美國通過最新的電子醫療紀錄之隱私與安全標準

　　美國聯邦貿易委員會（Federal Trade Commission, FTC）於2014年間以路由器(Router)與雲端服務的安全漏洞，導生消費者面臨資安與隱私風險之虞，而依據《聯邦貿易委員會法》第5條（Federal Trade Commission Act, 15 U.S.C. § 45(a)）委員會防止不公平競爭違法手段（unfair methods of competition unlawful ; prevention by Commission）之規定，即華碩涉嫌行使不公平或詐欺的手段致影響商業活動之公平競爭為由，對我國知名全球科技公司華碩電腦股份有限公司(ASUSTeK Computer, Inc.)進行起訴 。 　　本案歷經FTC近二年的調查程序後，華碩公司於2016年2月23日同意FTC的和解條件，即華碩公司應針對部分存在資安疑慮的產品依計畫進行改善，並且於未來20年期間內須接受FTC的獨立稽核(independent audits)。 FTC於該案的起訴報告中指出，華碩於銷售其所生產的路由器產品時，曾對消費者強調該產品具許多資安保障措施，具有得以防止使用者不受駭客攻擊等效果；然而，該產品實際上卻具有嚴重的軟體設計漏洞，使駭客得以在使用者未知的情況下，利用華碩路由器的網頁控制面板(web-based control panel)之設計漏洞，任意改變路由器的安全設定；更有專家發現駭客於入侵華碩製造之路由器產品後，得以強佔使用者的網路頻寬。 　　此外，華碩允許使用者沿用路由器產品的預設帳號密碼，再加上華碩所提供的AiCloud與AiDisk雲端服務功能，讓使用者得以隨身硬碟建立其私有的雲端儲存空間，使得駭客得藉由上述華碩路由器的設計漏洞直接竊取使用者於隨身硬碟內所儲存的資料。FTC並於起訴聲明中指出，駭客利用華碩路由器產品與相關服務的漏洞，於2014年間成功入侵超過12,900多位產品使用者的雲端儲存空間。除此之外，使華碩更加備受譴責的是，當該漏洞被發現之後，其並未主動向產品的使用者強調產品存在該資安問題，更未告知使用者應下載更正該設計漏洞的軟體更新，因此FTC始決定對華碩進行起訴。

從中國大陸第四次專利修訂草案初評我國廠商專利布局建議 資訊工業策進會科技法律研究所 法律研究員 方玟蓁 106年06月13日 壹、事件摘要 　　自2015年起「中華人民共和國專利法」進入第四次修正(以下簡稱草案)，「中國國家知識產權局」（SIPO）也對外公布了送交國務院審議的修訂草案送審稿[1]。雖因部分條款極具爭議性，各方意見尚未底定，然而由其修法動機，能見其積極因應市場變化的迫切需求，且將該需求直接反應在專利法律制度上，提出更新更高的要求。 　　因我國企業於中國大陸市場經營的比例偏高，故產業之專利布局及其策略上，也需持續瞭解中國大陸相關修法趨勢。有鑒於此，本文嘗試以其草案之部分新增條文，提供我國廠商於中國大陸布局時的建議參考。 貳、專利權的強化保護： 一、草案明訂專利間接侵權的法律責任 　　由於專利侵權現象在群體侵權、重複侵權較為嚴重，中國大陸為積極防止該種專利權侵害的發生，對於明知有關產品係專門用於實施專利的原物料、中間物、零部件、設備，未經專利權人授權，為生產經營目的將該產品提供給他人實施了侵犯專利權的行為，應當與侵權人負連帶責任；或對於明知有關產品、方法屬於專利產品或者專利方法，未經專利權人授權，為生產經營目的誘導他人實施了侵犯該專利權的行為，應當與侵權人負連帶責任[2]。雖法條目前的適用性仍有爭議，但從其修法說明[3]的精神可推知，此修正係為加強當侵權行為發生時，相關人所應負的侵權連帶責任。 　　對於我國在中國大陸經營之上游(供應原物料或設備等)業者而言，因難以判定其提供之產品是否為專門用於實施專利之特定原物料、中間物、零部件或設備，因此，若為中國大陸經營之我國上游業者，可於提供產品(原料、設備等)給下游業者時，簽訂禁止利用所提供之該產品去實施侵犯專利權的行為。 　　同理，對於我國在中國大陸經營事業，委託代工來說，也應避免「誘導」代工業者實施侵犯專利權的行為，以維護自身的權利。 二、草案明訂網路服務提供者的法律責任 　　草案修訂之目的係為解決在快速的互聯網產業發展中，於涉及專利侵權時，若等待司法程序判斷，恐會導致難以估計的損害。