澳洲法院正審理乳癌或卵巢癌基因檢測產品可專利性訴訟

解析雲端運算有關認驗證機制與資安標準發展 科技法律研究所 2013年12月04日 壹、前言 　　2013上半年度報載「新北市成為全球首個雲端安全認證之政府機構」[1]，新北市政府獲得國際組織雲端安全聯盟( Cloud Security Alliance, CSA )評定為全球第一個通過「雲端安全開放式認證架構」之政府機構，獲頒「2013雲端安全耀星獎」（2013 Cloud Security STAR Award），該獎項一向是頒發給在雲端運用與安全上具有重要貢獻及示範作用之國際企業，今年度除了頒發給旗下擁有年營業額高達1200億台幣「淘寶網」的阿里巴巴集團外，首度將獎項頒發給政府組織。究竟何謂雲端認證，其背景、精神與機制運作為何？本文以雲端運算相關資訊安全標準的推動為主題，並介紹幾個具有指標性的驗證機制，以使讀者能瞭解雲端運算環境中的資安議題及相關機制的運作。 　　資訊安全向來是雲端運算服務中最重要的議題之一，各國推展雲端運算產業之際，會以提出指引或指導原則方式作為參考基準，讓產業有相關的資訊安全依循標準。另一方面，相關的產業團體也會進行促成資訊安全標準形成的活動，直至資訊安全相關作法或基準的討論成熟之後，則可能研提至國際組織討論制定相關標準。 貳、雲端運算資訊安全之控制依循 　　雲端運算的資訊安全風險，可從政策與組織、技術與法律層面來觀察[2]，涉及層面相當廣泛，包括雲端使用者實質控制能力的弱化、雲端服務資訊格式與平台未互通所導致的閉鎖效應（Lock-in）、以及雲端服務提供者內部控管不善…等，都是可能發生的實質資安問題 。 　　在雲端運算產業甫推動之初，各先進國以提出指引的方式，作為產業輔導的基礎，並強化使用者對雲端運算的基本認知，並以「分析雲端運算特色及特有風險」及「尋求適於雲端運算的資訊安全標準」為重心。 一、ENISA「資訊安全確保架構」[3] 　　歐盟網路與資訊安全機關（European Network and Information Security Agency, ENISA）於2009年提出「資訊安全確保架構」，以ISO 27001/2與BS25999標準、及最佳實務運作原則為參考基準，參考之依據主要是與雲端運算服務提供者及受委託第三方（Third party outsourcers）有關之控制項。其後也會再參考其他的標準如SP800-53，試圖提出更完善的資訊安全確保架構。 　　值得注意的是，其對於雲端服務提供者與使用者之間的法律上的責任分配（Division of Liability）有詳細說明：在資訊內容合法性部分，尤其是在資訊內容有無取得合法授權，應由載入或輸入資訊的使用者全權負責；而雲端服務提供者得依法律規定主張責任免除。而當法律課與保護特定資訊的義務時，例如個人資料保護相關規範，基本上應由使用者與服務提供者分別對其可得控制部分，進行適當的謹慎性調查（Due Diligence, DD）[4]。 　　雲端環境中服務提供者與使用者雙方得以實質掌握的資訊層，則決定了各自應負責的範圍與界限。 　　在IaaS（Infrastructure as a Service）模式中，就雲端環境中服務提供者與使用者雙方應負責之項目，服務提供者無從知悉在使用者虛擬實體（Virtual Instance）中運作的應用程式（Application）。應用程式、平台及在服務提供者基礎架構上的虛擬伺服器，概由使用者所完全主控，因此使用者必須負責保護所佈署的應用程式之安全性。實務上的情形則多由服務提供者協助或指導關於資訊安全保護的方式與步驟[5]。 　　在PaaS（Platform as a Service）模式中，通常由雲端服務提供者負責平台軟體層（Platform Software Stack）的資訊安全，相對而言，便使得使用者難以知悉其所採行的資訊安全措施。 　　在SaaS（Software as a Service）模式中，雲端服務提供者所能掌控的資訊層已包含至提供予使用者所使用的應用程式（Entire Suite of Application），因此該等應用程式之資訊安全通常由服務提供者所負責。此時，使用者應瞭解服務提供者提供哪些管理控制功能、存取權限，且該存取權限控制有無客製化的選項。 二、CSA「雲端資訊安全控制架構」[6] 　　CSA於2010年提出「雲端資訊安全控制架構」（Cloud Controls Matrix, CCM），目的在於指導服務提供者關於資訊安全的基礎原則、同時讓使用者可以有評估服務提供者整體資訊安全風險的依循。此「雲端資訊安全控制架構」，係依循CSA另一份指引「雲端運算關鍵領域指引第二版」[7]中的十三個領域（Domain）而來，著重於雲端運算架構本身、雲端環境中之治理、雲端環境中之操作。另外CCM亦將其控制項與其他與特定產業相關的資訊安全要求加以對照，例如COBIT與PCI DSS等資訊安全標準[8]。在雲端運算之國際標準尚未正式出爐之前，CSA提出的CCM，十分完整而具備豐富的參考價值。 　　舉例而言，資訊治理（Data Governance）控制目標中，就資訊之委託關係（Stewardship），即要求應由雲端服務提供者來確認其委託的責任與形式。在回復力（Resiliency）控制目標中，要求服務提供者與使用者雙方皆應備置管理計畫（Management Program），應有與業務繼續性與災害復原相關的政策、方法與流程，以將損害發生所造成的危害控制在可接受的範圍內，且回復力管理計畫亦應使相關的組織知悉，以使能在事故發生時即時因應。 三、日本經產省「運用雲端服務之資訊安全管理指導原則」[9] 　　日本經濟產業省於2011年提出「運用雲端服務之資訊安全管理指導原則」，此指導原則之目的是期待藉由資訊安全管理以及資訊安全監督，來強化服務提供者與使用者間的信賴關係。