歐盟會員國要求分享DNA資料庫

　　美國和歐盟執委會於2022年3月25日宣布將建立新的跨大西洋資料保護框架（Trans-Atlantic Data Privacy Framework），該框架將促進美國與歐洲之間的資料流通，並解決歐盟法院在2020年宣布隱私盾協議（EU-U.S. Privacy Shield framework）無效時所提出的疑慮與問題。 　　該框架是重新建立美國與歐盟兩地個人資料傳輸的一個重要法律機制。美國承諾將實施新措施，以確保訊號情報活動（signals intelligence activities）是在必要且合法的國家安全目標下進行，並且不得不成比例地影響對個人隱私和公民自由的保護。基此，美國承諾的新措施包含強化美國訊號情報活動的隱私及公民自由保障機制、建立獨立且具約束力的救濟措施，以及強化美國情報機構對現有訊號情報活動的程序且分層監督。對於歐盟公民而言，將有全新且高標準的規範來保護個人資料；而對於美歐間的民眾和企業而言，該框架將可促進資料持續流動，足以鞏固歐美兩地每年高達一兆美元的跨境貿易，並使各種規模的企業能夠在彼此的市場中競爭。 　　資料流通對於美歐雙方的經濟關係以及所有企業而言都至關重要。事實上，美國和歐洲之間的資料流通所創造的經濟價值高達7.1兆美元，高居世界首位。在此背景下，新的跨大西洋資料隱私框架將強化美國與歐盟雙方對隱私、資料保護、法治和整體國家安全的共同承諾，未來美國與歐盟雙方將依此框架持續推進雙方各自相關的法律規範。

本文整理截至2025年3月底，美國聯邦貿易委員會（Federal Trade Commission，下稱FTC）與全國勞工關係委員會（National Labor Relations Board，下稱NLRB）對於競業禁止的態度轉變，並整理因應政策趨勢之產業機密管理建議，提供企業參考。 一、FTC與NLRB對競業禁止的態度 1. FTC對競業禁止的態度：由「訂定規定以統一禁止競業禁止」轉為「針對不合理的競業禁止進行個案調查」 （1）由Lina Khan（前FTC主席）主導的FTC，於2024年4月通過「禁止企業簽訂競業禁止契約」最終版本的規定（以下稱「最終規定」）。最終規定要求大部分情況下，禁止企業與員工簽訂競業禁止契約。 其後，美國有3案挑戰FTC最終規定： 在ATS Tree Services, LLC v. FTC案，賓州法院於2024年7月同意FTC有權禁止其認為屬於不公平競爭的行為（競業禁止）；而在另外兩案結果則相反，在Properties of the Villages, Inc. v. FTC案，佛州法院於2024年8月認定訴訟原告（房地產開發商）不受FTC最終規定的影響；而Ryan LLC v. FTC案，2024年7月德州法院更以FTC之立法範圍逾越其職權為由，於全國範圍認定撤銷最終規定。FTC不服兩案最終規定的結果並上訴。 關於最終規定的最新進展為，由Andrew Ferguson（現任FTC主席）主導的FTC，於2025年3月6日分別向第5、第11巡迴上訴法院提出動議，主張「擱置上訴審理120天（appeal in abeyance for 120 days）」。動議均已獲法院批准。 （2）此外，FTC現任主席於2025年2月26日宣布成立「聯合勞動力工作小組（Joint Labor Task Force）」，並發布備忘錄說明FTC將繼續關注反競爭行為，例如：公司與員工間的競業禁止契約、公司間互不招攬（人才）契約等。 即，可見FTC態度由「原則上禁止簽訂競業禁止契約」，轉為「依個案起訴其認為不合理的競業禁止契約」。 2. NLRB對競業禁止的態度：由「針對要求員工簽訂競業禁止的個案進行調查」轉為「將競業禁止行為排除調查範圍」 （1）NLRB為獨立的聯邦政府機構，由主任檢查官負責調查、起訴勞資案件。NLRB前主任檢查官Jennifer Abruzzo於2024年10月7日發布不具拘束力的GC 25-01備忘錄，其依循自己在2023年5月所發布的GC 23–08備忘錄中強調「過於寬泛的競業禁止契約，限制員工流動性，違反《國家勞工關係法》」，本次備忘錄進一步指出某些類型的『留任或付款（stay-or-pay）條款』侵害員工依NLRA所享有的權利」。並說明Jennifer Abruzzo欲自2024年12月6日起，調查該些「要求員工簽訂競業禁止、『留任或付款』條款的雇主」。 （2）現任的NLRB代理主任檢察官William B. Cowen於2025年2月14日發布GC 25-05備忘錄，該備忘錄以「NLRB積壓的案件量過多、需要全面審查過往備忘錄以符合當前需求」為由，針對過往NLRB發布的備忘錄，採取撤銷、撤銷後有待進一步提供指導等作法，其中包含「撤銷前述的GC 23–08、GC 25-01備忘錄」。 二、因應政策趨勢之產業機密管理建議 綜上，可得出競業禁止契約仍為FTC納管的範圍，本文彙整產業的建議，提供企業應及早採取的機密管理作法： 1. 針對政策面 應制定政策定義營業秘密，以鑑別營業秘密的範圍。 2. 針對人員面 （1）盤點企業內部既有的競業禁止契約，以確保契約條款中競業禁止的期限、地理範圍及業務範圍的限制不會過於廣泛，以致於無法執行；與員工簽訂其他類型契約，例如：保密契約、花園假條款、禁止僱傭關係終止後招攬（員工/客戶）的契約等。 （2）宣導企業的機密管理政策。 （3）提醒離職員工對企業的保密義務。 資策會科法所創意智財中心於2023年發布之「營業秘密保護管理規範」已涵蓋前述管理作法，我國企業如欲落實系統化的營業秘密管理作法，可以參考此規範。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　英國數位、文化、媒體暨體育部（Department for Digital, Culture, Media & Sport, DCMS）於2022年12月9日公布「應用程式商店經營者與開發者實踐準則」（Code of practice for app store operators and app developers），並規劃在未來九個月內要求Apple、華為、Microsoft等公司採行，以加強對消費者的隱私與資安保護。 　　根據該實踐準則之內容，APP商店經營者和開發者須滿足以下要求： （1）以友善使用者的方式與消費者共享資安和隱私資訊，如APP何時將無法在商店中取得、APP最近一次更新的時間、APP儲存與處理使用者資料的位置等。 （2）即便消費者禁用部分可選的功能與權限（如不允許APP使用麥克風或追蹤使用者位置），該APP仍可正常執行。 （3）制定穩定且具透明性的APP審查程序，以確保滿足實踐準則中資安與隱私最低要求的APP方能在商店內上架。 （4）當APP因資安或隱私原因無法於商店內上架時，向開發者提供明確的反饋。 （5）制定妥適的弱點揭露程序如聯絡表單（contact form），使軟體缺陷可在非公開（避免受駭客利用）的情況下被報告及解決。 （6）確保開發者即時更新其APP，以減少APP中的安全弱點數量。 　　總體而言，實踐準則要求APP必須具備相關程序，使安全專家能夠向開發者報告軟體弱點、確保安全性更新對消費者足夠醒目，以及將資安與隱私資訊透過明確易懂的方式提供給消費者。

