歐盟科技策略新趨勢－生物經濟策略

　　英國作為歐洲金融重鎮，不論各行業均有蒐集、處理、利用歐盟會員國公民個人資料之可能，歐盟一般資料保護規則（General Data Protection Regulation，簡稱GDPR）作為歐盟資料保護之重要規則，英國企業初步應如何自我檢視組織內是否符合歐盟資料保護標準，英國資訊委員辦公室（Information Commissioner's Office, ICO）即扮演重要推手與協助角色。 　　英國ICO於2017年4月發布企業自行檢視是否符合GDPR之12步驟（Preparing for the General Data Protection Regulation（GDPR）-12 steps to take now），可供了解GDPR的輪廓與思考未來應如何因應： 認知（Awareness）：認知GDPR帶來的改變，與未來將發生的問題與風險。 盤點資料種類（Information you hold）：盤點目前持有個人資料，了解資料來源與傳輸流向，保留處理資料的紀錄。 檢視外部隱私政策（Communicating privacy information）：重新檢視當前公告外部隱私政策，並及時對GDPR的施行擬定因應計畫。 當事人權利（Individuals'rights）：檢視資料處理流程，確保已涵蓋GDPR賦予當事人如：告知權、接近權、更正權、刪除權、製給複本權、停止處理權、不受自動決策影響等相關權利。 處理客戶取得資料請求（Subject access requests）：GDPR規定不能因為客戶提出取得資料請求而向其收費；限期於1個月內回覆客戶的請求；可對明顯無理或過度的請求加以拒絕或收費；如拒絕客戶請求則限期於1個月內須向其說明理由與救濟途徑等。 處理個人資料須立於合法理由（Lawful basis for processing personal data）：可利用文書記錄與更新隱私聲明說明處理個人資料之合法理由。 當事人同意（Consent）：重新檢視初時如何查找、紀錄與管理取得個人資料的同意，思考流程是否需要做出任何改變，如無法符合GDPR規定之標準，則須重新取得當事人同意。 未成年人（Children）保護：思考是否需要制定年齡驗證措施；對於未成年人保護，考慮資料處理活動是否需取得其父母或監護人的同意。 資料外洩（Data breaches）：有關資料外洩的偵測、報告與調查，確保已制定適當處理流程。 資料保護設計與影響評估（Data Protection by Design and Data Protection Impact Assessments）：GDPR使資料保護設計與影響評估明文化。 資料保護專責人員（Data Protection Officers）：須指定資料保護專責人員，並思考該專責人員於組織中的角色與定位。 跨境傳輸（International）：如執行業務需跨越數個歐盟會員國境域，企業則須衡量資料監管機關為何。

　　歐盟執委會於2019年6月正式通過「歐盟網路與資訊安全局暨網路安全認證規則(EU Regulation on ENISA and Cyber Security Certification)(Regulation (EU) 2019/881)。規則新增歐盟網路與資訊安全局（European Union Agency for Network and Information Security,ENISA）之職責，負責推行「網路安全認證機制(European cybersecurity certification scheme)」。 　　網路安全認證機制旨在歐盟層面針對特定產品、服務及流程評估其網路安全。運作模式是將產品或服務進行分類，有不同的評估類型（如自行評估或第三方評估）、網路安全規範（如參考標準或技術規範）、預期的保證等級（如低、中、高），並給予相關之認證。為了呈現網路安全風險的程度，證明書上可以使用三個級別：低、中、高（basic，substantial，high）。若資訊安全事件發生時，對產品、服務及流程造成影響時，廠商應依據其產品或服務之級別採行相對應的因應對策。若被認證為高等級的產品，則表示已經通過最高等級的安全性測試。 　　廠商之產品或服務被認可後會得到一張認證書，使企業進行跨境交易時，能讓使用者更方便理解產品或服務的安全性，供應商間能在歐盟市場內進行良好的競爭，從而產生更好的產品及性價比。藉由該認證機制所產生的認證書，對於市場方將帶來以下之效益： 一、產品或服務的提供商（包括中小型企業和新創企業）和供應商：藉由該機制獲得歐盟證書，可以在成員國中提升競爭力。 二、公民和最終使用者（例如基礎設施的運營商）：針對日常所需的產品和服務，能做出更明智的購買決策。例如消費者欲購買智慧家具，就可藉由ENISA的網路安全認證網站諮詢該產品網路安全資訊。 三、個人、商業買家、政府：在購買某產品或服務時，可以藉此機制讓產品或服務的資訊透明化，以做出更好的抉擇。

