資通安全法律案例宣導彙編 第3輯

　　德國新營業秘密保護法(The new German Trade Secrets Act, TSA)其中一個亮點即為：除非有明確契約或其他法規要求，逆向工程是合法的，其規範於該法第3條第1款，德國以往舊法（不正競爭防止法）並未特別明文，我國營業秘密法亦同。現今企業應盡快透過調整契約內容、保密政策或保密技術來防止該類法所「允許」之情形發生[1]，以避免供應鏈間之風險。德國法律專家提出有關「制定合作契約」建議供參： 禁止條款應有期間明文：契約起草禁止逆向工程條款時需注意其法律效力。法明文允許進行逆向工程，也代表著可促進企業市場參與並能從現有技術中受益做進一步發展。如契約一律禁止形同限制經濟自由，無論該條款訂於平行契約（如研發契約）或於垂直契約（如授權契約），往後遇有爭議恐被法院認為條款無效。故可折衷於「期間」加以限制，禁止逆向工程直到產品或服務上市為止，基本上企業只有在確信可以收回成本情況下才會投資於新技術開發。合理而言應在產品或服務公開上市後，才可以對產品或服務進行逆向工程。 注意誠實信用原則並延長條款效力：現行法就禁止逆向工程與否可由締約雙方協議。該禁止條款並不當然有違德國民法第307條第2項誠實信用原則而不利益於締約雙方之情況。但為避免仍有違誠實信用原則疑慮，契約可明確約定於產品或服務上市前不限制締約人使用相對人產品或服務並從中發現技術或資訊，也確保該期間內營業秘密所有權人之營業秘密專有權。合作契約亦可約定禁止條款於契約提早終止一定期間內仍有效。 [1]Dr. Henrik Holzapfel，New german law on the protection of trade secrets, https://www.mwe.com/insights/new-german-law-protection-trade-secrets/ (last visisted Sep.25,2019).

　　自從2004年聯合國發布之「Who Cares Wins」文件首次提及ESG原則，近年來國際企業不斷倡導ESG原則，即企業針對環境（Environmental）、社會（Social）、公司治理（Governance）三大面向之要求。歐盟從一開始倡導呼籲企業遵守ESG原則的階段逐漸發展為將ESG原則融入具有法律效力之規範。目前歐盟針對ESG原則擁有兩大基石，也就是2019年11月頒布的「歐盟永續財務揭露規則」（Sustainable Finance Disclosure Regulation）以及2020年6月頒布的「永續經濟活動分類規則」（Taxonomy Regulation）。 　　「永續經濟活動分類規則」係起源於歐盟委員會於2018年3月發布之「歐盟關於金融永續發展行動計畫」。直到2020年6月，歐洲議會與歐盟理事會終於共同公布「永續經濟活動分類規則」，該法規的目的為：為歐盟建立一個統一通用的法律框架，以分類經濟活動是否具有環境永續性。該法規規定所有金融商品都必須根據該分類規則進行分類。對於宣佈具有環境永續性之商品，皆必須揭露如何適用分類規則以及符合該分類規則；而針對不符合環境永續性之其他商品（包括那些具有ESG目標但不具備環境永續性的商品）將必須提出聲明該金融商品未符合歐盟的永續經濟活動分類規則。 　　而針對金融商品是否具備環境永續性，需視其是否對於下列事項作出重大貢獻。例如：減緩氣候變化；適應氣候變化；水和海洋資源的持續利用和保護；發展可循環性經濟；污染防治；生物多樣性和生態系統的保護和恢復。 　　「永續經濟活動分類規則」雖然於2020年6月公布，並於同年7月12日生效，但其中許多重要規定仍尚未明文，須待後續授權之施行細則規範。重要時程如下： 2020年12月31日通過就氣候相關目標的科技篩選標準之施行細則。 預計於2021年12月31日通過就所有其他環境相關目標的科技篩選標準之施行細則。 預計於2022年1月1日達成氣候相關之目標。 預計於2023年1月1日達成所有其他環境相關之目標。 　　隨著歐盟「歐盟永續財務揭露規則」以及「永續經濟活動分類規則」的發展，逐漸將ESG原則融入法規中，可以明顯看出國際間對於ESG原則愈發要求。我國金管會亦跟隨國際潮流，於2020年8月公布之「綠色金融行動方案2.0」提及永續金融之概念，是以，我國企業亦應著重企業自身針對ESG原則之要求，以與國際趨勢接軌。

　　隨著英國國家健康服務（National Health Service, NHS）的改革，英國於去（2012）年3月27日通過衛生和社會照護法（The Health and Social Care Act 2012）。當中一項主要的變革即是成立衛生與社會照護資訊中心（The Health and Social Care Information Centre, HSCIC）作為醫療健康資料的專責機構。而這樣的變革，也影響過去病歷資料的蒐集、分享和分析方式。依據衛生和社會照護法的規定，HSCIC若受到衛生部長（Secretary of State for Health）指示、或來自照護品質委員會（Care Quality Commission, CQC）、英國國家健康與臨床卓越研究院（National Institute for Health and Clinical Excellence, NICE）、醫院監管機構Monitor的命令要求時，在這類特定情況之下，可以無需尋求病患同意，而從家庭醫師（GP Practice）處獲得病患的個人機密資料（Personal Confidential Data, PCD）。 　　今(2013)年3月獲NHS授權， 由HSCIC於6月開始執行的care.data服務，即是依據前述立法所擬定之方案。care.data藉由定期蒐集醫療照護過程中的相關資料，對病患於國內所為的各項健康和社會照護資訊（例如病患的住院、門診、意外事故和緊急救護記錄）進行具延續性之連結。以提供即時、正確的NHS治療和照護資訊給民眾、門診醫師和相關部門之官員，進而達到care.data所設定的六項目標，支援病患進行治療的選擇、加強顧客服務、促進資訊透明性、優化成果產出、增加問責性，並驅動經濟成長。 　　然而，由於care.data是以英國民眾就醫行為中，屬於基礎醫療的家庭醫師（General Practitioner, GP）系統為基礎，所提取的資料包括家族歷史、接種疫苗、醫師診斷、轉診記錄、生理指標，以及所有NHS處方。其次，care.data在進行初級和次級資料連結時，將會透過NHS號碼、生日、性別和郵遞區號，這四項可識別資料的比對。因此雖然care.data在涉及敏感性資料時會加以排除，但此項服務仍引起社會上相當大的爭議。包括部分醫師、隱私專家和的社會團體皆提出質疑，質疑care.data是否有充分告知病人、HSCIC所宣稱的匿名性是否足夠、此項服務對醫病關係的衝擊、該服務所宣稱的資料分享退出機制（opt-out）並未妥善等。 　　care.data是NHS所推出的創新資料現代化服務，但同時也涉及病患隱私權保護之議題。反觀我國近來所推動的醫療健康資訊加值再利用政策，英國的案例值得我們持續觀察其發展。