　　日本2011年個人資料外洩事件及事故的件數比前年減少為1551件，但洩漏的個人資料筆數卻超過前年一成以上，約有600萬筆個人資料外洩。從數字來看預估的賠償金額是超過1900億日幣。 　　日本網路資安協會（JNSA）與資訊安全大學研究所的原田研究室及廣松研究室共同針對報紙集網路媒體所報導的個人資料外洩相關事件及事故所進行的調查所做的結論。 　　新力集團旗下的海外公司雖然發生合計超過1億筆的大規模個人資料外洩的意外，但此一事故並無法明確判別是否屬於個人資料保護法的適用範圍，因此從今年的調查對象裡排除。 　　在2011年發生的資料外洩事件有1551件，比起前年的1679件減少128件，大約跟2009年所發生的個人資料外洩差不多水準。外洩的個人資料筆數總計約628萬4363筆，與前年相較約增加70萬筆。平均1件約洩漏4238筆個人資料。 　　將事故原因以件數為基礎來分析，可以發現「操作錯誤」佔全體的34.8％為第一位，其次是「管理過失」佔32％，再接下來是「遺失、忘記帶走」佔13.7％。但以筆數來看，值得注意的是「管理過失」佔37.7％最多，但「操作錯誤」就僅有佔2.3％的少數。 　　再以佔全體事件件數5％的「違法攜出」就佔了全體筆數的26.9％；在佔全體件數僅有1.2％的「違法存取」卻在筆數佔了20.9％，可以看到平均每一件的受害筆數有開始膨脹的傾向。 　　再者從發生外洩原因的儲存媒體來看，紙本佔了以件數計算的68.7％的大多數，以USB記憶體為首的外接式記憶體佔了10.1％；但以筆數計算的話，外接式記憶體佔了59.1％、網路佔了25.5％的不同的發生傾向。 　　從大規模意外來看，金融機關與保險業界是最值得注意，前10件裡佔了7件。從發生原因來看，「違法攜出」及「內部犯罪」所造成的事故10件中有4件，其次是「管理過失」。規模最大的是山陰合同銀行的受委託人將業務所需的165萬7131件個人資料攜出的事故。 　　依據2011年所發生的事件及事故的預估賠償額是1899億7379萬日幣。遠超過前年的1215億7600萬日幣。平均一起事件預估損害賠償金額有1億2810萬日幣，每人平均預估賠償金額是4萬8533日幣。