本指導原則的適用範圍，主要是針對機關、組織內部核心資訊資產而委託由外部雲端服務提供者進行處理或管理之情形，其資訊安全的管理議題；其指導原則之依據是以JISQ27002（日本的國家標準）作為基礎，再就雲端運算的特性設想出最理想的資訊環境、責任配置等。 　　舉例而言，在JISQ27002中關於資訊備份（Backup）之規定，為資訊以及軟體（Software）應遵循ㄧ定的備份方針，並能定期取得與進行演練；意即備份之目的在於讓重要的資料與軟體，能在災害或設備故障發生之後確實復原，因此應有適當可資備份之設施，並應考量將備份措施與程度的明確化、備份範圍與頻率能符合組織對於業務繼續性的需求、且對於儲存備份資料之儲存媒體亦應有妥善的管理措施、並應定期實施演練以確認復原程序之有效與效率。對照於雲端運算環境，使用者應主動確認雲端環境中所處理之資訊、軟體或軟體設定其備份的必要性；而雲端服務提供者亦應提供使用者關於備份方法的相關訊息[10]。 参、針對雲端運算之認證與登錄機制 一、CSA雲端安全知識認證 　　CSA所推出的「雲端安全知識認證」（Certificate of Cloud Security Knowledge, CCSK），是全球第一張雲端安全知識認證，用以表示通過測驗的人員對於雲端運算具備特定領域的知識，並不代表該人員通過專業資格驗證（Accreditation）；此認證不能用來代替其他與資訊安全稽核或治理領域的相關認證[11]。CSA與歐盟ENISA合作進行此認證機制的發展，因此認證主要的測試內容是依據CSA的「CSA雲端運算關鍵領域指引2.1版（英文版）」與ENISA「雲端運算優勢、風險與資訊安全建議」這兩份文件。此兩份文件採用較為概略的觀念指導方式，供讀者得以認知如何評估雲端運算可能產生的資訊安全風險，並採取可能的因應措施。 二、CSA雲端安全登錄機制 　　由CSA所推出的「雲端安全登錄」機制（CSA Security, Trust & Assurance Registry, STAR），設置一開放網站平台，採取鼓勵雲端服務提供者自主自願登錄的方式，就其提供雲端服務之資訊安全措施進行自我評估（Self Assessment），並宣示已遵循CSA的最佳實務（Best Practices）；登錄的雲端服務提供者可透過下述兩種方式提出報告，以表示其遵循狀態。 　　(一)認知評價計畫（Consensus Assessments Initiative）[12]：此計畫以產業實務可接受的方式模擬使用者可能之提問，再由服務提供者針對這些模擬提問來回答（提問內容在IaaS、PaaS與SaaS服務模式中有所不同），藉此，由服務提供者完整揭示使用者所關心的資訊安全議題。 　　(二)雲端資訊安全控制架構（CCM）：由服務提供者依循CCM的資訊安全控制項目及其指導，實踐相關的政策、措施或程序，再揭示其遵循報告。 　　資安事故的確實可能使政府機關蒙受莫大損失，美國南卡羅萊納州稅務局（South Carolina Department of Revenue）2012年發生駭客攻擊事件，州政府花費約2000萬美元收拾殘局，其中1200萬美元用來作為市民身份被竊後的信用活動監控，其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 　　另一方面，使用者也可以到此平台審閱服務提供者的資訊安全措施，促進使用者實施謹慎性調查（Due Diligence）的便利性並累積較好的採購經驗。 三、日本-安全・信頼性資訊開示認定制度 　　由日本一般財團法人多媒體振興協會（一般財団法人マルチメディア振興センター）所建置的資訊公開驗證制度[13]（安全・信頼性に係る情報開示認定制度），提出一套有關服務提供者從事雲端服務應公開之資訊的標準，要求有意申請驗證的業者需依標準揭示特定項目資訊，並由認證機關審查其揭示資訊真偽與否，若審查結果通過，將發予「證書」與「驗證標章」。 　　此機制始於2008年，主要針對ASP與SaaS業者，至2012年8月已擴大實施至IaaS業者、PaaS業者與資料中心業者。 肆、雲端運算資訊安全國際標準之形成 　　現國際標準化組織（International Organization for Standardization, ISO）目前正研擬有關雲端運算領域的資訊安全標準。ISO/IEC 27017（草案）[14]係針對雲端運算之資訊安全要素的指導規範，而ISO/IEC 27018（草案）[15]則特別針對雲端運算的隱私議題，尤其是個人資料保護；兩者皆根基於ISO/IEC 27002的標準之上，再依據雲端運算的特色加入相應的控制目標（Control Objectives）。 [1]http://www.ntpc.gov.tw/web/News?command=showDetail&postId=277657 (最後瀏覽日:2013/11/20) [2]European Network and Information Security Agency [ENISA], Cloud Computing: Benefits, Risks and Recommendations for Information Security 53-59 (2009). [3]ENISA, Cloud Computing-Information Assurance Framework (2009), available at http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework . [4]ENISA, Cloud Computing-Information Assurance Framework 7-8 (2009). [5]ENISA, Cloud Computing-Information Assurance