美國將重新檢討網域管理政策

今年7月，美國國會議員Issa提出了《2024年訴訟透明法案》（H.R. 9922, the Litigation Transparency Act of 2024，下稱《訴訟透明法案》），要求當事人揭露民事訴訟中所取得之金融支援的來源，如商業貸款機構等，以提高訴訟透明度並降低濫訴之情形，惟此提案恐導致美國新創及中小企業更難成功起訴竊取其專屬技術之大企業。 近年來，許多大型科技公司從較小的競爭對手竊取其專屬技術，然而僅有少數案例成功取得賠償金，如：伊利諾州地方法院要求Amazon向軟體公司Kove IO支付5.25億美元的賠償金等。這是由於新創及中小企業縱有證據證明其智慧財產權被盜，在訴訟中多面臨沒有足夠資力與大型科技公司抗衡之窘境，因此往往被迫接受遠低於其所受損失之和解金。透過這種方式，大型科技公司能掌握技術並支付低於取得該技術授權所需之成本，因此被稱之為「有效侵權（efficient infringement）」。 新創及中小企業近期透過與第三方金融資助者協議共享訴訟取得之賠償等方式，降低其進入訴訟程序的經濟門檻，以對抗大型科技公司所採取之「有效侵權」。然而最近一系列案例顯示，中國大陸所支持的第三方金融資助者助長了針對美國企業之智財訴訟，引發了國家安全問題，故立法者為降低營業秘密被外國競爭對手取得之風險、避免無意義之訴訟被廣泛提起，要求當事人揭露其於民事訴訟中所取得之金融支援來源。若《訴訟透明法案》通過，原告所採取之法律策略將可能外洩，而第三方金融資助者亦將受到各方之抨擊，進而導致新創及中小企業在訴訟中更難取得金融支援。 綜上所述，若要降低訴訟之可能性，新創及中小企業須強化其對於專屬技術之保護，從根本減少專屬技術洩露之風險，以避免訴訟發生或進入後端訴訟。有鑑於新創及中小企業與大企業相比，在智財保護觀念上更接近學研單位，且對於營業秘密之管理多未臻完備，因此為確保其能有效落實對營業秘密之管控，建議新創及中小企業可參考智慧局所發布之《學研機構營業秘密管理實作要領》，量身訂作符合自身需求的營業秘密管理制度，並循序完善相應之營業秘密管理措施，以降低專屬技術被竊取的風險。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　美國參議院於今年(2020年)5月，通過了由共和黨領袖 Mitch McConnell 所提議主張，恢復《愛國者法案》（Patriot Act）中，原本應於今年3月失效的215條監控條款，該條款允許執法機構在沒有搜索令的情況下，取得人民的網路歷史瀏覽和搜尋紀錄。 　　此修正案授予聯邦調查局(FBI)及中央情報局(CIA)等執法機構權力，只要其認為該紀錄與犯罪調查有關並且在檢察總長的監督下，即可無須經過法官批准，獲取人民的網路歷史瀏覽和搜尋紀錄。此法案雖限制執法機構不得取得人民瀏覽和搜尋網頁的「內容」，但卻可以取得該歷史紀錄，而歷史紀錄中詳細記載了人民所瀏覽的網站及所輸入的關鍵字。 　　倡導隱私保護而反對此一法案的團體，認為政府在此法案的支持下，能夠藉由打擊恐怖主義、避免社會動亂、保護國家安全以及保護兒童等理由，對人民進行監視、侵害其隱私。反對者認為網路瀏覽和搜尋紀錄是美國人最敏感、最個人和最私密的部分，人們會把所想到的每一個想法都透過網路去搜尋，並且瀏覽相關網站，因此，獲取人民的網路瀏覽和搜尋紀錄即等同於了解其內心想法。此法案的反對者包含了兩黨的部分參議員、自由派公民團體「美國公民自由聯盟（American Civil Liberties Union）」以及保守派公民團體「繁榮美國（Americans for Prosperity）」，其認為並無任何證據能夠證明政府依《愛國者法案》所進行的大規模監管，得以拯救任何人的生命。 　　民主國家中，如何在犯罪追訴以及民主自由之間找到平衡，會是一個值得深究的問題。

