美國藥品CGMP規範關於製劑部分修正之觀察

2025年6月19日，英國《2025年資料（使用與存取）法》（Data（Use and Access）Act 2025，下簡稱DUA法）正式生效。DUA法的宗旨是在《英國一般資料保護規則》（United Kingdom General Data Protection Regulation, UK GDPR）的基礎上，放寬在特定情形下執法機關、企業與個人使用資料的限制，以提升資料管理及使用的便利性。 DUA法預計將於2025年8月開始分階段實施，重點如下： (1) 放寬自動化決策（Automated Decision-Making, ADM）條件：依據UK GDPR規定，個人有不受純粹基於自動化處理且產生法律效果或類似重大影響之決策所拘束之權利。此項規範確立自動化決策之原則性禁止，僅於符合特定例外事由時始得為之。DUA法則放寬此一限制，未來企業只要確保有向當事人提供自動化決策的資訊、決策結果申訴的管道，以及得人為干預設計之保障措施以後，即可做出對個人有重大影響的自動化決策。 (2) 資料主體存取請求權（Subject Access Request, SAR）規範明確化：當事人有權向持有自身個資的單位請求查閱，DUA法明訂組織在收到請求後應回應的時間，而當事人請求的範圍也應合理且合於比例，避免組織浪費人力搜索不重要的資訊。 (3) 建立有效申訴管道：規定任何使用個人資料的組織都必須設立有效的申訴機制、提供電子化申訴管道、並回報處理結果，若訴求未獲得解決，當事人即可向英國資訊專員辦公室（Information Commissioner’s Office, ICO）提出申訴。 (4) 科學研究得採概括同意機制，商業研究亦屬適用範疇：DUA法明確指出，基於科學研究目的，研究人員於確保適當個人資料保護措施之前提下，得以概括同意（broad consent）方式取得當事人之同意，以利進行科學研究活動。DUA法並明確界定科學研究之範疇可涵蓋商業研究（commercial research），擴大其適用領域。 (5) 允許網站直接使用Cookie：網站與應用程式的儲存與存取技術（Storage and Access Technologies）在低風險情況下，可不取得使用者事前同意，即紀錄使用者瀏覽紀錄。 DUA法將於2025年8月開始分階段實施。如何在科技發展的便利性與個人資料的安全性間取得平衡，是當代社會不容忽視的議題，可持續觀察追蹤英國施行DUA法的成效供我國參考。

　　隨著個人資料保護意識的興起，各國也持續增修法律來保護人民權益以及協調產業標準，但這變動的過程會對本來就複雜的法律結構帶來更多挑戰。 　　如美國同時會有聯邦法與州法兩個層次的法律，當兩者分別發展隱私權相關法律規範時，難免會缺乏協調，出現定義不明的重疊規範，進而提高企業之法令遵循成本與管理成本。最終導致的結果，就是非必要地降低了產業發展速度，以及提高了消費者獲得服務的成本。 　　日前美國加州政府修改了首部以消費者個人資料權利為規範之州級法律「加州消費者隱私保護法（California Consumer Privacy Act, CCPA）」，使該部法案對於個人資料保護與利用之規範日漸完備，並減少與聯邦政府重複管轄項目，進而達到合理降低州內企業的遵法成本。美國加州州長紐松（Gavin Newsom）簽署的CCPA修正案「AB-713號法案」（Assembly Bill No. 713, an act to amend Sections 1798.130 and 1798.145 of the Civil Code ）通過後，CCPA之適用範圍將限縮。若「同時符合」下列二者條件，則可免受CCPA規範： 受「加州醫療資訊保密法」（the California’s Confidentiality of Medical Information Act, CMIA）所規範的的醫療資訊及個人健康資訊之衍生資訊，或受「美國聯邦受試者保護通則」（Federal Common Rule for human research subjects) 所規範的可識別之個人資訊。 根據「健康保險可攜性及責任法」（Health Insurance Portability and Accountability Act, HIPPA）之標準，已去識別化的資訊。 　　換言之，已經依HIPAA標準去識別化之第一點資訊，即可豁免CCPA針對個人資料保護之相關規定。此將減輕本身不受 HIPAA 規範，但因進行研究或業務目的需接收 HIPPA 去識別化資訊企業之合規負擔。 　　「AB-713號法案」對於已去識別化資訊之利用或販售行為，增設了契約須載明下列規範架構之條款內容： 如有利用或販售去識別化資訊涉及病患資料者，須在契約中予以聲明。 禁止買受人或被授權利用人以任何方式重新識別去識別化資訊。 除法律另有規定，或第三方受到相同或更嚴格限制之個資保護約束，買受人或被授權利用人不得將去識別化資訊再行揭露予第三方。 　　「AB-713號法案」亦要求進行CCPA所涵蓋販售或揭露去識別化病患資訊的企業，其隱私政策聲明應納入以下內容： 將出售或揭露去識別化病患之資訊； 採用HIPAA所允許如專家法(Expert determination)或安全港法(Safe harbor)等之何種方式，進行病患資訊之去識別化。 　　整體來說，「AB-713號法案」讓CCPA的規範稍加鬆綁，明確排除CCPA對特定去識別化資訊之適用，並擴張對研究行為之豁免範圍，在處理上有更多彈性，惟同時也要求企業須充分揭露其個人資料處理原則。