Framework 10 (2009). [6]CSA, Cloud Controls Matrix (2011), https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [7]CSA, CSA Guidance For Critical Areas of Focus in Cloud Computing v2 (2009), available at https://cloudsecurityalliance.org/research/security-guidance/#_v2. (last visited Nov. 20, 2013). [8]https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [9]日本経済産業省，クラウドサービスの利用のための情報セキュリティマネジメントガイドライン（2011），http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html，（最後瀏覽日：2013/11/20）。 [10]日本経済産業省，〈クラウドサービスの利用のための情報セキュリティマネジメントガイドライン〉，頁36（2011）年。 [11]https://cloudsecurityalliance.org/education/ccsk/faq/（最後瀏覽日：2013/11/20）。 [12]https://cloudsecurityalliance.org/research/cai/ （最後瀏覽日：2013/11/20）。 [13]http://www.fmmc.or.jp/asp-nintei/index.html （最後瀏覽日：2013/11/20）。 [14]Information technology - Security techniques- Security in cloud computing (DRAFT), http://www.iso27001security.com/html/27017.html (last visited Nov. 20, 2013). [15]ISO/IEC 27018- Information technology -Security techniques -Code of practice for data protection, controls for public cloud computing services (DRAFT), http://www.iso27001security.com/html/27018.html (last visited Nov. 20, 2013).

日本政府於今（2023）年3月10日，閣議通過不正競爭防止法等一系列智財法律修正案，包括商標法、不正競爭防止法、意匠法（設計專利）、特許法（發明專利）、實用新案法（新型專利）、工業所有權特例法等智財相關六法修正案。5月11日送第211回國會（眾議院）審議中。 本次智財法律修正案，係為求智慧財產進行適當的保護與提升智慧財產制度的便利性，並確保國內外事業者間公平競爭，修法擴充他人商品型態的仿冒態樣，創設基於商標權人的同意下近似商標註冊制度；設計專利的新穎性喪失例外適用之證明手續的簡化、發明專利等國際申請優先權主張之手續電子化，另對外國公務員贈賄罪之罰金上限提高等措施。 為強化數位化多元事業品牌保護，除商標法修法以擴充可取得註冊商標，針對防止數位空間之仿冒行為，不正競爭防止法規定，自原始商品於日本首次銷售起三年內（不正競爭防止法第19條第1款第5項），禁止銷售與該商品非常近似的仿冒商品，然修法前前述行為態樣不適用於數位空間。本次修法為防止數位空間之仿冒行為，規定商品型態的仿冒行為，即使係發生於元宇宙等數位空間亦構成不正競爭行為，可行使侵害排除及侵害防止請求權（不正競爭防止法第2條第1款第3項）。 日本透過智財修法將商標保護觸角延伸入虛擬空間之作法，可作為我國未來政策推動與修法之借鑑。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

從歐洲對於侵害第二醫療用途專利之見解評析相關產業之潛在風險 資訊工業策進會科技法律研究所 法律研究員　方玟蓁 2018年6月19日 壹、背景介紹 　　新藥開發雖具龐大商機，惟需負擔高成本及高失敗風險，因此出現了「老藥新用」策略，產生出第二醫藥用途藥物。知名個案如威爾剛從治療心血管疾病轉而被廣泛用於治療男性性功能障礙；阿斯匹靈從原本的消炎止痛藥至目前被作為預防冠狀動脈硬化之預防藥。由於許多第二醫藥用途藥物在市場上獲得顯著的成功效益，驅使了許多藥廠投入第二醫藥用途藥物之研發。 　　然而，我國與多數國家皆有明訂不予專利事由包含人類或動物之治療方法，因此有關醫藥用途之發明專利大多採取瑞士型請求項撰寫型式。瑞士型請求項係於1984年由瑞士聯邦智慧財產局(Swiss Federal Intellectual Property Office)在Bayer案[1]中所提出相對於德國型請求項之見解；瑞士型請求項係指一種「物質或組成物X於製備治療疾病Y之藥物的用途」，德國型請求項則為一種「物質或組成物X於治療Y之用途」；惟因德國型請求項在多數歐洲國家仍被認為屬於治療方法，職是，在2007年以前，瑞士型請求項之撰寫型式廣泛地被歐洲專利審查實務上所採用。我國亦參照歐洲專利審查實務，於2013年版的專利審查基準中認定瑞士型請求項之申請標的係指一種製備藥物方法，非屬人類或動物之治療方法。例如為避免請求項「一種治療疾病Y的方法，其係使用化合物A」或「化合物A用於治療疾病Y的用途」落入法定不予專利範疇，得以瑞士型請求項改寫成「化合物A用於製備治療疾病Y之藥物的用途」，則非屬於法定不予專利之標的；簡言之，為符合專利適格性，我國規範醫療用途發明需使用瑞士型請求項撰寫型式。 　　