印第安那州對違反個資外洩通報義務之保險公司提起訴訟
印第安那州首席檢察官Greg Zoeller對Wellpoint保險公司提起訴訟標的金額30萬美元之損害賠償訴訟,主張該公司因遲延向首席檢察署及超過32,000萬因個人資料外洩影響所及之客戶通報個資外洩事件,而違反印第安那州通報法〈Indiana notification laws〉中通報及揭露規定〈Chapter 3. Disclosure and Notification Requirements及Chapter 3. Disclosure and Notification Requirements〉,依法各得請求15萬美元罰金,此為印第安那州提起之首件違反通報義務之訴訟。
前述法令於2009年7月生效,新法規定個人資料擁有者〈database owners〉負有「通報義務」,其於個資外洩事件發生後,必須在「合理期間」〈within a reasonable period of time〉內,對「潛在受影響之個人」〈both the individuals potentially affected by a data breach〉,以及檢察署通報,惟經調查,該公司未於合理時間內通報前述應通報之對象。
經查該公司於今〈2010〉年2、3月間即發現客戶個資外洩,卻6月18日始通知客戶,檢察署展開調查後認定其遲延通報無正當理由,故代表印地安那州向其提起民事賠償。
前述所指外洩之個人資料包括:提出投保申請者之個人資料內容,諸如「社會安全碼」〈social security number〉、「財務資訊」〈financial information〉、「健康記錄」〈health records〉,因該保險公司網頁之照管者〈siteminder〉未能實行安全防護,使盜竊身分之人〈identity thief〉得以改變統一資源定址器〈URL〉而窺見申請者的個人資訊。
除印第安那州客戶外,該保險公司因客戶個資外洩亦使其他州投保申請者資訊曝露,包括:美國加州、科羅拉多、康乃迪克、肯特基、密蘇里、內華達、新罕布夏、俄亥俄及威思康辛等九個州,約有47萬個客戶可能因此受影響。
製藥產業的競爭情勢越來越劇烈,藥商間為了求取最大的利益,在以研發新藥為主的原開發藥廠及以複製專利到期的藥品為核心的學名藥廠之間,衍生出新的競合模式,特別是針對專利侵權訴訟予以和解。過去幾年,美國FTC與FDC花了相當多的時間調查製藥界此一實務是否會扭曲市場競爭,因而違反競爭法的精神,美國國會更在2003年底通過法律,對此類競爭予以規範。繼美國之後,歐盟也在2008年1月中,就有關原開發藥廠與學名藥間的競合作關係,向境內的製藥產業發出產業調查,這是歐盟首次就製藥產業內的專利訴訟和解協議展開調查。 歐盟此次調查最主要的目的是為了深入瞭解製藥產業的商業實務,調查內容包括:(1)在專利的策略方面,藥廠對於專利的取得與執行法律保護,是為了要保護創新發明,還是為了阻擋或限制創新藥以及(或)學名藥競爭的目的;(2)藥商之間訴訟纏訟的情形如何;(3)關於專利訴訟和解協議的簽署情形。雖然歐盟此項調查並不一定意味其即可找出原開發藥廠與學名藥廠違反競爭的證據,但歐盟此次的調查舉動或許意味,歐盟已從美國經驗中開始懷疑製藥產業內原開發藥廠與學名藥廠間不尋常的合作模式,對於是否有違反競爭之情事存疑。
美國加州通過《基因資訊隱私法》針對基因資訊建立個資保護機制美國加州州長於2021年10月6日正式簽署《基因資訊隱私法》(Genetic Information Privacy Act, GIPA), 將於2022 年 1 月 1 日生效。GIPA在聯邦法和州隱私法的框架下,補充建立基因資訊保護機制,規範無醫護人員參與的「直接面對消費者基因檢測公司」(Direct-to-consumer genetic testing company,下稱DTC公司)之個資保護義務,並要求DTC公司執行下列消費者基因資料(去識別化資料除外)之蒐集、利用、揭露,須獲消費者明示同意: 利用DTC公司產品或服務所蒐集之基因資料,應取得同意。