解析中國江蘇省「企業知識產權管理規範」之內容與對台商的影響

　　英國數位、文化、媒體暨體育部於2018年3月8日公布「安全設計（Secure by Design）」報告，此報告目的在於使IoT設備製造商於製程中即採取具有安全性之設計，以確保用戶之資訊安全。 　　此報告中包含了一份經英國國家網路安全中心（National Cyber Security Centre, NCSC）、製造商及零售商共同討論後，提出之可供製造商遵循之行為準則（Code of Practice）草案。 　　此行為準則中指出，除設備製造商之外，其他包含IoT服務提供者、行動電話軟體開發者與零售商等也是重要的利益相關人。 　　其中提出了13項行為準則：1. 不應設定預設密碼（default password）；2. 應實施漏洞揭露政策；3. 持續更新軟體；4. 確保機密與具有安全敏感性的資訊受到保護；5. 確保通訊之安全；6. 最小化可能受到攻擊的區域；7. 確保軟體的可信性；8. 確保個資受到妥善保障；9. 確保系統對於停電事故具有可回復性；10. 監督自動傳輸之數據；11. 使用戶以簡易的方式刪除個人資訊；12. 使設備可被容易的安裝與維護；13. 應驗證輸入之數據。 　　此草案將接受公眾意見，並於未來進一步檢視是否應立相關法律。

　　2014年Akamai Technologies針對最高法院提起上訴，因此發回聯邦巡迴法院重審，而後上訴法院認為Limelight Networks確實侵害Akamai的專利，Akamai並獲得$ 45.5萬美元的損害賠償。 2006年，Akamai Technologies公司（下稱Akamai）在美國馬薩諸塞州地方法院起訴Limelight Networks（下稱Limelight），指控Limelight侵害Akamai美國專利號6108703。原告Akamai的專利是有效傳送網頁內容的方法專利。而被告Limelight是經營伺服器網路的公司，和Akamai該專利的差別在於Limelight指示用戶完成其中一個修改的步驟。 　　本案從2006年一直持續到2014年向最高法院上訴為止，都是依據美國專利法第271條規定直接和間接侵權的概念。在原審認為「實施該方法專利」的侵權行為，是要求實施方要獨立完成該侵權行為，所以Limelight不能被視為直接侵權。又因為Limelight公司並沒有滿足單一實體規則（single-entity rule），控制或指示（control or direction）其實施方完成其他的專利之方法步驟，所以不用負共同侵權責任。 　　但上訴聯邦巡迴法院一致贊成Akamai被侵權，並指出如果被告 Limelight知道並使用專利權人Akamai的專利，而且執行大部分的步驟，只保留一項步驟未執行，進而引誘用戶執行該方法專利的最後一個步驟，且用戶真的執行了該最後一步驟， Limelight就構成美國專利法271(b)間接侵權中的引誘侵權。

　　美國參眾議院於2020年12月2日通過《外國公司問責法》（Holding Foreign Companies Accountable Act），並於12月18日由總統簽署生效。該法要求所有查核美國公開發行公司的國內外會計師事務所，應根據美國證券交易法規，向「美國上市公司會計監督委員會」（Public Company Accounting Oversight Board, PCAOB）註冊並接受監督；若是該外國公司連續三年不配合PCAOB審查，將禁止該公司的證券在任何美國證券交易所掛牌交易。 　　2002年《沙賓法案》（Sarbanes-Oxley Act）授權PCAOB制訂審計準則；然而PCAOB在外國公司監管方面面臨挑戰，截至2020年9月，中國及香港共有17家在PCAOB註冊登記的會計師事務所，為203家公開發行中國公司簽署審計報告，總市值達1.6兆美元；但中資企業援引中國大陸證券交易法、國家秘密法、檔案法及「關於加強在境外發行證券與上市相關保密和檔案管理工作的規定」，要求工作底稿等檔案應存放於中國境內，若境外監理機關（例如美國PCAOB），欲對某間中國公司進行審計，則應事先向中國證監督管理委員會和主管部門報告並經批准後由雙方合作進行，藉此規避PCAOB檢查，已不當損害美國投資人利益；故本次國會通過《外國公司問責法》參考2020年7月「總統金融市場工作小組」（The President's Working Group on Financial Markets, PWG）發布的《保護美國投資者免受中國公司重大風險報告》（Report on Protecting United States Investors from Significant Risks from Chinese Companies），要求在美國上市的中國大陸公司，由PCAOB實施獨立監管，並查閱公司主要工作記錄及審計底稿，若不遵守規定，美國證券交易委員會（United States Securities and Exchange Commission, SEC）應要求該中國大陸公司從美國證交所下市；達到保護美國投資者、降低新興市場投資風險、提高證券交易所上市標準之目標。 　　此外，若公司所聘僱的會計師事務所在外國司法管轄區域內有辦公室或分支機構，而PCAOB無法對其進行有效監管，該公司即必須證明其不受外國政府所有或控制，並在審計報告中揭露以下資訊：（1）外國政府擁有註冊發行公司的股份百分比；（2）外國政府是否享有財務控制權；（3）與中國共產黨官員相關的任何訊息；（4）發行公司章程內是否載有中國共產黨工作事項等。

