解析生技製藥研發成果涉及智慧財產保護之新課題

歐盟智慧財產局（EUIPO）為打擊仿冒，保護歐盟消費者及智慧財產權人，於2023年5月31日宣布正式啟動產品的區塊鏈物流認證計畫（European Blockchain Services Infrastructure - European Logistics Services Authentication, 簡稱EBSI-ELSA）。 根據EUIPO與經濟合作暨發展組織（OECD）於2021年發布的研究指出，全球仿冒產品的貿易額高達4120億歐元，占全球貿易總額的2.5%；每年輸入歐盟的產品約有6%是仿冒產品，嚴重影響歐盟的經濟發展、消費者的健康及安全、智慧財產權人（歐盟品牌企業）的權益。 從2019年至今，EUIPO一直努力研擬透過區塊鏈技術保護智慧財產的具體方案。2022年底，EUIPO與4個不同產業的品牌企業（包含汽車業、電子業、醫藥業、服飾業）、物流業者、荷蘭海關進行一個合作的試驗計畫，內容為透過區塊鏈技術追蹤產品於海外製造後，運送至歐盟銷售的歷程軌跡，以達到認證產品為智慧財產權人生產的目標。該試驗計畫於2023年5月完成概念驗證（proof of concept）。 本計畫結合區塊鏈服務基礎設施（European Blockchain Services Infrastructure, EBSI）及數位分身（digital twins）的概念，於生產、運送、海關查驗、配送至消費者的各階段中，在產品上嵌入一個含有序列化代碼（serialization code）的標籤，該代碼必須經產品所屬智慧財產權人的可驗證憑證（Verifiable Credentials, VCs）認證，結合歐盟智慧財產權相關資料庫的資料，以確認產品與其數位分身的連結。 EUIPO將於2023年底前，正式建置一個開源的區塊鏈認證平台，介接執法機構的風險分析系統，以及商標資料庫（TM View）、設計資料庫（Design View）、歐盟執法入口網（IP Enforcement Portal, IPEP）、歐盟區塊鏈智慧財產註冊系統（IP Register in Blockchain），鼓勵供應鏈、物流鏈中的參與者於此平台上交換資料，以更有效率的方式達到認證產品來源真實性的目標。 EUIPO積極運用區塊鏈科技強化歐盟智慧財產的保護，本計畫除可避免消費者買到仿冒產品外，歐盟的品牌企業未來可於相關智財侵權訴訟中，提出區塊鏈紀錄作為證據，有效主張權益。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

歐盟執委會（European Commission）於2025年9月4日提出對於巴西的適足性認定草案，並且開始啟動相關程序。根據《一般資料保護規則》第45條規定，如歐盟境內之個人資料將傳輸至第三國或國際組織時，須經由歐盟執委會認定該第三國、第三國內之特定部門或國際組織之資料保護水準與歐盟境內基本相同，使得為之。該認定即為「適足性認定」，目前包含日本、韓國、加拿大、阿根廷及烏拉圭皆已取得適足性認定。 本次歐盟執委會所提出之適足性認定草案中，審酌了巴西《一般資料保護法》（Lei Geral de Proteção de Dados, LGPD）當中的目的限制、必要性、透明性、安全性及問責機制等原則，以及個資監管與執法之獨立機構「巴西資料保護局」（Autoridade Nacional de Proteção de Dados, ANPD）之角色，認定巴西國內的個人資料保護水準已達到與GDPR所要保護水準相同。 此外，ANPD於2024年發布，旨在使巴西具有與GDPR等隱私框架相同之跨境傳輸規範之國際資料傳輸規則，ANPS正依照該規則進行對歐盟進行法律評估，認定歐盟屬於符合LGPD之適當司法管轄區。如巴西通過對歐盟評估，將建立起鞏固雙方之間的監管力度及法律承認的互相承認機制。 歐盟執委會提出對於巴西之適足性認定草案，後續須經由歐洲資料保護委員會（European Data Protection Board, EDPB）審查並提出意見，並經過成員國代表參酌EDPB提出之意見並審查批准後，始得由歐盟執委會通過適足性認定。通過適足性認定後，將促進國際資料流動，並加強巴西與歐盟之間資料保護與監管領域方面的合作。

　　美國芝加哥地方法院於2016年01月04日肯認關於美國雅虎公司(Yahoo Inc)因於2013年3月對美國行動服務斯普林特公司(Sprint Corp)用戶散發垃圾訊息的團體訴訟。本件原為2014年由原告Rachel Johnson提訴，芝加哥地方法院法官Manish Shah認定本件原告已經充分主張本件團體訴訟的共通性，往後所有在2013年被發送該等訊息的用戶，都能加入本件訴訟集團提訴。而根據法院的文書資料，未來將會有超過50萬的斯普林特公司用戶能加入本件訴訟。 　　原告主張雅虎的簡訊服務向其以及其他斯普林特用戶寄發垃圾訊息而違反1991制定的電信消費者保護法(The Telecom Consumers Protection Act of 1991)。該等簡訊服務會將發信者的線上即時訊息轉為簡訊寄送至受信者的行動電話，同時系統會自動加入預設的「歡迎」訊息。依照電信消費者保護法規定，禁止以自動系統向使用者發送未得同意的簡訊、傳真或是撥打電話，違反者每一行為將被求償500~1500美元。因此本件若主張成立，雅虎將面臨每則訊息最高1500美元的損害賠償。 　　雅虎雖然主張該等訊息並非電信消費者保護法所禁止的擾人、極端巨量的通信，僅為對接收者已經收到來自其他發送者訊息的提醒而已。同時雅虎也主張若肯認該等團體訴訟，將導致損害賠償數額與原告所受損害不相當，而引發後續訴訟。法院並不接受雅虎的主張。現階段雅虎對法院的決定拒絕評論。

　　英國資訊專員辦公室（Information Commissioner's Office, ICO）於2019年12月20日發布首宗依據歐盟一般資料保護規則（General Data Protection Regulation, GDPR）之裁罰。 　　本案源於英國藥物及保健產品管理局（Medicines and Healthcare products Regulatory Agency, MHRA）接獲投訴前往倫敦當地一家名為Doorstep Dispensaree Ltd之連鎖藥局進行藥品違規調查，卻意外發現其後院存放大量敏感個資文件，約五十萬個文件檔案皆未做任何資料檔案保護措施，上面更記載名字、地址、出生日期、NHS號碼、醫療資料及處方籤等患者之個人資料，旋即通報英國資訊專員辦公室展開調查。最終英國資訊專員辦公室以該藥局違反歐盟一般資料保護規則（General Data Protection Regulation, GDPR）第5條1項第f款、第24條第1項及第32條，裁罰275,000英鎊。其裁罰理由如下： 一、隱私政策並不符合要求，如未述明蒐集個人資料之類別，未訂定個資保存期限，當事人告知聲明不完備，無當事人權利行使等。 二、無適當安全維護措施 三、涉及敏感性個資，違法情狀嚴重 四、未積極配合調查 五、影響層面甚深，導致該藥局配合之上百家療養院，近千名當事人個資受損害。 　　此為英國資訊專員辦公室首宗依據歐盟一般資料保護規則確定裁罰之案例且涉及敏感性個資，有其指標性。除此之外，英國航空與萬豪酒店之個資外洩案亦欲依GDPR進行裁罰，實值持續關注後續發展。