2007年12月13日，歐洲專利局施行新制歐洲專利公約(EPC 2000)[2]，明訂第二或後續（second or further）醫藥用途發明可用已知物質或組合物作為專利申請標的；換言之，第二醫藥用途發明之物質或組合物，得以「限定用途之藥物」來申請專利；同前例則可改寫為「用於治療疾病Y的化合物A」。爾後於2010年2月19日，歐洲專利局（EPO）擴大上訴委員會（Enlarged Board of Appeal，簡稱EBA）就涉及老藥新用途的專利案件-G2/08案[3]，提出有關歐洲專利公約(European Patent. Convention，簡稱EPC)第54條第（5）項保護範圍之解釋；G2/08案件的審理受到各國專利局與醫藥界的密切關注，EBA就G2/08案提出：未來藥物用途的瑞士型請求項將不再適用。職此，歐洲專利組織會員國對於第二或後續醫藥用途申請專利範圍之撰寫方式，始從「用途」為標的之瑞士型請求項或德國型請求項，演變至以「物」為標的之用途限定請求項。 　　過去使用瑞士型請求項主張直接侵害第二醫藥用途專利時，前提須有製造藥物行為；改為用途限定藥物請求項後，是否影響歐洲各國法院有關直接侵害第二醫藥用途專利之判定，成為歐洲各國持續關注議題。雖然目前歐洲各國見解尚未統一，惟近期德國、荷蘭之實務見解，已有加重學名藥廠侵權風險之趨勢，恐將影響未來我國專利審查實務之標的認定，倘若我國學名藥廠欲拓展歐洲市場，亦須留意歐洲各國之實務見解風向。 貳、德國實務見解 　　德國針對直接侵害第二醫療用途專利之認定已有確立之判例法，德國杜塞爾多夫高級地方法院在最近的判決[4]中更明確定義了直接侵害第二醫療用途專利之要件。 　　德國過去判例法針對是否侵害第二醫療用途專利係採「清單準備」概念，專利權人須證明疑似侵權人有明確安排或準備行為，且該準備行為之目的係為實現應用藥物於專利保護用途。「清單準備」行為除常見於藥物仿單指示說明內容，其他較顯著情形包括疑似侵權人已提供符合專利治療目的之藥物配製、劑量、或供使用者之即用製劑；惟若僅僅是在廣告傳單中出現一般性描述，或於銷售人員解說時提及可用於專利治療目的，則因無法確定使用者將據此應用在專利保護用途，因此過去德國實務認為營銷傳單及人員宣講不構成明確準備行為[5]。 　　然而，實際上藥物仿單指示說明書常常未載明有關第二或後續醫藥用途，通稱分割(crave-out)或縮減(skinny)仿單；甚至還能透過營銷傳單、廣告宣講、產品特性概述(Summary of Product Characteristics，簡稱SmPC)[6]、或產品包裝…等外部補充資訊，進而提高藥物被應用於專利治療目的之可能性。鑑此，即使專利治療目的已從藥物仿單指示說明中抽離，惟因外部資訊補充，衍生出交叉(cross)仿單現象，使得疑似侵權人得輕易繞過專利治療目的，增加專利權人舉證之難度。 　　2017年5月德國杜塞爾多夫高級地方法院(Düsseldorf higher regional court)已特別針對交叉仿單情形，提出可認定直接侵權的要件[7]： (1)藥物在客觀上適用於專利治療用途； (2)供應商利用外部環境之客觀優勢，係以某種「其他方式」，且該「其他方式」與「清單準備」有近似效果，得確保所提供藥物將被用於專利治療目的。 　　德國杜塞爾多夫高級地方法院之見解似乎擴大了德國先前判例法之「清單準備」認定範圍，連同供應商利用外部環境之客觀優勢行為也一併納入考量。假若外部環境之客觀優勢包含選定保險給付藥物、藥師以低成本藥物進行替代配藥…等情形，未來恐將提高學名藥廠侵害第二醫療用途專利之風險。 參、荷蘭實務見解 　　荷蘭法院同樣面臨交叉仿單之侵權認定問題。2017年4月，荷蘭最高法院於Sun/Novartis案[8]中確立了直接侵害第二醫療用途專利之評估要件： (1)不論係瑞士型請求項或限定用途藥物請求項之第二醫療用途專利，客觀上可預期或者應該可預見學名藥將有被使用在專利治療目的之意圖； (2)相關領域技術者得根據外部環境資訊，因而相信該學名藥可用於或適合用於專利治療目的； (3)若符合以上情形，那麼學名藥廠須採取合理預防措施，防止學名藥被用於專利治療目的。若僅在SmPC或產品訊息手冊(Product Information Leaflet，簡稱PIL)中抽離專利治療目的資訊，則該預防措施仍有不足。 　　對照德國法院的見解，荷蘭最高法院認為只要專利權人證明在客觀上可預見學名藥被用於專利治療目的，且相關領域技術人員得經由外部補充資訊取得學名藥可用於專利治療目的之認知，則學名藥廠應採取合理預防措施。荷蘭最高法院也特別強調，若只對醫藥相關法規所列表單作有關專利治療目的之資訊排除，仍然不足以達到合理預防措施之要求。言下之意，未來學名藥廠對於營銷傳單、媒體廣告、人員宣講…等內容亦應避免揭露有關專利治療目的資訊，或可增加警語標示，聲明藥物僅作為不侵害他人專利權使用。 肆、法國實務見解 　　法國有關直接侵害第二醫療用途專利之認定，除須證明疑似侵權之學名藥物是在法國製造、進口、或出售，尚須證明相關製造商或供應商有提供使用者將藥物用於專利治療目的之意圖[9]，近似於原先德國判例法之「清單準備」概念。因此，關於交叉仿單侵權情形，專利權人在舉證上仍有困難。 伍、總結 　　歐洲發明專利雖在申請及審查程序上已有歐洲專利局作為統一窗口，惟當專利權發生侵害時，專利權人仍須向歐盟各國法院尋求救濟。為提升訴訟便利性及避免裁判分歧，歐盟規劃整合專利訴訟制度，設立歐洲統合專利法院（The Unified Patent Court，簡稱UPC）。