　　西班牙個資監管機關（Agencia Española de Protección de Datos, AEPD）於2022年5月3日增加健康和個人資料保護有關的關注領域。觀2021年，計有680件與健康資料相關之爭議案件，與2020年相比增長了75%，又因健康資料為特殊類型之個人資料，故更應嚴加保障。 　　該領域的內容適用於公民、資料控制者、資料保護專業人員、健康中心或製藥行業等，共分六小節： 一、第一小節概述了與健康資料有關的權利，解釋了歐盟一般個人資料保護規則（General Data Protection Regulation, GDPR）第9條及西班牙當地規範有關處理健康資料定義、如何行使醫療記錄近用權（Right to access），以及與醫學研究相關的問題，其中規定了患者在使用資料和臨床文件方面權利和義務、在近用權被拒絕情況下如何向AEPD申訴、臨床病史保留及刪除權利之限制等。 二、第二小節重點介紹AEPD公布的相關報告和指南，包括勞資關係中之個人資料保護指南，及有關臨床病史、臨床試驗等相關主題之報告。 三、第三小節則著重在AEPD於新型冠狀病毒肺炎（COVID-19）爆發後，製作大量與COVID-19相關之聲明文件及法律報告，故在此彙整相關資料，以協助落實個人資料之保障。 四、第四小節健康研究和臨床試驗，其中彙編了相關指南，以及規範臨床試驗和其他臨床研究以及藥物安全監視所涉個人資料保護行為準則。 五、第五小節講述與健康狀況有關之申訴、賠償紀錄部分，其中包括AEPD收到多項涉及已故患者直系親屬近用醫療記錄之權利或醫療專業人員非法獲取臨床病史和醫療記錄之投訴。 六、第六小節側重於醫療組織洩露個人資料議題，概述了資料控制者之義務以及為確保遵循GDPR而應採取之措施，另強調以特殊方式處理健康資料之活動，如電子健康紀錄、物聯網醫療所使用之行動裝置或雲端等存取設備，皆存在外洩之風險因子。

　　日本個人情報保護委員會於5月31日與歐盟執行委員會，對於取得之個人資料跨境傳輸相互承認達成實質合意。歐盟今年5月施行之歐盟個人資料保護規則（European Union General Data Protection Regulation,GDPR）對於個人資料之跨境傳輸係採「原則禁止、例外允許」模式，因此只有在符合例外之情形下，個人資料才能進行跨境傳輸，而例外獲得許可的情形包括由企業自主採行符合規範的適當保護措施，或取得個資當事人明確同意等方式。此外，GDPR也規定對第三國或地區個人資料保護水平是否達到GDPR標準，為適足性認定制度，取得此一認定資格者，即可自由與歐盟間進行個人資料跨境傳輸。目前有瑞士等11個國家及地區取得認定，日本則尚未取得。 　　日本為了減輕企業的負擔，2016年7月個人情報委員會決定處理方針，以取得相互認定承認為目標；於2017年1月歐盟執行委員會政策文書發表，將日本列為適足性認定之優先國家，將持續進行雙方後續對話。自2016年4月自2018年5月為止累計對話協商53次。於2017年5月施行修正之個人資料保護法，新導入域外適用規定，並對於國外執行當局為必要資訊提供為相關規定。依據上述對話意見，今年2月14日審議擬定「個人資料保護法指引－歐盟適足性認定之個人資料傳輸處理編(個人情報の保護に関する法律についてのガイドラインーEU域内から十分性認定により移転を受けた個人データの取扱い編)」草案，於今年4月25日至5月25日完成草案預告及意見徵集程序，預定於今年7月上旬訂定發布。其後，將於今年秋天完成歐盟與日本間相互指定與認定程序。亦即，個人情報保護委員會基於個人資料保護法第24條規定，指定歐洲經濟區（EEA）為與日本有同等水準之個人資料保護制度之外國，而歐盟執行委員會依據GDPR第45條規定，認定日本為具備適足保護水準。相互認定後，日本與歐盟間得相互為個人資料傳輸，如有相互協力必要性發生時，個人情報保護委員會及歐洲執行委員會應相互協議以為解決。