美國FDA對於基因工程鮭魚核准上市及產品標示議題，舉行公聽會討論

　　英國資訊專員辦公室（Information Commissioner's Office, ICO）於2019年12月20日發布首宗依據歐盟一般資料保護規則（General Data Protection Regulation, GDPR）之裁罰。 　　本案源於英國藥物及保健產品管理局（Medicines and Healthcare products Regulatory Agency, MHRA）接獲投訴前往倫敦當地一家名為Doorstep Dispensaree Ltd之連鎖藥局進行藥品違規調查，卻意外發現其後院存放大量敏感個資文件，約五十萬個文件檔案皆未做任何資料檔案保護措施，上面更記載名字、地址、出生日期、NHS號碼、醫療資料及處方籤等患者之個人資料，旋即通報英國資訊專員辦公室展開調查。最終英國資訊專員辦公室以該藥局違反歐盟一般資料保護規則（General Data Protection Regulation, GDPR）第5條1項第f款、第24條第1項及第32條，裁罰275,000英鎊。其裁罰理由如下： 一、隱私政策並不符合要求，如未述明蒐集個人資料之類別，未訂定個資保存期限，當事人告知聲明不完備，無當事人權利行使等。 二、無適當安全維護措施 三、涉及敏感性個資，違法情狀嚴重 四、未積極配合調查 五、影響層面甚深，導致該藥局配合之上百家療養院，近千名當事人個資受損害。 　　此為英國資訊專員辦公室首宗依據歐盟一般資料保護規則確定裁罰之案例且涉及敏感性個資，有其指標性。除此之外，英國航空與萬豪酒店之個資外洩案亦欲依GDPR進行裁罰，實值持續關注後續發展。

紐西蘭內政部於2024年7月25日發布新版洗錢防制與打擊資助恐怖主義（Anti-Money Laundering and Countering Financing of Terrorism, 以下均簡稱AML/ CFT）指引（下稱指引），指導虛擬資產服務提供者（virtual asset service providers, 下稱VASPs）遵循虛擬資產交易行為準則與注意事項。該國有關AML/ CFT之規定係以多項規則與行為指引構成，且應技術、產業與國際標準之變革持續調整既有框架。本次指引更新係為配合AML/ CFT法（AML/ CFT Act 2009）及其規則之修正與生效，重新規範VASPs對於虛擬資產轉帳再定義後義務。以下針對法規變革脈絡簡要說明： AML/ CFT規則（AML/ CFT (Definitions) Regulations 2011）將虛擬資產定義為具有價值的數位貨幣，可用於交易、達成支付或投資目的；雖其不等同於債券、股票與衍生性金融產品或數位法定貨幣，VASPs仍為AML/ CFT法定義之報告實體，負有對客戶進行盡職調查、報告特定業務活動與交易的義務。 自2024年6月起，AML/ CFT規則全面納管虛擬資產轉帳，範圍由法定貨幣與虛擬資產間的流動，擴及虛擬資產間的交易，包含以VASPs作為中介機構之交易情形。此外，基於虛擬資產跨境的特性，所有轉帳皆被推定為國際轉帳，除非VASPs確定該筆交易發生紐西蘭境內。AML/ CFT規則對虛擬資產平臺交易之監管密度係以1,000紐幣為閾值，VASPs須對超過此金額的國際轉帳，向金融情報中心（Financial Intelligence Unit, FIU）提送交易報告；而對於臨時性交易則應盡職調查客戶。 為降低虛擬資產被用於非法活動之風險，防制洗錢金融行動工作組織（FATF）倡議於國際施行一致之監管標準，避免因各國法規監管差異造成防堵漏洞。紐西蘭政府藉改造現行金融法規將相關產業逐步納入監管，並提供指引說明及闡釋法規內容，調適金融科技發展與現有制度規範落差。此次AML/ CFT規則與VASPs指引之修正，將有助於紐西蘭更符合國際組織建議之洗錢防制與反資助恐怖活動監管標準。