目前已簽屬之歐盟統合專利法院協定(Agreement on a Unified Patent Court)第25條[10]係定義直接侵權行為： (1)製造、提供、於市場販售或使用受專利保護之產品；或為前些目的而進口或儲存受專利保護之產品； (2)使用受專利保護之製程或方法；或者第三方知悉或應該知悉該製程或方法若未經專利權人同意時應被禁止使用，卻提供該製程或方法於該專利權有效締約成員國領土內； (3)作為提供、市場販售、使用、進口或儲存的產品，係直接使用受專利保護之製程或方法所製造。 　　雖UPC協定目前尚未對於直接侵害第二醫療用途專利態樣作統一規範，惟承本文前述，近年德國法院判決中有關直接侵害第二醫療用途之認定包含供應商利用外部環境之客觀優勢；荷蘭最高法院則認為學名藥廠須採取合理的預防措施，作法不限於將專利治療目的資訊自SmPC或PIL中排除；法國法院目前作法雖仍類似於原先德國判例法之「清單準備」概念，然而依照歐盟簽署UPC協定之意旨，未來恐導向增加相關學名藥之責任風險。有鑑於此，對於有意前往歐洲市場發展之我國學名藥廠需特別留意，避免於公開醫藥資訊或廣宣媒體中提到非屬專利權人授權之第二醫療用途專利訊息。 　　我國目前仍視瑞士型請求項型式為一種製備藥物方法，唯有當製造商製造藥物且該藥物仿單指示說明書中提及可用於專利治療目的，才有可能構成直接侵害第二醫藥用途專利。惟因我國於2018年1月31日發佈藥事法修正條文，導入專利連結制度，未來新藥藥品許可證所有人若向中央衛生主管機關提報醫藥用途專利，則學名藥藥品許可證申請人，應於申請藥品許可證時，就新藥藥品許可證所有人已核准新藥所登載之醫藥用途專利權，向中央衛生主管機關提出未侵害專利權、專利應撤銷、或專利已消滅之聲明。因此，我國學名藥廠在實際進入我國市場前，尚需留意提出申請查驗之學名藥是否涉及第二醫療用途專利，或可利用分割或縮減仿單方式以降低對第二醫療用途專利之侵權風險。 [1] Hydropyridine X ZB 4/83(BGH)(1984) 2 IIC 215. [2] EPC 2000 article 54(5) Paragraphs 2 and 3 shall also not exclude the patentability of any substance or composition referred to in paragraph 4 for any specific use in a method referred to in Article 53(c), provided that such use is not comprised in the state of the art. [3] G0002/08 (Dosage regime/ABBOTT RESPIRATORY) of 19.2.2010, https://www.epo.org/law-practice/case-law-appeals/recent/g080002ex1.html (last visited June 19, 2018). [4] Oberlandesgericht Düsseldorf, I-2 W 6/17. https://www.justiz.nrw.de/nrwe/olgs/duesseldorf/j2017/I_2_W_6_17_Beschluss_20170505.html(last visited June 19, 2018). [5] Paul England, Infringement of second medical use patents in Europe and the Unified Patent Court Paul England **Email: p.england@taylorwessing.com . Search for other works by this author on: Oxford Academic Google Scholar Journal of Intellectual Property Law & Practice, Volume 11, Issue 6, 426-434, June 1 2016. https://academic.oup.com/jiplp/article-abstract/11/6/426/2378971?redirectedFrom=fulltext (last visited June 19, 2018). [6] 「產品特性摘要文件，主要係依據歐盟2001/83/EC號指令第8(3)(j)條與歐盟第726/2004號法規第6(1)條之要求而提供。前述法規要求醫藥公司在提出藥物上市許可之申請時，必須遵循歐盟2001/83/EC號指令第11條之規定，附加產品特性摘要於申請文件，以供主管機關作為申請核駁之依據」。摘自葉于豪，<歐洲藥物管理局（European Medicines Agency，簡稱EMA）發佈針對準備與審查產品特性摘要（summaries of product characteristics，簡稱SmPCs的指導方針>，2013年3月4日，https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&i=40&d=6012(最後瀏覽日：2018年6月19日) [7] 同註解4。 [8]ECLI:NL:RBDHA:2017:3430.https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBDHA:2017:3430(last visited June 19, 2018). [9]同註解4。 [10] Agreement on a Unified Patent Court, Article 25. https://www.unified-patent-court.org/sites/default/files/upc-agreement.pdf(last visited June 19, 2018).

