因應知識經濟社會 日本推動司法改革

　　歐洲資料保護委員會（European Data Protection Board, EDPB）於2021年1月18日發布《個資侵害通知範例指引》（Guidelines 01/2021 on Examples regarding Data Breach Notification）草案，並進行為期六週之公眾諮詢。該指引針對2017年10月所發布之《個資侵害通知指引》（Guidelines on Personal data breach notification under Regulation 2016/679）透過案例分析進行補充說明，對於資料控制者如何識別侵害類別以及評估風險提出更詳細的實務建議，協助資料控制者處理資料外洩及風險評估考量因素之認定。 　　個資侵害係指違反安全性規定而導致傳輸、儲存或以其他方式處理之個資，遭意外或非法破壞、遺失、變更、未獲授權之揭露或近用之情形，由於個資事故將對資料主體可能造成重大不利影響，該指引首先要求資料控制者進行侵害類別之辨識，依據2017年指引將個資侵害分為機密性侵害（confidentiality breach）、完整性侵害（integrity breach）以及可用性侵害（availability breach）。而資料控制者最重要的義務在於主動識別系統漏洞，評估侵害對資料主體權利所產生之風險，制定適當計畫及程序採取適當因應措施，確定侵害事件之問題根因及安全漏洞，加強員工認知培訓及制定操作手冊，並確實記錄各項侵害行為，以提升個資事故因應效率及降低時間延誤。 　　此外，該指引彙整自GDPR實施以來個資侵害通知具體案例，分為勒索軟體攻擊、資料外洩攻擊、內部人為風險、硬體設備或紙本檔案失竊、誤發郵件以及電子郵件內容外洩，共六大主題十八件案例，針對不同程度風險提供最典型的正確及錯誤作法，並提出資料控制者有關預防潛在攻擊及減輕影響之措施建議。

「歐洲資料保護委員會」（European Data Protection Board, EDPB）於2025年9月12日發布《數位服務法》（Digital Services Act, DSA）與《一般資料保護規則》（General Data Protection Regulation, GDPR）交互影響指引（Guidelines 3/2025 on the interplay between the DSA and the GDPR）。這份指引闡明中介服務提供者（intermediary service providers）於履行DSA義務時，應如何解釋與適用GDPR。 DSA與GDPR如何交互影響？ 處理個人資料的中介服務提供者，依據處理個資的目的和方式或僅代表他人處理個資，會被歸屬於GDPR框架下的控制者或處理者。此時，DSA與GDPR產生法規適用的交互重疊，服務提供者需同時符合DSA與GDPR的要求。具體而言，DSA與GDPR產生交互影響的關鍵領域為以下： 1.非法內容檢測（Illegal content detection）：DSA第7條鼓勵中介服務提供者主動進行自發性調查，或採取其他旨在偵測、識別及移除非法內容或使其無法存取的措施。指引提醒，中介服務提供者為此採取的自發性行動仍須遵守GDPR要求的處理合法性，而此時最可能援引的合法性依據為GDPR第6條第1項第f款「合法利益」（legitimate interests）。 2.通知與申訴等程序：DSA所規定設通報與處置機制及內部申訴系統，於運作過程中如涉及個資之蒐集與處理，應符GDPR之規範。服務提供者僅得蒐集履行該義務所必須之個人資料，並應確保通報機制不以通報人識別為強制要件。若為確認非法內容之性質或依法須揭露通報人身分者，應事前告知通報人。同時，DSA第20條與第23條所規範之申訴及帳號停權程序，均不得損及資料主體所享有之權利與救濟可能。 3.禁止誤導性設計模式（Deceptive design patterns）：DSA第25條第1項規範，線上平台服務提供者不得以欺騙或操縱其服務接收者之方式，或以其他實質扭曲或損害其服務接收者作出自由且知情決定之能力之方式，設計、組織或營運其線上介面，但DSA第25條第2項則宣示，線上平台提供者之欺瞞性設計行為若已受GDPR規範時，不在第25條第1項之禁止範圍內。指引指出，於判斷該行為是否屬 GDPR 適用範圍時，應評估其是否涉及個人資料之處理，及該設計對資料主體行為之影響是否與資料處理相關。指引並以具體案例補充，區分屬於及不屬於 GDPR 適用之欺瞞性設計模式，以利實務適用。 4.廣告透明度要求：DSA第26條為線上平台提供者制定有關廣告透明度的規範，並禁止基於GDPR第9條之特別類別資料投放廣告，導引出平台必須揭露分析之參數要求，且平台服務提供者應提供處理個資的法律依據。 