dzl

AI 助陣醫學、防疫，個人隱私難兩全？

2021/06/09 研之有物

規範不完備是臺灣個資保護的一大隱憂，《個資法》問世遠早於 AI 時代、去識別化定義不清、缺乏獨立專責監管機構，都是當前課題。

評論

本篇來自合作媒體研之有物，作者周玉文、黃曉君，INSIDE 經授權轉載。

AI 醫療、科技防疫的人權爭議

健康大數據、人工智慧（AI）已經成為醫療研發的新聖杯，新冠肺炎（COVID-19）更將 AI 技術推上防疫舞臺，各國紛紛串聯大數據監控足跡或採用電子圍籬。但當科技防疫介入公衛醫療，我們是否在不知不覺中讓渡了個人隱私？

中研院歐美研究所副研究員何之行認為，規範不完備是臺灣個資保護的一大隱憂，《個資法》問世遠早於 AI 時代、去識別化定義不清、缺乏獨立專責監管機構，都是當前課題。

「天網」恢恢，公衛醫療的新利器
自 2020 年新冠疫情大爆發，全世界為了因應危機展開大規模協作，從即時統計看板、預測病毒蛋白質結構、電子監控等，大數據與 AI 技術不約而同派上用場。但當數位科技介入公共衛生與醫療健康體系，也引發人權隱私的兩難爭議。

2020 年的最後一夜，臺灣再次出現本土案例。中央流行疫情指揮中心警告，居家隔離、居家檢疫、自主健康管理的民眾，都不應參加大型跨年活動。而且，千萬別心存僥倖，因為「天網」恢恢，「我們能找得到您」！有天網之稱的電子圍籬 2.0 出手，許多人拍手叫好，但也挑起國家進行隱私監控的敏感神經。

隱私爭議不只在防疫戰場，另一個例子是近年正夯的精準醫療。2021 年 1 月，《經濟學人》（The Economist）發布亞太區「個人化精準醫療發展指標」（Personalised-health-index）。臺灣勇奪亞軍，主要歸功於健全的健保、癌症資料庫及尖端資訊科技。

國際按讚，國內反應卻很兩極。早前曾有人質疑「個人生物資料」的隱私保障，擔憂是否會成為藥廠大數據；但另一方面，部分醫療研究者卻埋怨《個人資料保護法》（簡稱《個資法》）很嚴、很卡，大大阻擋了醫學研發。為何國內反應如此分歧？

中研院歐美所副研究員何之行認為，原因之一是，

《個資法》早在 2012 年就實施，跑在 AI 時代之前，若僅僅仰賴現行規範，對於新興科技的因應恐怕不合時宜。

健保資料庫爭議：誰能再利用我們的病歷資料？

來看看曾喧騰一時的「健保資料庫訴訟案」。

2012 年，臺灣人權促進會與民間團體提出行政訴訟，質疑政府沒有取得人民同意、缺少法律授權，逕自將健保資料提供給醫療研究單位。這意味，一般人完全不知道自己的病例被加值運用，侵害了資訊自主權。案件雖在 2017 年敗訴，但已進入大法官釋憲。

民間團體批評，根據《個資法》，如果是原始蒐集目的之外的再利用，應該取得當事人同意。而健保資料原初蒐集是為了稽核保費，並非是提供醫學研究。

但支持者則認為，健保資料庫是珍貴的健康大數據，若能串接提供學術與醫療研究，更符合公共利益。此外，如果過往的數據資料都必須重新尋求全國人民再同意，相關研發恐怕得被迫踩剎車。

種種爭議，讓醫學研究和資訊隱私之間的紅線，顯得模糊而舉棋不定。何之行指出，「個人權利」與「公共利益」之間的權衡拉鋸，不僅是長久以來政治哲學家所關心的課題，也反映了現代公共衛生倫理思辨的核心。