德國營業秘密保護法之鑑古推今 資訊工業策進會科技法律研究所 李莉娟 副法律研究員 2019年12月24日 　　儘管國際間已有TRIPS協議[1]（Agreement on Trade Related Aspects of Intellectual Property Rights），但歐盟各成員國就營業秘密保護立法仍存在重大差異，如各成員國內國法對於營業秘密定義或非法獲取、使用或揭露營業秘密之行為定義、對營業秘密被害人之民事上補救措施等規範不一致，甚至部分成員國並無營業秘密的保護專法。 　　事實上早在2013年時，歐盟執委會即已針對歐盟內部市場營業秘密保護現況進行相關實證研究，研究結果顯現歐盟零散的營業秘密保護制度可認定是削弱歐洲工業發展的癥結點[2]。為彌補這些差異並在不侵害言論及資訊使用自由前提下，歐盟於2016年6月8日通過關於保護營業秘密的指令EU 2016/943，主要立法方向為[3]： 一、明文化歐盟成員國間一致的營業秘密定義與營業秘密侵害方式 二、在刑事制裁外，增訂了被害人可尋求的民事保護手段： （一）停止非法使用以及進一步揭露非法侵占之營業秘密的行為 （二）將非法取得營業秘密所製成的產品自市場中下架 （三）因他人非法使用或揭露營業秘密之損害的賠償請求權 壹、立法背景及法規重點 　　依據前述指令，歐盟成員國必須於2018年6月9日之前完成國內立法任務。身為歐盟最大經濟體、但原先並無營業秘密保護法的德國，經過了近兩年的討論後，於2018年4月提出「營業秘密保護法(Gesetz zum Schutz von Geschäftsgeheimnissen，GeschGehG)」草案，並於 2019年4月26日登於聯邦公報正式生效，同年月刪除不正競爭防止法(Gesetz gegen den unlauteren Wettbewerb, UWG)中營業秘密保護相關條文。 　　本次德國新營業秘密保護法於法規中明文營業秘密定義、提供被害人多種民事保護機制，以及營業秘密不當獲取手段排除以逆向工程、獨立衍生或相關其他合法方法取得等立法方式，同於美國保護營業秘密法(Defend Trade Secrets Act，DTSA)之立法框架與精神，而新法的出現不僅在營業秘密保護制度上達到法安定性之目的，對權利人而言亦有不少權利保障上、訴訟程序上之益處，以下本文將逐一探討。 貳、修法前德國營業秘密保護制度介紹 　　修法前的德國對營業秘密並無統一定義，多以聯邦憲法法院之判決[4]唯是，所謂營業秘密定義指： 一、為特定企業所有 二、僅為少數人所知 三、基於經濟利益而必須受到保密 四、維持保密對企業而言具有明顯的合法利益 　　在修法前，營業秘密的保護以不正競爭防止法第17條至第19條為依據。其立法目的在於保護競爭者、消費者及其他市場參與者免於受不正當交易行為影響、保護公眾在未經扭曲之競爭上的利益。並以刑罰作為規制手段，存有未遂犯、預備犯之明文，且當於境外遭營業秘密侵害時，可準用德國刑法第5條第7款[5]，得依該法處理。再者，雖為告訴乃論之罪，但基於法規保護客體涉及重要公共利益特性，司法機關可依職權介入處理。 　　不正競爭防止法所保護的客體為「交易行為」及「營業秘密」。前者之定義指有利自己或其他事業於交易締結前、締結時與締結後的一切行為，與促進銷售、或促進商品或服務之購買、或與商品或服務契約之進行客觀上具有關連；後者之定義則並無於不正競爭防止法中具體明文而是依據聯邦法院就個案認定，並且採取推定方式認定。 　　就營業秘密保護主要適用對象為：任職於事業者、就交易行為中受託保管、使用原型（特別為草稿、模型、模板、剖面以及配方）或技術性資料者。所謂任職於事業者指公司雇員；而就交易行為受託被交付原型或技術性規定者，所指為事業單位所委託之製造業者、設計業者等人。 　　不正競爭防止法規範的不法行為如，未經允許而將營業秘密告知他人；將營業秘密以技術工具、以有體化方式重現後加以製作，或以取走含營業秘密的實體物方式未經允許取得或備份營業秘密；就受託保管、使用之原型或技術性資料未經允許利用或告知他人；以及教唆或期約方式進行前述三類不法行為[6]。 　　但如屬特別保護客體、法益、特定職業人員或特定不法行為時，另適用不同法規，如： 一、民法第242條，關於員工基於普通善意履行原則，需對雇主之營業秘密負起保密義務[7] 二、刑法第203條，針對專門職業人員、公職人員獲知資訊後無故洩漏資訊，而妨害私人之秘密或業務秘密或經營秘密罪[8] 三、刑法第355條，關於公務員於行政程序、查核程序、稅法訴訟程序、稅法犯罪刑事訴訟程序、稅務罰鍰程序，其他相關金融局通知程序中，獲知資訊後無權公開或利用之違反稅務保密罪[9] 四、財政法第30條第2項，公職人員在執行稅收業務時，基於職務上取得資訊而非法披露、或使用之妨害營業秘密罪[10] 　　因此，德國於營業秘密保護法施行前針對營業秘密的保護並無統一專法規範。 參、德國營業秘密保護法重點介紹 　　德國營業秘密保護法(以下稱新法)的誕生除了履行歐盟成員國的立法義務，更重要的是保護營業秘密，防止未經授權的獲取、使用與揭露，並且將原先已受到保護的「營業秘密」以專法提高保護力及法安定性[11]。