香港CEPA第三次補充協議關於知識產權保護之內容與影響

美國華盛頓州《我的健康我的資料法》（My Health, My Data，以下簡稱該法）於2024年3月31日生效，該法係於2023年4月27日通過。目標在於保護華盛頓州消費者的健康資料，特別是生殖健康相關資料（data related to reproductive healthcare）。所拘束對象並不在HIPAA之監管範圍內，包括穿戴式裝置（wearables）、特定零售購物和非HIPAA 所規範之遠距醫療服務（telehealth services）所蒐集之資料。 該法最繁瑣合規要求之一為，受監管對象必須在其主頁上公佈消費者健康資料相關隱私權政策（下統稱隱私權政策）連結，連結必須為獨立、特定且不得包含該法所未要求之額外資訊。另針對小型企業，則設有三個月之緩衝時間，即應於 2024 年 6 月 30 日前遵循該要求。 隱私權政策必須清楚且醒目地揭露以下內容： 1. 所蒐集之健康資料類別和蒐集目的，包括將如何使用這些資料； 2. 所蒐集健康資料來源及類別； 3. 共享之健康資料類別； 4. 共享消費者健康資料的第三方或相關企業之類別；以及 5. 消費者如何行使該法所賦予之權利，包括撤銷同意和要求刪除之權利。 最重要的是，除特殊情形外（即1.已揭露其他特定目的2.取得消費者對其他特定目的所為蒐集、使用、揭露之明確同意），受監管對象不得基於隱私權政策中未明確揭露之任何其他目的，蒐集、使用或共享消費者健康資料。 若違反該法相關規定，即被視為違反《華盛頓州消費者保護法》（the Washington Consumer Protection Act），可由華盛頓州總檢察長提出強制執行。另該法為美國第一部保護大量健康資料之法律，顯現對消費者資料保護監管逐漸嚴格之趨勢。

日本建立物聯網產品資安符合性評鑑及標籤制度（JC-STAR），助消費者提升產品資安識別 資訊工業策進會科技法律研究所 2025年10月30日 壹、事件摘要 為因應物聯網（Internet of Things，簡稱IoT）產品日趨嚴重的資安威脅，日本陸續訂定針對物聯網產品資安之國內法規與政策方針，除了為強化物聯網產品之資安要求以外，藉由具體的資安評級要求，適用不同類型的物聯網產品，再透過資安標籤制度以區別產品，提升產品之資安識別，以供消費者選購時參考。據此，本文觀測日本近期建立的JC-STAR制度與其所適用國內法規，供我國未來參考與借鏡。 貳、重點說明 一、日本JC-STAR制度背景與目的 日本資訊處理推動機構（独立行政法人情報処理推進機構，Information-Technology Promotion Agency, Japan，簡稱IPA），依日本經濟產業省於2024年8月23日所公布之《IoT產品資安符合性評鑑制度建構方針》政策架構下[1]，建立了《物聯網產品資安符合性評鑑及標籤制度》（セキュリティ要件適合評価及びラベリング制度，Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements，簡稱JC-STAR），並於2025年7月29日完成《物聯網產品資安符合性評鑑與標籤制度之基本規章》[2]（セキュリティ要件適合評価及びラベリング制度の基本規程，簡稱本規章）之最終修訂，建立了JC-STAR制度的框架。本規章將物聯網產品的定義、產品所需的附隨服務（含數位服務等）、可提供驗證服務之單位、第三方監督、廠商自我宣告機制、資安符合性基準、評鑑與評鑑報告書、資安符合性標籤及分級機制等多種要件、適用對象與要求事項明確化，確立了以星等為評級的JC-STAR資安標籤制度框架。此外，JC-STAR制度針對物聯網產品採購方、使用方等不同的資安需求，透過附有資安標籤的產品以供各自選購時為考量，因此JC-STAR制度有以下二點優勢： （一） 較易滿足政府或企業的採購標準 針對政府機關或企業等所需採購的物聯網產品，事前已透過共通性的適用標準，將物聯網產品資安進行評鑑分級，並將評鑑流程可視化管理，不僅使產品符合各組織或單位的資安防護需求，同時使產品選購更加便利。 （二） 確保特定領域事業或行業等符合資安法規要求 基於特定領域事業或行業可能有特殊的資安需求，通過符合性評鑑的物聯網產品，因經第三方驗證後以最高等級的標籤呈現，故可確保符合特定領域事業團體之特殊資安需求，或配合指定使用，以確保其採購之物聯網產品均具備合規性。 