5.推薦系統：線上平台提供者得於其推薦系統（recommender systems）中使用使用者之個人資料，以個人化顯示內容之順序或顯著程度。然而，推薦系統涉及對個人資料之推論及組合，其準確性與透明度均引發指引的關切，同時亦伴隨大規模及／或敏感性個人資料處理所帶來之潛在風險。指引提醒，不能排除推薦系統透過向使用者呈現特定內容之行為，構成GDPR第22條第1項的「自動化決策」（automated decision-making），提供者於提供不同推薦選項時，應平等呈現各項選擇，不得以設計或行為誘導使用者選擇基於剖析之系統。使用者選擇非剖析選項期間，提供者不得繼續蒐集或處理個人資料以進行剖析。 6.未成年人保護：指引指出，為了符合DSA第28條第1項及第2項所要求於線上平台服務中實施適當且相稱的措施，確保未成年人享有高度的隱私、安全與保障，相關的資料處理得以GDPR第6條第1項第c款「履行法定義務」作為合法依據。 7.系統性風險管理：DSA第34與35條要求超大型在線平台和在線搜索引擎的提供商管理其服務的系統性風險，包括非法內容的傳播以及隱私和個人數據保護等基本權利的風險。而指引進一步提醒，GDPR第25條所設計及預設之資料保護，可能有助於解決這些服務中發現的系統性風險，並且如果確定系統性風險，根據GDPR，應執行資料保護影響評估。 EDPB與其他監管機關的後續？ EDPB的新聞稿進一步指出，EDPB正在持續與其監管關機關合作，以釐清跨法規監理體系並確保個資保護保障之一致性。後續進一步的跨法域的指引，包含《數位市場法》（Digital Markets Act, DMA）、《人工智慧法》（Artificial Intelligence Act, AIA）與GDPR的相互影響指引，正在持續制定中，值得後續持續留意。

從知名髮油商標侵權案看企業商標管理 科技法律研究所 2014年07月24日 　　隨著同性質的消費性產品選擇越來越多元，品牌對於消費者而言無疑愈加重要，尤其在未使用過產品、不確定產品品質時，品牌已成為消費者選購產品的重要指標。正因如此，企業無不爭相投入資源經營品牌，提升品牌能見度。然而品牌一旦知名後，仿冒亦如雨後春筍般接連發生，正如最近許多明星加持的護髮產品-摩洛哥優油，疑似於知名連鎖通路出現分身，在現行商標法體制下，商標權人如何主張保護、利用人(產製商、通路商)行為是否構成侵權及應負哪些責任，成為關注焦點，國內許多新聞亦特別報導此判決結果[1]，以下就今年(2014)5月的摩洛哥優油商標仿冒侵權案(智慧財產法院102年度民商訴字第19號民事判決)，進行評析並提供我國企業商標管理作法建議。 壹、事件摘要(編碼請使用手動，以防上傳後格式會跑掉) 　　原告為產製摩洛哥優油護髮產品的公司，並以「moroccanoil」文字及「特殊藍綠底色配上橘色M字母」包裝積極行銷推廣產品，並於2008年在台灣註冊有「moroccanoil」文字商標[2]及「特殊藍綠底色配上橘色M字母，以及白色moroccanoil文字」平面圖形商標[3]。被告共有三者，產製商、行銷代理商及銷售通路商，被告所產製及銷售的產品包裝是由被告產製商委託他人設計，該包裝主要色調同樣以藍綠色底色搭配橘色M字母，惟於包裝上另有花朵圖案、橘色M字母另有一片綠葉。又被告產品上印有白色字體為「morocco hairoil」，惟另有白色字體「magic」商標及「頂級摩洛哥黃金優油」文字。原告認為被告行為構成商標侵權及不公平競爭，遂提出民事訴訟，請求被告停止侵害並負擔損害賠償。智慧財產法院認為被告行為構成商標侵權，判決被告應即停止侵害商標權行為，並給付原告新臺幣貳佰肆拾貳萬柒仟玖佰壹拾伍元損害賠償。 貳、重點說明 　　從此判決中主要爭議可分成兩部分。第一，在於被告使用行為是否構成商標使用，並產生混淆誤認的可能，進而構成侵權。第二，原告對於被告侵權請求損害賠償之認定及計算方法。 一、商標使用之定義 　　行為人於自身產品上標示自有品牌商標外，若於產品上想同時使用他人商標來描述產品成分或性質等，須特別注意使用方式，避免將他人商標作為商標使用。亦即，若整體觀察產品包裝設計、排版位置，他人商標為產品包裝整體之主要顯著部分，則該行為尚難被認定僅係將他人商標作為產品產地、成分等描述性說明，而可能被認定為商標使用行為。故應盡量避免使用他人商標，若有使用他人商標需求時，即便同時有使用自身商標，仍應注意使用他人商標的方式，避免將他人商標作為產品來源之主要識別。 二、商標侵權之認定 　　是否構成商標侵權，主要判斷相關消費者是否產生混淆誤認之可能。