　　為反制專利蟑螂利用訴訟方式滋擾實際從事研發以及實施專利者，美國國會於2012年8月提出SHIELD法案（Saving High-Tech Innovators from Egregious Legal Disputes Act of 2012 ），顧名思義本法案之目的在於防免高科技創新者陷於惡意挑起的法律爭端之中。該法案補充美國聯邦專利法規定，使得法院得在發現當事人一造並無合理勝訴之可能而仍舊對電腦硬體或軟體專利之有效性提起訴訟，或主張被侵權時，法院得判決其回復全部訴訟之費用支出予除美國以外勝訴之一造（the prevailing party），包括合理之律師費。 　　SHIELD法案原立意良善，但其也可能就像兩面刃，例如法案的規範內容用語抽象，以致於在企圖達到其立法目的外，未同時設想可能造成的法律陷阱或未預期之法律效果。就法案內容來看，其賦予法院得判決要求回復訴訟費用及律師費之人（所謂勝訴之一造）並不限於原告。又本法案得適用在任何電腦或軟體專利的訴訟，因此，當兩家大型公司相互就專利實施進行對決時，SHIELD法案無異使得原本已經成本很高的競爭更提高雙方的賭注。此外，法案中對「電腦」的定義，不限於一般認知的「軟體或電腦硬體公司」，使得從金融業到汽車製造都可能涵蓋在內，例如銀行就有許多系統可能同時連接具專利之電腦或其他軟體組件。更重要的是，何時勝訴方可獲得律師費之補償判決，法案亦沒有給法院明確之範圍。 　　雖然本法案最後通過與否或通過施行後的樣貌仍未可知，但可得知的是對於部分NPE之負面利用專利制度之行為，已促使政府與法界思索專利制度如何衡平專利權保護而更能達到專利制度設置之目的，而其未來顯然仍有一段遙遠的路要走。

　　歐洲理事會修訂「保護個人有關個人資料處理及自由流通規則（一般資料保護規則）」（Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), GDPR），該草案內容包括行政罰鍰三審制（three-tiered system）。凡故意或過失違反歐洲資料保護基本權之企業，情節重大者，可能招致鉅額行政罰鍰，草案之裁罰性措施將讓從業者更加重視資料保護法益。 　　是否對違反GDPR之侵權行為裁處罰鍰，會員國政府有裁量權限；已受刑事制裁者，政府亦得免除罰鍰以避免重複處罰。資料保護主管機關（data protection authorities, DPAs）依三審制判斷，確保所裁處罰鍰具有效性、比例性及嚇阻性。三審制包括：第一審，是否對資料當事人之資料要求延遲、變更回應；第二審，是否對資料當事人、DPAs盡資訊透明義務；第三審，各種具體侵權行為，包括對於資料取得缺乏法律依據、未能即時告知資料違反情事，或未採取適當安全防衛措施於歐盟以外區域傳遞資料等。 　　依草案，DPAs審酌罰鍰額度時，應依下列計算罰鍰： 　　(1) 企業故意或過失未能於一定期間內，回應資料當事人之資料查閱請求者，裁處上一會計年度全球總年營業額0.5%罰鍰。 　　(2) 企業故意或過失未能提供任何或所有符合資料當事人要求之必要資訊；或未能對消費者充分揭露個人資料蒐集、處理的目的者，裁處上一會計年度全球總年營業額1%罰鍰。 　　(3) 企業故意或過失未能維護消費者權益，更正或刪除消費者資料，違反GDPR所保障之消費者「被遺忘權」者，裁處上一會計年度全球總年營業額1%罰鍰。 　　(4) 企業故意或過失處理個人資料，行為不具適法性、違反法規、沒有對當事人通知資料違反或將個人資料傳遞自歐盟以外區域，該區域沒有適當安全資料保護者，就企業上一會計年度全球總年營業額裁處2%罰鍰。 　　六月中旬，歐盟各部長將就歐洲議會、歐盟理事會的提案，就罰鍰額度進行最後協商，未來將持續關注草案協商後續發展。