二、日本JC-STAR框架與資安要求 日本JC-STAR制度是結合歐洲電信標準協會（ETSI）網路安全技術委員會於2022年6月所公布的《網路安全暨隱私保護標準》（ETSI EN 303 645），以及美國國家標準與技術研究所（NIST）於2022年9月公布的《消費者物聯網產品之核心基準》（NISTIR 8425）等適用標準，並經日本官方改定調整成為適用於日本國內之獨特制度。[3]JC-STAR是基於日本官方所定義之物聯網產品符合性標準（涉及資安技術要求事項等），確認物聯網產品是否符合資安要求以及進行可視化的管理。JC-STAR將物聯網產品區分成四種星級，詳述如下： （一） 一星級（★1） 物聯網產品須符合產品共通性之要求，並適用最低限度之資安要求事項，倘若產品已滿足相關要求事項，由產品供應商自我宣告即可。 （二） 二星級（★2） 視物聯網產品的類型、功能特徵等因素，於一星級以上增訂基礎的資安要求事項，倘若產品已滿足相關要求，仍由產品供應商自我宣告即可。 （三） 三星級（★3） 視物聯網產品的使用對象，包含政府機關、關鍵基礎設施或相關業者、地方政府或人民團體、大型企業之關鍵系統等，依產品類型、功能特徵等因素，訂定共通性之資安要件，並須由獨立第三方進行驗證，並須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。 （四） 四星級（★4） 適用程序上雖與三星級相同，依產品類型、功能特徵等因素，訂定共通性之資安要件，並由獨立第三方進行驗證，須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。惟物聯網產品中，諸如通信設備等所適用的資安要求及相關風險層級較高，因此為最高防護等級。 值得注意的是，日本正積極與新加坡、英國、美國、歐盟等各國專責機關等交涉中[4]，預計將JC-STAR制度與各國物聯網產品制度相互承認並使其與國際接軌。 參、事件評析 日本透過國內政策方針及訂定規章，結合其他先進國家的資安標準，建立了屬於日本自己的物聯網產品資安標籤JC-STAR制度。主要將各種不同類型的物聯網產品，賦予不同星等評級，供一般消費者或政府、企業法人等選購時參考，具體提升針對物聯網產品的資安識別。此外，依產品適用對象或風險層級不同，適用不同程度的資安要求事項。倘若涉及政府或企業法人等採購需求，則可能適用三星或四星等級，且產品均須經獨立第三方進行評鑑後，才能取得符合性評鑑報告書，並添附資安標籤。 因此，JC-STAR並非僅針對政府或公部門單位採購適用，而是擴及日本國內產業或是一般消費者，因此日常中物聯網產品的使用，均受到全面性的資安保障。另一方面，倘若未來日本JC-STAR制度受到其他各國承認，即代表物聯網產品可在已簽署承認的國家間受到信任而流通產品，故可望大幅降低日本國內物聯網產品供應鏈符合國際法規或契約要求的成本，有助於提升產業競爭力。據此，日本以資安標籤提升消費者識別，並有物聯網產品資安驗證機制之整體性規劃，均可供我國推動物聯網產品資安治理政策之未來借鏡與參考。 [1]〈IoT製品に対するセキュリティ適合性評価制度構築方針〉，経済産業省，https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/pdf/20240823_1.pdf （最後瀏覽日：2025/10/13）。 [2]〈セキュリティ要件適合評価及びラベリング制度の基本規程〉，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj90000003563-att/JSS-01.pdf （最後瀏覽日：2025/10/13）。 [3]〈IoT製品のセキュリティ確保に向けて ～セキュリティ要件適合評価及びラベリング制度（JC-STAR*）の紹介～〉，頁25，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj9000000gg60-att/JC-STARsetumeikai_1.pdf （最後瀏覽日：2025/10/13）。 [4]〈ファクトシート：岸田総理大臣の国賓待遇での米国公式訪問〉，日本外務省，https://www.mofa.go.jp/files/100652150.pdf （最後瀏覽日：2025/10/13）。

