法國法院判決：政府獨占賭博事業 　違法

　　自西元2017年1月以來，英國稅務海關總署（Her Majesty's Revenue and Customs, HMRC）開始要求英國民眾使用線上語音方式進行身分認證，而民眾的聲音檔案亦被儲存至英國稅務海關總署的語音資料庫內。英國資訊委員辦公室（Information Commissioner's Office, ICO）深入調查後發現英國稅務海關總署的語音身分認證系統存在下列兩種違法情形： 未能向民眾充分揭露、告知民眾其語音、聲紋等生物識別資料如何被處理等資訊。 蒐集民眾的生物識別資料時，未能給予民眾自由行使同意或拒絕權利的機會。 　　英國資訊委員辦公室認為英國稅務海關總署前開情形已經違反了歐盟一般資料保護規則（General Data Protection Regulation, GDPR），根據歐盟一般資料保護規則，英國稅務海關總署在蒐集、處理或利用民眾個人資料時，必須合法、公正及透明，並應取得民眾的明確同意。英國資訊委員辦公室後續將要求英國稅務海關總署應刪除違法蒐集的生物識別資料。 　　本次英國資訊委員辦公室的執法行動是基於2018年5月25日生效的歐盟一般資料保護規則與英國2018年資料保護法（The Data Protection Act 2018），英國資訊委員辦公室強調創新的數位服務雖有助於民眾的生活更輕鬆，但絕不能以犧牲民眾的隱私為代價，同時也隱約透露著：「沒有一個組織（包含政府機關）能夠凌駕於法律之上。」。

　　2015年11月3日德國杜塞道夫地方法院（以下稱德國法院）依據歐盟法院之《華為訴中興》案(Huawei v ZTE case, 16 July 2015, Case C- 170/13)的先決裁判發出第一例禁制令(Cases 4a O 144/14) (Nov. 3, 2015)。這個判決係義大利公司SISVEL公司認為青島海爾德國公司（以下稱海爾公司）侵害其有關GPRS及 UMTS無線網路專利組合之標準專利，並已經對海爾公司發出專利侵權通知，並發出授權要約，海爾公司則抗辯認為，SISVEL僅通知其母公司而未通知其分公司，且其授權要約不符合FRAND原則。 　　德國法院認為，SISVEL只要將足夠的專利侵權資訊及授權要約通知海爾母公司進而據以判斷是否與SISVEL展開授權協商即可，若要求專利權人亦須一一通知其分公司，則將流於形式。 　　其次，海爾公司雖因認為SISVEL要求之授權金過高，故拒絕SISVEL的授權要約並提出反向要約，但卻未在提出反向要約後之合理期間內依據歐盟法院在《華為訴中興》案先決裁判中之見解，對SISVEL提供保證金以擔保其授權協議尚未達成前對SISVEL專利之使用費用。故德國法院進一步對前述合理期間給予確切期間，即拒絕專利權人要約時起一個月內。 　　至於海爾公司主張SISVEL授權要約不符合FRAND原則之抗辯，德國法院認為因海爾公司未履行前述程序，故尚無須判斷SISVEL授權要約是否FRAND原則。故何種情形屬於符合FRAND原則，仍留由後續之實務見解加以補充。

　　隨著個人資料保護意識的興起，各國也持續增修法律來保護人民權益以及協調產業標準，但這變動的過程會對本來就複雜的法律結構帶來更多挑戰。 　　如美國同時會有聯邦法與州法兩個層次的法律，當兩者分別發展隱私權相關法律規範時，難免會缺乏協調，出現定義不明的重疊規範，進而提高企業之法令遵循成本與管理成本。最終導致的結果，就是非必要地降低了產業發展速度，以及提高了消費者獲得服務的成本。 　　日前美國加州政府修改了首部以消費者個人資料權利為規範之州級法律「加州消費者隱私保護法（California Consumer Privacy Act, CCPA）」，使該部法案對於個人資料保護與利用之規範日漸完備，並減少與聯邦政府重複管轄項目，進而達到合理降低州內企業的遵法成本。美國加州州長紐松（Gavin Newsom）簽署的CCPA修正案「AB-713號法案」（Assembly Bill No. 713, an act to amend Sections 1798.130 and 1798.145 of the Civil Code ）通過後，CCPA之適用範圍將限縮。若「同時符合」下列二者條件，則可免受CCPA規範： 受「加州醫療資訊保密法」（the California’s Confidentiality of Medical Information Act, CMIA）所規範的的醫療資訊及個人健康資訊之衍生資訊，或受「美國聯邦受試者保護通則」（Federal Common Rule for human research subjects) 所規範的可識別之個人資訊。 根據「健康保險可攜性及責任法」（Health Insurance Portability and Accountability Act, HIPPA）之標準，已去識別化的資訊。 　　換言之，已經依HIPAA標準去識別化之第一點資訊，即可豁免CCPA針對個人資料保護之相關規定。此將減輕本身不受 HIPAA 規範，但因進行研究或業務目的需接收 HIPPA 去識別化資訊企業之合規負擔。 　　「AB-713號法案」對於已去識別化資訊之利用或販售行為，增設了契約須載明下列規範架構之條款內容： 如有利用或販售去識別化資訊涉及病患資料者，須在契約中予以聲明。 禁止買受人或被授權利用人以任何方式重新識別去識別化資訊。 除法律另有規定，或第三方受到相同或更嚴格限制之個資保護約束，買受人或被授權利用人不得將去識別化資訊再行揭露予第三方。 　　「AB-713號法案」亦要求進行CCPA所涵蓋販售或揭露去識別化病患資訊的企業，其隱私政策聲明應納入以下內容： 將出售或揭露去識別化病患之資訊； 採用HIPAA所允許如專家法(Expert determination)或安全港法(Safe harbor)等之何種方式，進行病患資訊之去識別化。 　　整體來說，「AB-713號法案」讓CCPA的規範稍加鬆綁，明確排除CCPA對特定去識別化資訊之適用，並擴張對研究行為之豁免範圍，在處理上有更多彈性，惟同時也要求企業須充分揭露其個人資料處理原則。