我們有權拒絕提供資料給醫療研究嗎？當精準醫療的腳步飛也似向前奔去，我們要如何推進醫學科技，又不棄守個人的隱私權利呢？

「精準醫療」與「精準健康」是近年醫學發展的重要趨勢，透過健康大數據來評估個人健康狀況，對症下藥。但健康資料涉及個人隱私，如何兼顧隱私與自主權，成為另一重要議題。

去識別化爭點：個資應該「馬賽克」到什麼程度？

何之行認為，「健保資料庫爭議」短期可以從幾項原則著手，確立資料使用標準，包括：允許退出權（opt-out）、定義去識別化（de-identification）。

「去識別化」是一道安全防護措施。簡單來說：讓資料不會連結、辨識出背後真正的那個人。何之行特別分享 Google 旗下人工智慧研發公司 DeepMind 的慘痛教訓。

2017 年，DeepMind 與英國皇家醫院（Royal Free）的協定曝光，DeepMind 從後者取得 160 萬筆病歷資料，用來研發診斷急性腎衰竭的健康 APP。聽來立意良善的計畫，卻引發軒然大波。原因是，資料分享不僅未取得病患同意，也完全沒有將資料去識別化，每個人的病史、用藥、就醫隱私全被看光光！這起爭議無疑是一大教訓，重創英國社會對於開放資料的信任。

回到臺灣脈絡。去識別化指的是以代碼、匿名、隱藏部分個資或其他方式，無從辨識特定個人。但要達到什麼樣的隱匿保護程度，才算是無從識別特定個人？

何之行指出，個資法中的定義不甚清楚，混用匿名化（anonymous）、假名化（pseudonymised）、去連結（delink）等規範程度不一的概念。臺灣也沒有明確定義去識別化標準，成為爭點。

現行法令留下了模糊空間，那麼他山之石是否能提供參考？

以美國《健康照護可攜法案》（HIPAA）為例，法案訂出了去除 18 項個人識別碼，作為去識別化的基準；歐盟《一般資料保護規則》則直接說明，假名化的個資仍然是個人資料。

退出權：保留人民 say NO 的權利

另一個消解爭議的方向是：允許退出權，讓個人保有退出資料庫的權利。即使健保資料並沒有取得民眾事前（opt-in）的同意，但仍可以提供事後的退出選項，民眾便有機會決定，是否提供健康資料做學術研究或商業運用。

何之行再舉英國國民健保署 NHS 做法為例：英國民眾有兩階段選擇退出中央資料庫 （NHS Digital）的機會，一是在一開始就拒絕家庭醫師將自己的醫病資料上傳到 NHS Digital，二是資料上傳後，仍然可以在資料分享給第三方使用時說不。畢竟有人願意為公益、學術目的提供個人健康數據，對商業用途敬謝不敏；也有人覺得只要無法辨識個人即可。

近年，英國政府很努力和大眾溝通，希望民眾認知到資料分享的共善，也說明退出所帶來的社會成本，鼓勵人們留在資料庫內，享受精準醫療帶給個人的好處。可以看到英國政府藉由公眾溝通，努力建立社會信任。

參照英國經驗，目前選擇退出的比率約為 2.6%。保留民眾某種程度的退出權，但善盡公眾溝通，應是平衡集體利益與個人隱私的一種做法。

歐盟 GDPR 個資保護的四大原則

健保資料庫只是案例之一，當 AI 成為大數據浪潮下的加速器，最周全之策仍然是針對 AI 時代的資料運用另立規範。 歐盟 2018 年實施的《一般資料保護規則》（General Data Protection Regulation，以下簡稱 GDPR），便是大數據 AI 時代個資保護的重要指標。

因應 AI、大數據時代的變化，歐盟在 2016 年通過 GDPR，2018 年正式上路，被稱為「史上最嚴格的個資保護法」。包括行動裝置 ID、宗教、生物特徵、性傾向都列入被保護的個人資料範疇。
歐盟在法令制定階段已將 AI 運用納入考量，設定出個資保護四大原則：目的特定原則、資料最小化、透明性與課責性原則。