　　莫德納公司（Moderna）於2022年8月26日對輝瑞（Pfizer）/BNT公司提出專利侵權訴訟，主張輝瑞之Comirnaty疫苗侵害其RNA平台技術，引發各界關注，因此舉不僅為兩大COVID-19疫苗藥廠之間之專利戰爭，同時可能引發莫德納違反其專利承諾（Patent Pledge）之疑慮，從而衍生專利承諾效力問題之爭議。 　　莫德納曾於2020年10月8日於該公司官網上自願承諾：「於大流行繼續的同時，莫德納不會針對那些旨在製造對抗大流行疫苗的公司，主張我們與COVID-19相關之專利」（第一次專利承諾），而後於2022年3月7日，莫德納更改其承諾（第二次專利承諾），永遠不會針對在Gavi COVAX預先市場承諾（Advance Market Commitment, AMC）中之92個中低收入國家、或為這些國家生產疫苗之公司主張莫德納之COVID-19疫苗專利，且前提是生產之疫苗僅用於AMC之92個國家。莫德納對於輝瑞侵權訴訟之聲明亦與更新後之承諾一致，其僅請求2022年3月8日後輝瑞COVID-19疫苗侵害莫德納專利之損害賠償，而未請求2022年3月7日前之損害賠償責任。 　　惟莫德納單方面更改其專利承諾並提起訴訟之行為仍引發眾多爭議，主要包括莫德納第一次專利承諾是否有法律上之拘束力、後續更改其專利承諾之行為是否有效、這些行為之影響為何等問題。就第一次專利承諾而言，目前有認為其具有法律上之拘束力，其可能可被視為一種「公共授權」（public license）行為，為專利權之書面授權且適用於任何希望接受授權者；退步言之，即使該授權未成立，莫德納基於「承諾禁反言」（promissory estoppel）之法理，亦不能隨意撤回該承諾或追溯撤銷其已授予之權利；且由於第一次承諾中所述之「大流行繼續（while the pandemic continues）」之條件在世界衛生組織未宣告疫情結束之前仍然存續，該承諾應仍繼續有效。惟亦有認為莫德納應得以第二次專利承諾可取代第一次專利承諾，而自2022年3月起主張其專利權者。 　　本案針對專利承諾之效力引發許多討論，未來於此訴訟案件中法院如何評價莫德納之專利承諾以及對於其效力之認定，亦可能影響現有之專利承諾生態：若企業可任意收回、更改其承諾，並於後續得以訴訟手段提告運用其專利之第三人，或有可能影響公眾對於專利承諾信任或利用意願；而若專利承諾不能任意修改，企業須受自身之承諾嚴格拘束，則未來或許即使社會遭遇危機，企業亦不敢貿然發布專利承諾應對危難。因此，此案後續發展將對整體專利承諾與授權影響重大，值得持續進行關注及了解。

　　FCC經過討論與投票，正式發佈命令將電力線寬頻上網服務分類為跨州資訊服務（interstate information service），而非電信服務，其他寬頻上網科技包括DSL、有線電纜線數據機寬頻上網亦被FCC分類為資訊服務。 　　過去幾年來，FCC一直大力支持電力線寬頻上網服務，期望電力線寬頻上網服務可以進入寬頻服務市場，與DSL和有線電視纜線數據機寬頻上網服務競爭，以增加寬頻服務市場之競爭，提高美國之寬頻普及率。而就此次所發佈之命令，FCC認為，將電力線寬頻上網分類為資訊服務將可使電力線寬頻上網服務受到較低的管制，有助於達成隨時隨地提供所有美國民眾寬頻接取之目標。其次，FCC在數位匯流時代之管制乃是期望能對於各種不同技術之寬頻接取平台給予一致的管制措施，並且對於相同之服務採取相同的管制方式。基於上述原因，FCC此次將電力線寬頻上網分類為資訊服務並不讓人感到意外。 　　FCC主席Kevin J. Martin進一步在其聲明中表示，雖然目前電力線寬頻上網人口並不多，然在2005年其成長率卻將近200％，顯見電力線寬頻上網服務之市場潛力不容忽視，將可幫助達成美國總統定下於2007年底前隨時隨地提供全國民眾寬頻網路接取之目標。