　　美國最高法院於2017年5月30日針對Impression Products v. Lexmark International作出最終裁決，說明當專利權人銷售專利產品時，無論在美國境內或境外，專利權人不能再以美國專利法來限制該專利產品，一經銷售後該產品專利權已經耗盡。 　　本案起因為美國印表機研發製造大廠Lexmark推出兩項碳粉匣方案：原價碳粉匣，無任何轉售限制；以及優惠碳粉匣，並附帶「一次性使用」（single use）及「不得轉售」（no resale）限制條款，消費者不得自行填充再利用、再轉售或轉讓給原廠以外的第三方。本案專利權人Lexmark控告同業Impression侵害其權利（違反一次性使用及不得轉售），被告Impression則主張兩項碳粉匣產品的專利權在美國境內的首次銷售後就已耗盡了。該案爭點包含：（一）專利產品在境外首次授權或銷售，是否導致專利權耗盡；（二）專利權人訂立售後限制條款，可否用以追究當事人違反限制條款責任？ 　　地院引述最高法院過去兩個判例（Quanta案及Kirtsaeng案），裁定Lexmark專利產品因首次授權銷售情形而權利耗盡。原告Lexmark提出上訴，CAFC則認為專利產品在境外銷售情形，不會導致專利權人在境內專利權耗盡，且在首次銷售時給的授權，已經合法限制再銷售或再使用，故Impression仍構成專利侵權。 　　最終，最高法院推翻CAFC見解，認為無論是專利權人直接銷售，或是對專利產品加諸任何限制，專利權人決定銷售產品時，該產品相關的專利權就會耗盡。另外最高法院亦指出，當專利權人透過契約與購買者約定，限制其使用或轉售的權利，其在契約法上或許有效，但在專利侵權訴訟中則沒有用。本案後，最高法院確立採國際耗盡原則，說明專利權人在全球任何地方，產品經銷售後即權利耗盡，無論專利權人是否有任何售後限制。 「本文同步刊登於TIPS網站（https://www.tips.org.tw ）」

　　美國聯邦貿易委員會(Federal Trade Commission, FTC)於2013年8月29日對位於亞特蘭大的一家小型醫療測試實驗室LabMD提出行政控訴，指控LabMD怠於以合理的保護措施保障消費者的資訊（包括醫療資訊）安全。FTC因此依據聯邦貿易委員會法(Federal Trade Commission Act, FTC Act)第5條展開調查，並要求LabMD需強化其資安防護機制（In the Matter of LabMD, Inc., a corporation, Docket No. 9357）。 　　根據FTC網站揭示的資訊，LabMD因為使用了點對點（Peer to Peer）資料分享軟體，讓客戶的資料暴露於資訊安全風險中；有將近10,000名客戶的醫療及其他敏感性資料因此被外洩，至少500名消費者被身份盜用。 　　不過，LabMD反指控FTC，認為國會並沒有授權FTC處理個人資料保護或一般企業資訊安全標準之議題，FTC的調查屬濫權，無理由擴張了聯邦貿易委員會法第5條的授權。 　　本案的癥結聚焦於，FTC利用了對聯邦貿易委員會法第5條「不公平或欺騙之商業行為(unfair or deceptive acts)」的文字解釋，涉嫌將其組織定位從反托拉斯法「執法者」的角色轉換到（正當商業行為）「法規與標準制訂者」的角色，逸脫了法律與判例的約束。由於FTC過去曾對許多大型科技公司（如google）提出類似的控訴，許多公司都在關注本案後續的發展。