其同意書須載明近用對象、共享方式,以及具體利用目的。 初步測試完成後儲存生物樣本,應取得同意。 目的外利用該基因資料或樣本,應取得同意。 向服務提供商外之第三方傳輸或揭露該基因資訊或樣本,應取得同意。其同意書須載明該第三方之名稱。 分析行銷或第三方依消費紀錄所進行之促銷,應取得同意。 上開同意之取得,不可使用黑暗模式(dark patterns)誤導消費者,並必須針對資料或樣本採取合理安全維護措施。 GIPA也新增消費者權利,保障消費者近用權和刪除權,DTC公司須制定政策,使消費者易於近用基因資料、刪除帳戶與基因資料、銷毀生物樣本等,並須於消費者依法撤回同意後30日內銷毀之,不得因行使權利而有差別待遇。DTC公司若GIPA違反規定,消費者擁有私人訴訟權。
歐洲議會通過「關於著作權與生成式人工智慧-機會與挑戰」決議,向執委會提出政策建議歐洲議會於2026年3月10日通過「關於著作權與生成式人工智慧-機會與挑戰」決議(European Parliament resolution on copyright and generative artificial intelligence – opportunities and challenges)。有鑑於生成式 AI 經常發生未經授權在網路上抓取作品、無視權利保留或使用非法來源作品等侵權行為,歐洲議會特別通過本決議,闡明其就生成式 AI 相關著作權議題之立場,並就歐盟未來在此領域之政策方向與法制建構,向執委會提出具體作法建議。其重點摘要如下: 一、保障權利人對 AI 作品利用之完整掌控權 權利人對其作品用於 AI 訓練或後續應用(如推論與 RAG)應擁有完全控制權。執委會應建立保障機制,並針對新聞媒體遭大規模抓取利用之困境,研擬專門的保護措施。 二、推動自願性集體授權協議,衡平權益保障與資料需求 為兼顧權利人獲得公平報酬與 AI 業者取得高品質訓練資料之需求,執委會應推動自願性集體授權協議,平衡雙方利益。 三、落實退出權(opt-out) 執委會應評估可行的技術方案,以識別並尊重權利人拒絕其作品被用於AI訓練的權利保留聲明,並指定歐盟智慧財產局(EUIPO)擔任受信任之中介機構(trusted intermediary),負責管理相關opt-out事項。 四、完善透明度架構,並導入「可推翻推定」機制強化執行 執委會應建立全面的透明度架構,在溯源管理方面,要求通用 AI 模型和系統業者提供受保護作品清單及來源證明,以及網路爬蟲紀錄,且網路爬蟲需具備可識別性;在內容識別方面,執委會應制定AI生成內容標註行為準則,落實AI生成內容之偵測與告知義務,強化對提供創意內容之平台履行透明度義務狀況之監督。執委會應建立「可推翻推定」(Rebuttable Presumption)機制,相關業者如未遵守上述透明度義務,即推定其已使用受保護作品,權利人於訴訟中勝訴時,訴訟費用將由AI業者承擔。 五、落實著作權授權報酬制度,強化自主授權 歐洲議會反對以「總額支付」(Flat-rate)方式進行全球授權;權利人對授權條件與報酬應擁有自主決定權。執委會應建立相關框架,鼓勵業者尋求合法授權並支付合理報酬;同時,應針對業者「過去」利用受著作權保護作品之行為,研究具體補償方案。 六、完善補充性法律框架以強化監管 歐盟現行著作權法規已不足以應對生成式AI之挑戰,尤其《數位單一市場著作權指令》(CDSM 指令)針對 AI 訓練之規範仍存在模糊地帶,執委會應建立補充性法律框架(Supplementary Legal Framework),明確生成式AI相關著作權授權規則,以有效遏阻AI開發者違規行為。 歐洲議會之決議案並不具法律約束力,然依歐盟立法程序,執委會所提出之立法草案,須經歐洲議會與理事會共同審議通過始能生效,本決議暨已揭示歐洲議會於相關議題上之政策立場與建議,執委會於後續研擬立法草案時,勢必將其納入重要考量,以利後續立法程序之推進。是以,本決議內容實具重要之實務參考價值。