而認定是否產生商標混淆誤認之虞，其中判斷因素之一「商標近似程度」，係以通常消費者施以普通注意、異時異地整體觀察。亦即，將行為人使用的標識和他人商標於不同時間、不同地點分別觀察，且是以消費者一般消費時所施的普通注意力就標識及商標的整體來觀察。故若以前述原則觀察認為兩者近似程度高，縱然將兩者同時同地、相互比對時可發現許多細節差異，仍不影響此商標近似程度之判斷。 三、侵權之故意或過失要件 　　委託他人設計商標者，擁有實際指示和最終確認他人設計之權限，不得以他人設計為由，認為自身無侵害商標權之故意或過失。此外，銷售通路商雖非自行製造產品者，惟上架銷售前，仍有義務注意其營業是否侵害他人權利，無法完全推諉責任。然而值得注意者，從本案中可發現判斷銷售通路商是否有故意或過失，尚有其他相關事實須綜合考量，例如銷售通路商的企業型態、規模、他人商標於該類產品的識別度或知名度等。 四、損害賠償之計算 　　本案損害賠償主要牽涉商標法第71條第1項第3款規定[4]。「產品零售價格」應考量現今企業行銷手法，主要仍須觀察「常態」的售價為何。若給予產品較高之定價，再慣常的以折扣後價格實際販售予消費者，則應認折扣後的價格為產品在一般情況零售時之常態價格，而原本定價僅有影響消費心理之作用，不得認定為產品之零售單價。又「查獲數量」應注意數量計算標準，以實際查獲為主，行為人產製的數量、進出口銷售量等皆不得作為數量之計算。 參、事件評析 　　雖全案仍可上訴，惟對於商標權人、利用人(產製商、銷售通路商)而言，此案就利用人的商標使用行為、商標侵權的認定分析及損害賠償的計算，仍值得我國企業留意。以下就產製商、銷售通路商及商標權人分別提供企業建議： 一、從產製商觀點 　　委託他人設計商標或產品包裝時，應盡監督之責，並於合約中明定設計成果侵權時之責任負擔。例如於合約中要求設計單位產出的設計成果不得侵害他人權利，若有侵權情事，由設計單位全權負責。此外，產製商若有必要使用他人商標以描述自身產品時，應注意使用方式，避免突顯他人商標，以降低侵權風險。例如於產品型錄正中央放置他人商標且超過2/3版面，僅將自身品牌logo放置於型錄封底的角落處。 二、從銷售通路商觀點 　　應確認產品來源及產品相關權利狀態，例如產品由誰產製、由何處進口；該產品是否有相關技術受專利權保護：該產品包裝是否侵害他人著作權及商標權等。此外，進貨時應與供應商簽約，明確約定產品侵權之風險分擔。例如產品對外販售時發生商標權人主張侵權、請求損害賠償時，由供應商負擔全額損害賠償，亦或由銷售通路商及供應商按特定比例分擔損害賠償。 三、從商標權人觀點 　　現今多數國家採商標註冊主義，原則上商標取得註冊後方享有商標權保護。商標權人應於各行銷國家妥善註冊商標並建立仿冒因應機制，定期由專人追蹤商標侵權仿冒情事，並完整蒐集相關證據資料，例如侵權仿冒品及發票或相關購買證明，俾利後續權利的主張，包含商標權侵害的排除、損害賠償的請求。 　　隨著品牌對市場行銷日益重要，商標侵權仿冒愈趨嚴重，在現行商標法下商標權人、利用人(產製商、通路商)皆應注意法規及實務判決動向，以反映在自身企業管理上，達到有效維權，降低侵權風險的目標。 [1]孫友廉，〈賣山寨髮油，屈臣氏判賠〉，蘋果日報，2014/05/11，http://www.appledaily.com.tw/appledaily/article/headline/20140511/35824255/ (最後瀏覽日：2014/06/15)；〈賣山寨摩洛哥優油，屈臣氏判賠242萬〉，PChome新聞，2014/05/11，http://mypaper.pchome.com.tw/smallfower140508/post/1327780287 (最後瀏覽日：2014/06/15) [2]註冊號01336555。 [3]註冊號01336554。 [4] 「商標權人請求損害賠償時，得就下列各款擇一計算其損害：…三、就查獲侵害商標權產品之零售單價一千五百倍以下之金額。但所查獲產品超過一千五百件時，以其總價定賠償金額。」

國家技術標準之制定政策 -由英國BSI觀國家技術標準制定政策 科技法律研究所 法律研究員　徐維佑 2014年12月03日 壹、前言 　　所謂技術標準（standards），指透過法規、私人企業、或者產業慣例形成的統一技術或特定規格，包括重量、大小、品質、材料或技術特徵（technical specifications），以使商品、服務、製造或製造程序方法能有共通的設計或相容性[1]；由特定標準制定組織要求市場上商品或服務應符合一定品質者，亦為技術標準，例如確保農產品符合人體食用的健康安全標準。 　　制定技術標準不但具有降低生產成本、促進創新、加強消費者選擇性、增進公共健康及安全等優點，更是國際貿易的基礎。