其中，「目的特定」與「資料最小化」都是要求資料的蒐集、處理、利用，應在特定目的的必要範圍內，也就是只提供「絕對必要」的資料。

然而，這與大數據運用需仰賴大量資料的特質，明顯衝突！

大數據分析的過程，往往會大幅、甚至沒有「特定目的」的廣蒐資料；資料分析後的應用範圍，也可能超出原本設定的目標。因此，如何具體界定「特定目的」以及後續利用的「兼容性判斷」，便相當重要。這也突顯出「透明性」原則強調的自我揭露（self-disclosure）義務。當蒐集方成為主要的資料控制者，就有義務更進一步解釋那些仰賴純粹自動化的決策，究竟是如何形成的。

「透明性原則的用意是為了建立信任感。」何之行補充。她舉例，中國阿里巴巴集團旗下的芝麻信用，將演算法自動化決策的應用發揮得淋漓盡致，就連歐盟發放申根簽證都會參考。然而，所有被納入評分系統的人民，卻無從得知這個龐大的演算法系統如何運作，也無法知道為何自己的信用評等如此。

芝麻信用表示，系統會依照身分特質、信用歷史、人脈關係、行為偏好、履約能力等五類資料，進行每個人的信用評分，分數介於 350-950。看似為電商系統的信用評等，實則影響個人信貸、租車、訂房、簽證，甚至是求職。

這同時涉及「課責性」（accountability）原則 ── 出了問題，可以找誰負責。以醫療場域來講，無論診斷過程中動用了多少 AI 工具作為輔助，最終仍須仰賴真人醫師做最後的專業判斷，這不僅是尊重醫病關係，也是避免病患求助無門的問責體現。

科技防疫：無所遁形的日常與數位足跡

當新冠疫情爆發，全球人心惶惶、對未知病毒充滿恐懼不安，科技防疫一躍成為國家利器。但公共衛生與人權隱私的論辯，也再次浮上檯面。

2020 年 4 月，挪威的國家公共衛生機構推出一款接觸追蹤軟體，能監控足跡、提出曾接觸確診者的示警。但兩個月後，這款挪威版的「社交距離 APP」卻遭到挪威個資主管機關（NDPA）宣告禁用！

挪威開發了「Smittestopp」，可透過 GPS 與藍牙定位來追蹤用戶足跡，提出與感染者曾接觸過的示警，定位資訊也會上傳到中央伺服器儲存。然而，挪威資料保護主管機關（NDPA）宣告，程式對個人隱私造成不必要的侵害，政府應停止使用並刪除資料。

為何挪威資料保護機關會做出這個決定？大體來說，仍與歐盟 GDPR 四大原則有關。

首先，NDPA 認為挪威政府沒有善盡公眾溝通責任，目的不清。人民不知道這款 APP 是為了疫調？或者為研究分析而持續蒐集資料？而且，上傳的資料包含非確診者個案，違反了特定目的與資料最小蒐集原則。

此外，即便為了防疫，政府也應該採用更小侵害的手段（如：僅從藍牙確認距離資訊），而不是直接由 GPS 掌控個人定位軌跡，這可能造成國家全面監控個人行蹤的風險。

最後 NDPA 認為，蒐集足跡資料原初是為了即時防疫，但當資料被轉作後續的研究分析，政府應主動說明為什麼資料可以被二次利用？又將如何去識別化，以確保個資安全？

換言之，面對疫情的高度挑戰，挪威個資保護機關仍然認為若沒有足夠的必要性，不應輕易打開潘朵拉的盒子，國家採用「Smittestopp」這款接觸追蹤軟體，有違反比例原則之虞。

「有效的疫情控制，並不代表必然需要在隱私和個資保護上讓步。反而當決策者以防疫之名進行科技監控，一個數位監控國家的誕生，所妥協的將會是成熟公民社會所賴以維繫的公眾信任與共善。」何之行進一步分析：

數位監控所帶來的威脅，並不僅只於表象上對於個人隱私的侵害，更深層的危機在於，掌握「數位足跡」(digital footprint) 後對於特定當事人的描繪與剖析。

