從美歐植物藥管理之法制趨勢探討我國中草藥產業發展之機會與挑戰

　　2016年9月，詞曲創作者Sean Hall及音樂公司代表Nathan Butler提出著作權侵權訴訟，控訴泰勒絲2014年單曲【Shake it off】中「Playas, they gonna play / And haters, they gonna hate」的詞彙使用方法抄襲了2001年所錄製的【Playas Gon'Play】，主張在2001年前這種特定角色加上特定動作的重覆出現組合，並未於任何流行文化中所使用。 　　由於原告僅以歌詞部分進行侵權訴訟，美國聯邦地區法院法官不需專家或陪審團意見即可進行判決。法官Michael Fitzgerald以「平庸（banal）」一詞形容原告所提出的詞彙組合，駁回該訴訟，並表示被控侵權的泰勒絲歌詞內容部分為短語（short phrases），缺乏著作權法所保護的原始性及創作性，且「Playas gonna play / haters gonna hate」所展現的創作性和「鼓手會打鼓/游泳者會游泳」沒什麼兩樣。因此，除非【Shake it off】中有其他音樂元素可能值得聲稱侵權，法院願意給予原告機會修改聲明，進行上訴。此外，法院提出其它理由：「Playas+play」這樣的詞彙組合早於1977年單曲【Dreams】中「Players only love you when they’re playing」就曾被使用過，且「Playas」一詞也曾用於1990年年代做為R&B樂團的團名。 　　這不是【Shake it off】第一次遭逢侵權訴訟，2015年Jessie Braham指控【Shake it off】侵犯其於2013年發行的單曲【Haters Gone Hate】，並求償4,200萬美元。但由於原告並未提供足夠證據，該案亦遭駁回。

2025年6月19日，英國《2025年資料（使用與存取）法》（Data（Use and Access）Act 2025，下簡稱DUA法）正式生效。DUA法的宗旨是在《英國一般資料保護規則》（United Kingdom General Data Protection Regulation, UK GDPR）的基礎上，放寬在特定情形下執法機關、企業與個人使用資料的限制，以提升資料管理及使用的便利性。 DUA法預計將於2025年8月開始分階段實施，重點如下： (1) 放寬自動化決策（Automated Decision-Making, ADM）條件：依據UK GDPR規定，個人有不受純粹基於自動化處理且產生法律效果或類似重大影響之決策所拘束之權利。此項規範確立自動化決策之原則性禁止，僅於符合特定例外事由時始得為之。DUA法則放寬此一限制，未來企業只要確保有向當事人提供自動化決策的資訊、決策結果申訴的管道，以及得人為干預設計之保障措施以後，即可做出對個人有重大影響的自動化決策。 (2) 資料主體存取請求權（Subject Access Request, SAR）規範明確化：當事人有權向持有自身個資的單位請求查閱，DUA法明訂組織在收到請求後應回應的時間，而當事人請求的範圍也應合理且合於比例，避免組織浪費人力搜索不重要的資訊。 (3) 建立有效申訴管道：規定任何使用個人資料的組織都必須設立有效的申訴機制、提供電子化申訴管道、並回報處理結果，若訴求未獲得解決，當事人即可向英國資訊專員辦公室（Information Commissioner’s Office, ICO）提出申訴。 (4) 科學研究得採概括同意機制，商業研究亦屬適用範疇：DUA法明確指出，基於科學研究目的，研究人員於確保適當個人資料保護措施之前提下，得以概括同意（broad consent）方式取得當事人之同意，以利進行科學研究活動。DUA法並明確界定科學研究之範疇可涵蓋商業研究（commercial research），擴大其適用領域。 (5) 允許網站直接使用Cookie：網站與應用程式的儲存與存取技術（Storage and Access Technologies）在低風險情況下，可不取得使用者事前同意，即紀錄使用者瀏覽紀錄。 DUA法將於2025年8月開始分階段實施。如何在科技發展的便利性與個人資料的安全性間取得平衡，是當代社會不容忽視的議題，可持續觀察追蹤英國施行DUA法的成效供我國參考。