以技術日新月異的ICT資訊通信產業而言，標準更是搶佔市場的利器。 貳、英國國家標準制定政策 　　成立於西元1901年之英國標準協會（British Standards Institution，以下簡稱BSI）為英國標準制定組織，亦是全球第一個國家標準機構，專門提供企業解決方案，將最佳實務模式（best practice）轉換成日常表現標準。BSI非政府機構，但透過與英國政府商業、創新與技術部門（Department for Business, Innovation and Skills, BIS）簽訂備忘錄，BSI成為英國國家標準制定組織，而其特色與任務大致如下： 一、以整體產業為考量之標準制定機構 　　BSI標準制定業務範圍[2]，除國家、區域、國際標準外，亦為私人企業、企業聯盟制定企業內部或企業聯盟間私人標準。標準制定之作法，係由產業界提名各領域之專業人員，及少數之政府部會官員成立標準制定委員會，各委員並非代表公司立場，而係以整體產業最有利立場參與會議；而BIS政府官員功能僅為傳達目前政府部會投入發展方向；標準制定委員會下，則設有技術委員會，委員各為特定技術領域之專家。BSI的原則為取得各界意見的平衡，在技術委員會成員組成上會避免單一勢力獨大，並盡力避免標準中包含特定權利人之智慧財產。 二、協助技術發展之階段式標準制定工作 　　BSI對於英國國內之技術研究、發展活動，採階段式引導標準化制定工作： 1、基礎研究階段：即早整合各利害關係人共識，建立共同發展對話基礎； 2、驗證技術可行性階段：藉由建立專家小組，發展初期測試方法與安全管理之共同觀點； 3、技術整合階段：即早為市場作準備，統一規格與測試方法，以及日後之技術升級方法； 4、原型製作階段：建立產業間行為準則，同時廣納消費者觀點，提昇該技術於市場之接受度； 5、應用測試、系統驗證階段：連結該技術與市場上產品、或其他服務、亦或其他標準組織制定之標準。 　　值得強調的是，BSI於研究發展活動各階段制定之標準提案草案皆會公佈於網站上，提供平台予大眾針對草案表示意見。 三、快速形成產業標準之PAS共通規範 　　BSI設有「可公開獲得的規範（publicly available specification, PAS）[3]」，相較於一般國家標準、國際標準，開發PAS時程較短，其目的為在英國國家標準或國際標準形成前，作為提早提供市場參考、使用之共通規範，國際標準如ISO亦有此制度。當技術共通規範成為PAS後，每3年接受技術委員會確認是否延續，或轉將其提案為國際標準。 　　私人企業可向BSI付費委託發展PAS共通規範。BSI會派專業人員指導企業如何撰寫PAS共通規範提案相關文件，集合內部專家團隊協助完成PAS共通規範提案。完成後對外召集內外部專家檢視PAS提案，包括標準制定委員會成員、政府官員、相關產業人員與消費者團體，並將檢視結果建議回饋給BSI內部專家團隊決定最終版本，公佈予給各界參考使用，公佈後之成果亦作為日後發展國家標準、國際標準之基礎。 參、結論 　　英國國家標準制定組織BSI，不遺餘力的協助產業自願性形成共識作為國家標準主軸，由產業推舉之專業人員與政府各領域官員作為技術委員會成員，平衡各界意見以整體產業發展為考量。藉由研究發展各階段性標準化工作，公開標準草案廣納各界意見，並盡力避免標準包含特定人之智慧財產權。並且，BSI協助國內企業發展PAS共通規範，除加速國內產業共識的形成外，更建立發展國際標準之良好基礎，摃動英國產業發展，並保障社會、環境、消費者之權益，值得我國學習。 [1]Mark A. Lemley, Intellectual Property Rights and Standard-Setting Organizations, 90 Calif. L. Rev. 1889, 1910-1911 (2002), available at http://scholarship.law.berkeley.edu/cgi/viewcontent.cgi?article=1392&context=californialawreview (last visited Aug. 28, 2014) [2]筆者親自訪談Daniel Mansfield政策主任，BSI Group總部，英國倫敦（2014/10/15）。 [3]ISO, ISO/PAS Publicly Available Specification (2014), http://www.iso.org/iso/home/standards_development/deliverables-all.htm?type=pas (last visited: 2014/10/01)