尤其是關於營業秘密之定義[12]，必須符合以下要件： 一、一般處理該等資訊者，既無法輕易了解也不會獲知資訊整體、確切組成與排序內容 二、資訊具有經濟價值 三、資訊所有權人有採取合理保密措施 四、對該資訊合理保密具有正當合法利益 　　適用對象包含雇員、代理人、管理人、其他侵權行為人（自然人及法人）[13]；行為類型包含無法律授權取得、使用、揭露，或違反保密義務，及違反營業秘密使用限制義務之行為[14]。而營業秘密使用限制義務屬於誠實商業慣例[15]，新法特此將該行為明文規制，屬於具重要性的新法特色。不過，若是以獨家技術發現、製造營業秘密，以公開取得的方法觀察、拆解、測試產品或物品以得知營業秘密，或以前述方法由未受營業秘密權限限制之觀察、測試、調查人員得知營業秘密；行使員工合法的參與權限與資訊權限；法律上或合法交易允許獲取、使用或披露營業秘密時，以上為新法所允許的情況[16]。 　　再者，亦規範營業秘密所有權人可對侵權人提起民事求償[17]，並且提供多種求償、補救以及賠償機制，如：訴訟前禁制令(如，禁止侵權人繼續製造產品)、合乎比例原則下請求實際損害賠償或請求被害人之預期利益、要求銷毀本案相關營業秘密並交由法院人員處理[18]。 　　再者，新法規定於訴訟程序證據保密令，只要與本案相關的部分或全部營業秘密，於訴訟程序開始時到訴訟結束前當事人可向法院提出保密令的要求；在法院同意後，則僅在該案相關文件中營業秘密無法被識別的情況下，才可向第三人提供該案相關營業秘密文件[19]。而當事人的保密義務將持續到訴訟程序終結後[20]，但如案件資料秘密性遭法院推翻或被公眾周知時，則不在此限[21]。如於司法程序中違反保密義務者，得處以最高10萬歐元罰鍰，或6個月以下拘留，並立即執行[22]。 肆、代結論—新法評析 　　今（2019）年4月下旬甫施行的德國營業秘密保護法，對企業而言無不感到衝擊，特別是以往企業多無盤點營業秘密並予以保密措施的習慣，在新法通過後不可避免的第一步必須先盤點內部可能的營業秘密，並施以適當保護措施以符合新法規定，保護自身利益；但新法對於營業秘密權利人而言無須再就被侵害之權利是否符合營業秘密定義舉證證明、可於訴訟程序開始前聲請禁制令預防侵權風險擴大、訴訟程序開始時即可聲請證據保密令且效力可持續到訴訟程序結束後、損害賠償額可納入比例原則衡量等正面效益。但新法也明文了數種非屬侵害營業秘密之例外情狀，故企業在新法施行後，將更需要在保密措施、與內外部利害關係人之間的商業相關合約、協議多加琢磨。 　　另外，尚有以下三點值得關注： 一、營業秘密保護法應用於舊案之情形 　　由於新法中無過渡條款，導致舊案之處理在新法施行後無所適從，特別是關於營業秘密所有權人可出於避免權利再次受害或遭侵權的風險向法院聲請禁制令使侵權者不得繼續生產或製造產品等要求[23]，該規範於不正競爭防止法(以下稱舊法)第8條同有明文，但新法多了比例原則的折衷考量。 　　舊法之不法行為，在證明符合新法第3條規定允許之情況下，可援引並作為免除禁制令的依據。在實務上，禁制令的決定取決侵權事實帶來的風險以及第一審法院最後一次言詞辯論後之評估，即使是針對舊法行為提出的禁制令或不作為令，仍有新法第二章損害賠償合理性及比例原則考量的適用，此點對企業於訴訟程序上有一定實益，避免被索求過多金錢賠償超乎原先侵權範圍，且新法已明文出法官在權衡之際可納入考量之要件[24]，同樣可降低企業在訴訟攻防上的不確定風險。 二、允許逆向工程明文化 　　新法第3條明文允許以「逆向工程[25]」方式獲取營業秘密。以往舊法並未規範，我國營業秘密法實務應用上雖允許逆向工程，但法規上亦無類似明文。 　　因此企業必須注意，應透過契約、調整保密政策或以更精進的保密技術來防止該類法所「允許」之情形發生，並調整其保護策略以求在保護秘密以及取得智財權間取得平衡[26]，此點亦非常值得我國企業特別關注。 三、英美法系懲罰性或懲戒性賠償金制度引進之可能 　　懲罰性或懲戒性賠償金制度為英美法系民事損害賠償制度底下的賠償措施之一，與歐陸法民事損害賠償法理，屬「損害填補性賠償」性質之「有損害，始有賠償」原則不同[27]。 　　但近年來德國學界採取開放態度認為在例外情況下可承認適用懲罰性賠償金，例如：尊重懲罰性賠償金之市場機能、對被告程序保障足夠、懲罰性賠償金數額納入比例原則之考量，且德國聯邦最高法院對此制度亦持友善立場，認為符合特定情況下懲罰性賠償金適用是合法的，以預留未來制度借鏡之可能[28]。 　　因此可肯定者為，依據德國民事損害賠償法理及實務見解，賠償數額必須符合比例原則之要求，而目前德國營業秘密保護法雖不同於我國並未納入懲罰性或懲戒性賠償金，但未來是否將引進制度或適用於判決中，亦值得關注[29]。 [1]TRIPS屬於與貿易有關之智慧財產權協定，但對各成員並無強制力，成員國可在內國法律制度中以適當方式實踐該協定規定之方法。 [2]Protection of trade secrets and know-how in the European Union: the EU Trade Secrets Directive (EU) 2016/943,ip-iurisdictio, Aug,20,2019, https://ip-iurisdictio.org/protection-of-trade-secrets-and-know-how-in-the-european-union-the-eu-trade-secrets-directive-eu-2019-943/#_ftn4(last visited Nov. 4,2019) [3]Council Directive 2016/943, Whereas (6),2016( L 157/1). [4]BVerfG vom14.3.2006, BvR 2087/03. [5]§5 Abs.7 StGB. [6]林易典教授譯，德國不正競爭防止法(Gesetz gegen den unlauteren Wettbewerb, UWG) 2017年新法，2017年8月 [7]§242 BGB. [8]§203 StGB. [9]§355 StGB. [10]§30 Abs.2 AO. [11]§1 GeschGehG. [12]§2 GeschGehG. [13]§2 GeschGehG. [14]§4 GeschGehG. [15]Friedrich Scheele, Germany’s New Trade Secret Laws,https://www.ratnerprestia.com/2018/06/21/germanys-new-trade-secret-laws/ (last visisted Sep.24,2019)，所謂誠實商業慣例常指契約約定、市場交易慣例，如誠實信用原則。 [16]§3 GeschGehG.但在此並非「例外」情形，「例外」情形規範於第5條中，專指為了保護合法利益而獲知、使用或披露營業秘密時，即排除第4條所禁止之情形。 [17]Abschnitt 2 GeschGehG. [18]Bird&Bird Trade Secret Directive Tracker，https://www.twobirds.com/en/in-focus/trade-secrets/trade-secrets-directive-tracker/germany (last visisted Dec.23,2019) [19]§16 GeschGehG. [20]我國營業秘密保密令之申請時間，依照智財案件審理法第11條第一項規範：「當事人或第三人就其持有之營業秘密，經釋明符合下列情形者，法院得依該當事人或第三人之聲請，對他造當事人、代理人、輔佐人或其他訴訟關係人發秘密保持命令：一、當事人書狀之內容，記載當事人或第三人之營業秘密，或已調查或應調查之證據，涉及當事人或第三人之營業秘密。二、為避免因前款之營業秘密經開示，或供該訴訟進行以外之目的使用，有妨害該當事人或第三人基於該營業秘密之事業活動之虞，致有限制其開示或使用之必要。…」於訴訟審理階段可向法官聲請，且依照條文內容應指已提出書狀後，但如在書狀提出前即有保密之急迫性應亦可提出，似於法無違。而保密令失效規範於第14條，情形如喪失第11條第一項申請要件時、保密令聲請原因嗣後已消滅，或他造當事人、代理人、輔佐人或其他訴訟關係人，在聲請保密令前已以第11條第一項第一款規定之書狀閱覽或證據調查以外方法，取得或持有該營業秘密時。 [21]§18 GeschGehG. [22]§17 GeschGehG. 對應我國智財案件審理法第35條秘密保持令罰則，我國違反秘密保持令者處三年以下有期徒刑、拘役或科或併科新臺幣十萬元以下罰金；並採告訴乃論之方式起訴。 [23]Daniel Hoppe&Preu Bohlig&Dr. Axel Oldekop,&Preu Bohlig, Behandlung von Unterlassungsansprüchen für Altfälle nach dem Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG), GRUR-Prax,324(2019) [24]§9 GeschGehG，如營業秘密之價值、權利人採取之保密程度、侵權人揭露或使用或獲知營業秘密行為嚴重程度，或其他公共利益之考量。 [25]對他人產品或服務進行解構以獲知其設計方法等重要資訊，或直接從產品、服務中擷取資訊。 [26]Dr. Henrik Holzapfel，New german law on the protection of trade secrets, https://www.mwe.com/insights/new-german-law-protection-trade-secrets/ (last visisted Sep.25,2019). [27]陳聰富，美國法上之懲性賠償金制度，臺大法學論叢第31 卷第5 期，164 頁(2002)。 [28]陳聰富、陳忠五、沈冠伶、許士宦，《美國懲罰性賠償金判決之承認與執行》，新學林文化事業有限公司，頁195-197(2004)。 [29]Friedrich Scheele, Germany’s New Trade Secret Laws,https://www.ratnerprestia.com/2018/06/21/germanys-new-trade-secret-laws/ (last visisted Sep.24,2019)