歐盟執委會(European Commission)於2023年提出《醫藥品包裹》(Pharmaceutical Package)修訂多項歐盟藥品法規。其中也調整資料保護期(period of data protection)和市場獨占期(market exclusivity)等制度，激勵藥品創新、增加藥品可及性、並強化歐盟面對全球公衛挑戰的能力。修訂草案由環境、公共衛生與食品安全委員會(Committee on Environment, Public Health and Food Safety)通過後，目前已於2024年4月由歐洲議會(European Parliament)投票一讀通過，若歐洲理事會決議通過，即完成修法。為協助產業界提早因應布局，本文擬介紹歐洲議會一讀通過的草案中，資料保護期與市場獨占期的運作方式。 一般新藥 一般新藥的資料保護期由現行的8年縮減至7年半。但符合以下條件時，則能將資料保護期延長：滿足未滿足醫療需求（12個月）；含有新活性物質並進行比較性臨床試驗（6個月）；於歐盟境內與歐盟研究實體合作開發（6個月），若同時符合多項條件時，最多可將資料保護期延長1年。此外，新藥與現有療法相比具有顯著的臨床優勢時，還能將資料保護期結束後的市場獨占期由2年延至3年，但僅限一次。 針對抗藥性微生物抗生素 引入資料專屬期券(Data Exclusivity Voucher)，獲授權的產品最多可將資料保護期延長12個月，該權利能轉讓給其他醫藥產品，但轉讓僅限一次。 孤兒藥 一般孤兒藥的市場獨占期由現行的10年縮減至9年，然而滿足「高度未滿足醫療需求」的罕病孤兒藥最長可享有11年的市場獨占期。但在非額外的市場獨占期剩餘2年以內時，不得阻擋學名藥與生物相似藥之上市申請。 本次修法加速一般的學名藥與生物相似藥進入市場，但同時也加強高品質與創新藥品的保護進行支持；而對於市場機制未能激勵投入的重要需求，如新型抗生素，則提供具可轉讓性的額外獎勵，增添靈活度和價值，以吸引更多企業投入研發。 本文同步刊載於stli生醫未來式網站（https://www.biotechlaw.org.tw）

　　新加坡個人資料保護委員會（Personal Data Protection Commission, PDPC）於2019年7月17日發布資料保護專員之職能與培訓準則。基於新加坡個人資料保護法（Personal Data Protection Act 2012, PDPA）明文規範非公務機關必須設立至少一名資料保護長（Data Protection Officer, DPO），負責個資保護政策之制定落實、風險評鑑及個資事故處理等工作。為了使資料保護專業人員增強能力並於企業組織有效履行其職責，新加坡個人資料保護委員會就此特別發布此準則，將資料保護專員分為三種工作職能，九項專業能力，進而規劃相關培訓課程。 　　此準則使企業組織能就工作職能聘僱合適之資料保護專員，亦使相關專業人員能掌握清晰之職業生涯，確定自我能力與培訓課程之落差，進而調整有效實施組織之個人資料保護管理政策與流程。其分為資料保護專員、資料保護長、區域資料保護長，依據工作職能與職責區分如下： 一、 資料保護專員 需監視與評估組織之個人資料保護管理政策與程序，並確保其遵循新加坡個人資料保護法。 識別個人資料之風險，並提出風險管控之措施。 提供組織個人資料保護政策之實施與實踐證據。 定期檢視審核，分析現況並矯正改善。 識別並規劃利害關係人之需求與利益。 二、 資料保護長 制定並審查個人資料管理計劃。 根據組織職能，視需求與流程，執行個人資料保護與風險評鑑，並解決相關業務風險。 制定培訓計劃，舉辦個人資料保護政策與流程之教育訓練。 確保組織內部個人資料保護之意識。 根據業務營運與個資法遵要求之落差評估，並建立合規性流程。 透過客戶對隱私與個人資料保護之要求，做為日後促進資料創新之實施。 三、 區域資料保護長 監督資料傳輸活動，並提供個人資料保護法之領導指南。 建立區域創新之資料保護策略。 減少區域內之個資事故。 於資料創新之運用提供戰略性，為組織創造業務價值。 評估新興趨勢與科技，如隱私增強技術、雲端運算、區塊鏈、網絡安全之風險與可行性。 　　針對上述工作職能與職責，結合所需之專業能力，包括個人資料管理、風險評鑑管理、個資事故緊急應變、利害關係人管理、個人資料稽核認證、個人資料治理、個人資料保護之倫理、資料共享與創新思維，規劃基礎個人資料保護相關課程與進階資料創新課程，使其個人資料保護制度更專業具有規模。目前我國對於資料保護專員並無相關立法規範，若未來修法新加坡個人資料保護委員會之做法亦值參酌。