當網路服務提供者知道或應當知道其所提供之網路被用於專利仿冒或侵害時，該網路服務提供者須立即採取刪除、屏蔽、斷開侵權產品連結等必要措施予以制止；再者，當專利權人、利害關係人舉證證明並通知網路服務提供者時，或專利行政部門認定侵犯或假冒專利並通知網路服務提供者時，網路服務提供者若未及時採取必要措施，對於損害的擴大部分須與該網路用戶負連帶責任[4]。 　　在行動通訊與網路技術的快速發展下，除了在實務上常見的，透過網路服務提供者的管道侵害著作權，使用者亦可能經由網路服務提供者的平台，公開販售未經授權的仿冒或侵害專利權之產品，進而再被傳輸、流通的風險也隨之攀升。 　　然而，關於專利侵害之認定，判斷者需具備足夠的專利法學知識與專利相關之技術背景，這對於網路服務提供者來說，要自行判斷網路使用者的行為是否侵權，實屬困難。因此，對於專利權侵害的事前預防，我國網路服務相關業者可採取事先通知的方式，例如在會員條款上增加嚴禁侵害專利權的規定、或當使用者上傳或下載時跳出「禁止使用或散播侵害專利權之行為」的視窗；再者，對於專利侵權的監控與處置，網路服務相關業者可提供第三人通報的聯絡窗口，並搭配接獲通報後的處理流程，例如暫時取下或暫時停權後通報相關單位等措施；上述建議ㄧ方面係為減少侵權行為的擴大，另一方面係有助於網路服務提供者，當其在實際監督使用者行為時，減少其需自行認定使用者是否侵權的責任。 三、草案明訂延長設計專利的權限及完善設計專利標的 　　草案修訂之目的係為完善設計專利之保護標的。此次擴大納入「局部」[5]設計專利，以及延長保護期間從10年改為15年[6]。草案的修訂可改善以往於我國提「部分」設計專利[7]保護時，於中國大陸仍只能提「全部」設計的問題；此外，我國目前的修法方向亦為延長設計專利的權限從12年改為15年[8]。企業將來布局規劃時，可同步參考我國及中國大陸在設計專利上的修法趨勢，有助於專利布局上的策略擬訂。 參、專利實運用的促進 一、草案引進「當然授權」(中國大陸用語為當然許可)制度 　　在英國、德國、法國、印度、巴西、泰國、俄羅斯均有專利當然授權制度的規定[9]，雖然草案尚未有相關施行細則，但其主要特徵[10]如下： 專利權人事先以書面方式，向專利行政部門聲明其願意授權任何人實施其專利，經專利行政部門審查通過後公告實行授權；任何人意欲實施該當然授權之專利，應以書面方式通知專利權人，並支付授權費。 專利權人不得授予專屬授權、獨家授權[11]，僅得授予非專屬授權。因當然授權之立意在於可增進專利權之技術實施流通，此規定是欲避免專屬授權或獨家授權與當然授權之立意產生矛盾。 專利權人有權撤回已經公告的當然授權，同樣以書面方式向專利行政部門聲明，但撤回不具有溯及力，不影響先給予的當然授權效力。 　　我國現行專利法雖有關於強制授權的規定，但該強制授權之主要目的在於避免國家遭受緊急危難時受專利權之限制，例如在重大傳染性疾病期間，可能會強制相關的醫藥、醫材專利授權(專利法第87條[12])，而我國強制授權尚有實際運用於一般民間之企業競爭，其結果備受爭議的情況(飛利浦與國碩之強制授權案[13])。至於民間自願授權的部分仍屬申請人自行媒合技術，並個別簽訂授權合約，並無當然授權之相關規定及概念，使得專利權技術推廣的範圍受到限制。 　　草案所引進之「當然授權」制度，對於持有中國大陸專利權但難於尋找授權對象的企業而言，將多一種授權選擇方式。當然授權制度可減少搜尋、聯繫、簽訂合約的來回延宕，增加其專利授權之成功率，達到立即發揮專利在產業利用上的價值，亦有利於持有中國大陸專利權的企業發掘潛在需求市場而搶占先機。再者，對於欲在中國大陸實施專利技術的企業來說，亦可減少斡旋的時間，僅需依法定流程支付權利金後，即能實施當然授權的技術，進而有效率地將技術商品化並提早獲利。 二、草案明訂隱瞞標準必要專利的默許授權 　　標準制訂組織對於標準必要專利(Standard Essential Patent，SEP)的授權，分為有償、無償，其最重要的精神在於公平、合理且非歧視性(Fair, Reasonable And Non-Discriminatory，簡稱FRAND)。當企業在參與標準制訂時，若選擇以FRAND授權，則係指標準必要專利擁有者，其具有「意願」[14]授權標準使用者使用該技術。