　　歐盟資料保護主管機關（European Union Data Protection Authorities, EU DPAs，以下簡稱DPAs）所組成的第二十九條資料保護工作小組（The Article 29 Working Party，以下簡稱WP29） ，於2014年11月26日宣布將適用5月13日Google西班牙案（C-131/12）判決結果之指導方針（guideline）。該項宣示確立了被遺忘權效力所及之範圍，以及各國DPAs受理資料主體（data subject）所提出訴訟之標準。 　　WP29表示，一如該判決所示，將連結於搜尋結果清單中移除，必須以全球網域為範圍，才能使資料主體權利受到完整、有效之保護，並且所依據歐盟資料保護指令95/46/EC才不至於受到規避。因此，儘管搜尋引擎營運者如Google認為，該項指令效力僅限制於歐洲，以及全球網域中低於5%歐洲網路使用戶，所以他們只需要將具爭議的連結，從歐盟網域的用戶搜尋結果中移除即可。但WP29則強調，倘若判決僅以歐盟網域為限制範圍，對於欲為歐盟公民隱私保護的立意來說，可能將無法全面保護。鑑此，歐洲隱私監管機構（Europe’s privacy regulators）亦於2014年11月26日表示，搜尋引擎營運者如Google公司，將連結於搜尋結果清單中移除，必須以全球網域為範圍，而非只是僅以歐盟境內網域為資料主體得要求實行被遺忘權（right to be forgotten）的範圍，以符合歐洲法院判決的要求結果。 　　自該判決所確立之資料保護權利主張，以資料主體發現某一搜尋係以其姓名為基礎，而搜尋結果的清單顯示通往含有該個人資訊網頁之連結，則資料主體得直接與搜尋引擎營運者聯絡（approach）；次之，若搜尋引擎營運者不允其要求，資料主體則得轉向各國DPAs，在特定情形下，要求將該連結從搜尋結果清單之移除 。係該判決以歐盟資料保護指令95/46/EC為法規依據，經由釐清相關爭點、樹立指導方針及準則（criteria），謹分別列出如下： （一）搜尋結果是否連結至個人資訊，並且包含資料主體之姓名、筆名或暱稱； （二）是否資料主體在公領域居有重要角色或具公眾形象，以及是否公眾應具有取得前述資料之法益； （三）是否資料主體為少數例子，（意即顯見DPAs可能要求移除該搜尋結果） （四）是否資料具正確性； （五）是否資料具關聯性且不過份，並(a)連結至資料主體之工作生活；(b)搜尋結果（the search result）連結至據稱對訴訟者為憎恨、評論、毀謗、汙辱或具侵犯性資訊；(c)資料清楚反映為個人意見，或顯然受過驗證為事實。 （六）是否根據資料保護指令第8條，該資料具敏感性如個人健康狀況、性向或宗教信仰； （七）是否該資料已經過時，或是對於資料處理目的來說，其存在已為冗贅； （八）是否該資料處理已足生對資料主體之偏見，並且對其隱私已具有不對等的負面影響； （九）是否搜尋結果與資料連結，已造成資料主體暴露於危險威脅，例如竊取身分或受到跟蹤； （十）是否資料主體(a)自願使公眾知悉其資訊內容，或(b)可合理據知其所資訊內容將使公眾所知悉，或(c)意圖使公眾知悉其資訊內容； （十一）原有資訊是否以新聞目的為出版，而該項標準不得單獨為拒絕請求移除之基礎； （十二）資訊之出版者是否具有法律依據或義務，使該個人資料得公諸於世； （十三）是否該資料涉及刑事犯罪，而應由DPAs以公權力使犯罪者資訊公諸於世，原則上DPAs可能考慮對犯罪發生年代相對久遠、犯行較輕者，為搜尋結果之移除；而較不可能對近期發生、犯行嚴重者，為搜尋結果之移除。 　　以上13項準則皆立基於大眾取得資料權之法益為衡量，供各國依個案判斷是否受理資料主體所提出訴訟，以俾利未來各國DPAs處理相關爭訟之遵循依據。