當監控者透過長時間、多方面的資訊蒐集，對於個人的「深描與剖繪」（profiling）遠遠超過想像──任何人的移動軌跡、生活習慣、興趣偏好、人脈網絡、政治傾向，都可能全面被掌握！

AI 時代需要新法規與管理者

不論是醫藥研發或疫情防控，數位監控已成為當代社會的新挑戰。參照各國科技防疫的爭論、歐盟 GDPR 規範，何之行認為，除了一套 AI 時代的個資保護規範，實踐層面上歐盟也有值得學習之處。

例如，對隱私風險的脈絡化評估、將隱私預先納入產品或服務的設計理念（privacy by design），「未來照護機器人可能走入家家戶戶，我們卻常忽略機器人 24 小時都在蒐集個資，隱私保護在產品設計的最初階段就要納入考量。」

另外最關鍵的是：設置獨立的個資監管機構，也就是所謂的資料保護官（data protection officer，DPO），專責監控公、私營部門是否遵循法規。直白地說，就是「個資警察局」。何之行比喻，

如果家中遭竊，我們會向警察局報案，但現況是「個資的侵害不知道可以找誰」。財稅資料歸財政部管，健康資料歸衛福部管，界定不清楚的就變成三不管地帶。

綜觀臺灣現狀，她一語點出問題：「我們不是沒有法規，只是現有的法令不完備，也已不合時宜。」

過往許多人擔心，「個資保護」與「科技創新」是兩難悖論，但何之行強調法令規範不是絆腳石。路開好、交通號誌與指引完善，車才可能跑得快。「GDPR 非常嚴格，但它並沒有阻礙科學研究，仍然允許了科學例外條款的空間。」

「資料是新石油」（data is the new oil），臺灣擁有世界數一數二最完整的健康資料，唯有完善明確的法規範才能減少疑慮，找出資料二次利用與科技創新的平衡點，也建立對於資料二次利用的社會信任。

資料來源：https://www.inside.com.tw/article/23814-ai-privacy-medical?fbclid=IwAR0ATcNjDPwTsZ4lkQpYjvys3NcXpDaqsmE_gELBl_UNu4FcAjBlscxMwss

【嚴厲譴責隨意發布網路不明訊息，千萬不要以身試法！】

中央疫情指揮中心今(16)日宣布全國有206例的本土案例，其中基隆市新增兩例確診，一例沒有特殊接觸史，另一例則還在疫調當中，但！是！網路上卻已經傳播各項假訊息與錯誤訊息，我要在此嚴正譴責！

最近疫情升溫，有很多假訊息、錯誤的訊息在網路及社群媒體上傳播，甚至還出現了個人的資料，甚至還有病歷的號碼，這不但非常的不道德，我在這裡也要嚴厲譴責，而且這部分已經嚴重觸法，目前相關資料已經交由警察單位徹查當中，在蒐證完成後，如果查證屬實，絕不寛待，一定會依「個人資料保護法」以及「傳染病防治法」等相關規定議處，並予以重罰，也請所有市民朋友千萬不要以身試法。

===今（5/16）新增個案說明===

第一案，#案號1639，是原1365確診個案的密切接觸者，也是原1365案的學齡前外孫女，是因母親節家庭聚會，密切接觸被感染，1639案在 #第一時間就被居家隔離，所以也 #沒有其他接觸者，目前接觸的家人採檢結果，都呈現陰性。

第二案，#案號1554，是本市某國立高中男性學生，我們昨天下午接收到檢查結果為陽性之後，立即展開相關疫調工作，目前 #疫調仍在持續調查當中，我們瞭解到這案例，他在發病的前幾天，曾到本市兩家桌遊店，因為桌遊店是密閉空間，而且提供飲料，同玩者也可能沒戴口罩，這部分還在調查中，我們比較擔心這部分風險比較高。

目前 #初步已經匡列了66位 跟1554案例有接觸對象，其中包括家人、同學、老師及朋友，一律採取高規格，全部都進行居家隔離；至於 #桌遊店空間也都已完成全面消毒，基隆有6家桌遊店，在昨天也已經全部自主休業。