因此，草案修訂之目的除具體體現FRAND精神，更進一步規範參與國家標準制定者，若未揭露其擁有之標準必要專利，則視為其同意授權其他標準使用者使用該技術[15]，換言之，其企圖透過強制授權之法律效果，降低標準必要專利擁有者，利用隱瞞其標準必要專利之方式參與標準訂定，而於競爭中獲得不當之壟斷地位。 　　對於我國通訊相關業者而言，其在中國大陸經營時，通常為符合當地通訊規格，均避免不了去使用到標準必要專利技術，因此，草案的擬定方向，將有助於降低惡意隱瞞之標準必要專利的比例。換言之，若草案通過後，當我國通訊相關業者在中國大陸經營時，遭遇到標準必要專利的專利權人，以隱瞞其為標準必要專利的方式，進而提出不合理的授權金或拒絕授權時，我國企業將有機會於中國大陸依法請求國務院專利行政部門裁決，以保障自身的權利。 三、草案明訂職務發明的範疇 　　從草案將原條文中屬職務發明的「主要是利用本單位的物質技術條件」移除，看似為擴大實際從事發明之受雇人權利，然而於中國大陸《職務發明條例草案》[16]中關於職務發明的認定仍包含「主要利用本單位的資金、設備、零部件、原材料、繁殖材料或者不對外公開的技術資料等物質技術條件完成的發明，但是約定返還資金或者支付使用費，或者僅在完成後利用單位的物質技術條件驗證或者測試的除外」[17]；因此，目前中國大陸於職務發明的範疇認定上仍容有疑義，但若比較兩者的修法精神，或可推知其共通的部分，即關於專利權人的認定上主要仍依合約約定為主[18]。 　　對於我國在中國大陸經營的企業而言，因現階段關於職務發明的範疇仍於修法階段，我國企業除了需持續關切中國大陸有關職務發明認定的修法動向外，尚可先於合約上，針對「主要是利用本單位的物質技術條件」作明確、合理的界定和權利歸屬約定，並於合約約定當受雇人從事非職務發明時的告知義務[19]，以減少關於專利申請權、專利權所有人的爭議問題。 肆、專利執法的效率提升及透明化 一、草案明訂增設設區的市級及法律授權的縣級專利行政部門 　　草案增設專利行政部門係為加強專利行政部門對於故意侵害專利權行為之調查權力，且增加專利行政部門之專利侵權取締、專利市場監督、專利訊息大眾化之職權。其中部門除原省級外，另增設區的市級及法律授權的縣級專利行政部門[20]，以達積極掃蕩仿冒與侵害專利權行為之目的。 　　草案修訂的方向試圖協助專利權人維權，持有中國大陸專利權的我國企業也可更積極保護自身權利免於被仿冒或侵害機率，同理，我國企業於中國大陸經營時，也應極力避免對於他人專利權的侵害。 二、草案明訂全國信用訊息平台 　　由於專利權具有無形性，以及侵權行為具有隱蔽性的特點，導致專利維權舉證難、週期長、成本高、賠償低、效果差[21]；因此，草案修訂係透過專利行政部門建立的專利權保護信用訊息檔案，以納入全國信用訊息共享交換平台[22]，進而杜絕侵權行為人重複侵害專利權。該全國信用訊息共享交換平台係用於將各企業之行為訊息登錄其中，以此公開揭露各企業之專利侵權之相關信用，以增加各企業對於預防專利侵權之積極性。 　　我國企業未來可透過該信用平台，輔助其於選擇對象上(如選擇供應商或客戶)的判斷。此外，為避免侵害他人權利，從開始研發、申請專利、取得專利權、具體實施的過程中，企業都應持續確認有關專利權利的合法性、有效性，以及是否有涉及他人專利保護範圍的可能性，倘因誤觸他人權利範圍而被公開不良記錄，恐將減損企業之商譽。 伍、總結 　　由此次中國大陸專利法修正草案的方向可推知，其係為預防侵權、加強取締專利侵權的執行力，並提升專利權的授權實施率。倘若草案通過，則我國在中國大陸市場經營的企業將首當其衝，故企業需密切追蹤中國大陸專利法法令的修正趨勢，以擬定相應的專利布局策略。 　　對於我國在中國大陸經營的上游原料或設備供應業者、委託代工業者、代工業者、網路服務相關業者、及通訊相關業者而言，草案皆有與其相對應的修法趨勢，可參考本文依據草案修訂之各部分所提供對於我國企業之建議。 　　有鑒於此，建議我國企業應盡早落實智財教育訓練、權利歸屬約定、完善內部智財管理制度、極力減少於源頭端的侵權情事等，以利於專利制度與企業運作的正向循環，進而提升我國企業於中國大陸發展之競爭力。 [1]《中華人民共和國專利法修訂草案（送審稿）》，(國務院法制辦公室2015.12.2)，可參見http://www.sipo.gov.cn/ztzl/ywzt/zlfjqssxzdscxg/xylzlfxg/201512/t20151202_1211994.html (最後瀏覽日：2017/06/13)。 [2]《中華人民共和國專利法修訂草案（送審稿）》，第62條，(國務院法制辦公室2015.12.2)。 [3] 中華人民共和國國家知識產權局，<國家知識產權局關於“中華人民共和國專利法修訂草案（送審稿）”的說明> ，http://www.sipo.gov.cn/ztzl/ywzt/zlfjqssxzdscxg/xylzlfxg/201512/t20151202_1211994.html (最後瀏覽日：2017/6/13)。 [4]《中華人民共和國專利法修訂草案（送審稿）》，第63條，(國務院法制辦公室2015.12.2)。 [5]《中華人民共和國專利法修訂草案（送審稿）》，第2條，(國務院法制辦公室2015.12.2)。 [6]《中華人民共和國專利法修訂草案（送審稿）》，第42條，(國務院法制辦公室2015.12.2)。 [7]智慧財產局，<何謂部分設計？>，https://www.tipo.gov.tw/ct.asp?xItem=504152&ctNode=7633&mp=1 (最後瀏覽日：2017/06/13)。 [8]智慧財產局，< 106年度智慧財產權業務座談會自6月28日起舉辦，歡迎各界踴躍報名>，https://www.tipo.gov.tw/ct.asp?xItem=624733&ctNode=7127&mp=1 (最後瀏覽日：2017/06/13)。 [9]張洋，《我國專利當然授權制度的適用性及完善》，《知識產權》，第6期，頁120(2016)，可參見http://www.pkulaw.cn/fulltext_form.aspx?Db=qikan&Gid=1510164167 (最後瀏覽日：2017/06/13)。 [10] 中華人民共和國國家知識產權局，<我國引入專利當然許可制度的必要性>，http://www.sipo.gov.cn/zlssbgs/zlyj/201703/t20170331_1309183.html (最後瀏覽日：2017/06/13)。 [11]智慧財產局，<何謂專屬授權？何謂非專屬授權？何謂獨家授權？>，https://www.tipo.gov.tw/ct.asp?xItem=504364&ctNode=7633&mp=1 (最後瀏覽日：2017/06/13)。 [12]我國專利法第87條：「為因應國家緊急危難或其他重大緊急情況，專利專責機關應依緊急命令或中央目的事業主管機關之通知，強制授權所需專利權，並儘速通知專利權人。有下列情事之一，而有強制授權之必要者，專利專責機關得依申請強制授權： (一)增進公益之非營利實施。 (二)發明或新型專利權之實施，將不可避免侵害在前之發明或新型專利權，且較該在前之發明或新型專利權具相當經濟意義之重要技術改良。 (三)專利權人有限制競爭或不公平競爭之情事，經法院判決或行政院公平交易委員會處分。 就半導體技術專利申請強制授權者，以有前項第一款或第三款之情事者為限。 專利權經依第二項第一款或第二款規定申請強制授權者，以申請人曾以合理之商業條件在相當期間內仍不能協議授權者為限。 專利權經依第二項第二款規定申請強制授權者，其專利權人得提出合理條件，請求就申請人之專利權強制授權」。 [13]智慧財產局，<智慧局作成廢止國碩公司特許實施飛利浦公司5項CD-R專利權之處分>，https://www.tipo.gov.tw/ct.asp?xItem=316777&ctNode=7123&mp=1 (最後瀏覽日：2017/06/13)。 [14]姚玉鳳，《標準必要專利的產生流程及實踐中的若干問題》，中國電信集團公司，北京出版社，頁164-166(2016)，可參見http://www.infocomm-journal.com/dxkx/CN/article/openArticlePDFabs.jsp?id=157479 (最後瀏覽日：2017/06/13)。 [15]《中華人民共和國專利法修訂草案（送審稿）》，第85條，(國務院法制辦公室2015.12.2)。 [16]《職務發明條例草案(送審稿)》，(國務院法制辦公室2015.4.2)，可參見http://www.sipo.gov.cn/ztzl/ywzt/zwfmtlzl/tlcayj/201504/P020150413381965255411.pdf (最後瀏覽日：2017/6/13)。 [17]《職務發明條例草案(送審稿)》，第7條，(國務院法制辦公室2015.4.2)。 [18]《職務發明條例草案(送審稿)》，第9條，(國務院法制辦公室2015.4.2)。 [19]《職務發明條例草案(送審稿)》，第10條，(國務院法制辦公室2015.4.2)。 [20]《中華人民共和國專利法修訂草案（送審稿）》，第3條，(國務院法制辦公室2015.12.2)。 [21]中華人民共和國國家知識產權局，<國家知識產權局關於“中華人民共和國專利法修訂草案（送審稿）”的說明> ，http://www.sipo.gov.cn/ztzl/ywzt/zlfjqssxzdscxg/xylzlfxg/201512/t20151202_1211994.html (最後瀏覽日：2017/6/13)。 [22]中華人民共和國國家知識產權局，<國家知識產權局專利訊息服務平台試驗系統>，http://www.sipo.gov.cn/wxfw/zlwxxxggfw/hlwzljsxt/hlwzljsxtsyzn/201406/t20140624_970340.html (最後瀏覽日：2017/06/13)。

　　根據2005年一項統計調查指出，員工超過一千人的公司中，36.1％對員工從公司內部外寄的電子郵件加以監視，而同時亦有26.5％的公司正準備對員工由公司內部發送的電子郵件加以監視。若是以員工超過二萬人的公司來看，更有高達40％的公司已然利用過濾科技對員工外寄的電子郵件加以監視，而正準備利用相關科技對員工外寄的電子郵件加以監視的公司亦高達32％。 　　然而根據歐洲人權法院近日所做出的判決，不論公司是否訂有清楚的員工使用政策，一旦公司並未告知員工其在公司內的通訊或電子郵件往來可能會受到公司的監視，則該公司將可能違反歐洲人權公約(European Convention on Human Rights)。 　　該案例乃是由於一位任職於英國南威爾斯之卡馬森學院(Carmarthenshire College)的員工—Lynette Copland發現自己的網路使用情形及電話均遭到工作單位之監視，憤而向歐洲法院提出告訴。由於卡馬森學院並未提醒員工在工作場合之電子郵件、電話或其他通訊可能遭到監視，因此Lynette Copland之律師主張當事人在工作場合之電話、電子郵件、網路使用等其他通訊都應具有合理的隱私權期待，而受到歐洲人權公約第8條的保障。歐洲法院判決Lynette Copland可獲得約5910美元之損害賠償以及1,1820美元之訴訟費用。

　　維吉尼亞州最高法院以維吉尼亞州電腦犯罪法(Virginia Computer Crimes Act)中關於垃圾郵件之條文違反美國憲法第一修正案對言論自由之保護，於2008年9月12日判定該條文違憲。 　　2003年時，維吉尼亞州檢方為追查垃圾郵件發送人，而搜索居住於加州地區之Jeremy Jaynes，據信Jeremy Jaynes透過發送垃圾郵件每月可獲利達75萬美元。在該次搜索過程中，維吉尼亞州檢方發現Jeremy Jaynes持有大量電子郵件位址資訊以及上百萬美國線上公司(AOL)用戶之電子郵件帳號及其他個人資訊，檢方便以維吉尼亞州電腦犯罪法中關於垃圾郵件之規範起訴他。Jeremy Jaynes在一審及二審均被判有罪，然其抗辯維吉尼亞州電腦犯罪法中關於垃圾郵件規範之條文違反美國憲法第一修正案所保障之言論自由。 　　維吉尼亞州最高法院認為，電腦犯罪法中關於垃圾郵件之規範並不以商業性電子郵件為限，則包含政治性言論以及宗教性言論之非商業性電子郵件亦將受到此一條文之限制。有鑑於發表匿名言論乃是美國憲法第一修正案所保護之言論自由的一環，該法條即必須通過嚴格審查標準，亦即該管制規範必須係為達州之重大公共利益之侵害最輕微的手段，電腦犯罪法之該條文並無法通過此一審查標準之檢驗，故而判定違憲。