　　美國聯邦第六巡迴上訴法院於2016年4月13日就U.S. v. Timothy Ivory Carpenter & Timothy Michael Sanders案作出判決，裁定執法機關在未取得搜索令的情況下要求出示或取得手機位置記錄，並不違反憲法增修條文第4條。美國憲法增修條文第4條規定：「人人具有保障人身、住所、文件及財物的安全，不受無理之搜索和拘捕的權利；此項權利，不得侵犯；除非有可成立的理由，加上宣誓或誓願保證，並具體指明必須搜索的地點，必須拘捕的人，或必須扣押的物品，否則一概不得頒發搜索令。」 　　本案事實係聯邦調查局取得兩名涉及多起搶劫案之嫌疑人的手機位置，而根據手機位置之相關資料顯示，於相關搶案發生之時間前後，該二名嫌疑人均位於事發地半英哩至兩英哩的範圍內，故該二名嫌疑人隨後被控多項罪名。在肯認與個人通訊相關之隱私法益的重要性的同時，聯邦第六巡迴上訴法院認為，「縱使個人通訊之內容落於私領域，但是為了將該些通訊內容自A地至B地所必須之資訊，則非屬私領域之範疇。」聯邦第六巡迴上訴法院拒絕將憲法增修條文第4條的保護延伸至像是個人通訊或IP位址等之後設資料(metadata)，其原因在於，蒐集此等資訊或記錄並不會揭露通訊的內容，因此本案之嫌疑人就聯邦調查局所取得之資訊並無隱私權之期待。法院認定，此等行為不同於自智慧型手機取得資訊，因為後者「通常而言儲存了大量有關於特定使用人之資訊。」 　　2015年11月9日，美國聯邦最高法院拒絕審理Davis v. United States案，該案係爭執搜索令於執法部門要求近用手機位置資料時之必要性。加州州長Jerry Brown於2015年10月亦簽署加州電子通訊法(California Electronic Communications Act, CECA)，該法禁止任何州政府的執法機關或其他調查單位，在未出示搜索令的情況下，要求個人或公司提供具敏感性之後設資料。

　　歐盟智慧財產局(EUIPO)於2022年9月28日發布了2022年《中小企業智慧財產記分板(Intellectual Property SME Scoreboard 2022)》。EUIPO從2016年起進行本項調查，希望可以瞭解中小企業的現況，持續強化中小企業的智慧財產權保護。本次調查在2019年調查的基礎上，於2022年3月至5月間，針對歐盟境內8,372間中小企業進行調查。 　　根據本次的調查，有10%的中小企業擁有註冊的智慧財產權，在這10%的中小企業中，有93%的企業表示註冊智財權對其營運產生正面效益，包含： 1.有60%的企業表示能提高其商譽或形象。 2.有58%的企業表示能強化其智慧財產的保護。 3.有48%的企業表示能促進其長期的商業前景。 　　其次，在這10%的中小企業中，有45%的企業透過出售、授權或間接利用其註冊的智慧財產權促進企業發展，其中已有超過三分之一（36%）的企業成功獲得經濟收益。 　　此外，根據調查，企業註冊智慧財產權的主要原因包含： 1.有66%的企業表示有助於防止他人侵害其產品或服務（66%）。 2.有65%的企業表示有助於提升公司的價值和形象（65%）。 3.有63%的企業表示法律狀態穩定性更高（63%）。 　　再者，企業不願意註冊智慧財產權的理由包含： 1.有35%的企業表示無法預見註冊能帶來的好處。 2.有20%的企業表示其智慧資產(Intellectual Asset)創新性不足。 3.有19%的企業表示不瞭解註冊的相關程序。 　　最後，在這10%的企業中，有15%的企業表示曾被侵權，導致其營業額和商譽受損；其中以商標侵權的比例最高。在這些曾被侵權的企業中，有89%已採取相關措施捍衛其智慧財產權，包含： 1.有43%的企業與侵權者直接談判。 2.有31%的企業發送侵權通知(takedown notice)。 3.有29%的企業提起訴訟。 　　中小企業是歐盟經濟的支柱，但根據統計，只有大約30-60%的中小企業存活超過5年；為了提升中小企業的競爭力，歐盟持續推動各項政策鼓勵中小企業採取智慧財產權保護其創新研發，以提升歐盟經濟的整體發展。 　　本文同步刊登於TIPS網站（https://www.tips.org.tw）