歐洲藥物管理局(EMA)加強與歐洲毒品與毒癮監控中心(EMCDDA)於精神性影響藥物和藥物濫用上的資訊交換合作

去年八月甫通過的中國電子簽名法在今年四月一日正式生效，而中國首家對外提供電子簽章服務的憑證機構（電子印章中心）在三月三十日成立。 　　 中國電子簽名法對於電子簽名的定義指出，電子簽名是指數據電文中以電子形式所含、所附用於識別簽名人身分並表明簽名人認可其中內容的數據。而電子簽名的適用範圍，除了在涉及婚姻、收養、繼承等人身關係、土地房屋等不動產權益轉讓、停止供水、供熱、供氣、供電等公用事業服務或法律、行政法規規定不適用電子文書的其他情形外，均可使用電子簽名。

　　隨著個人資料保護意識的興起，各國也持續增修法律來保護人民權益以及協調產業標準，但這變動的過程會對本來就複雜的法律結構帶來更多挑戰。 　　如美國同時會有聯邦法與州法兩個層次的法律，當兩者分別發展隱私權相關法律規範時，難免會缺乏協調，出現定義不明的重疊規範，進而提高企業之法令遵循成本與管理成本。最終導致的結果，就是非必要地降低了產業發展速度，以及提高了消費者獲得服務的成本。 　　日前美國加州政府修改了首部以消費者個人資料權利為規範之州級法律「加州消費者隱私保護法（California Consumer Privacy Act, CCPA）」，使該部法案對於個人資料保護與利用之規範日漸完備，並減少與聯邦政府重複管轄項目，進而達到合理降低州內企業的遵法成本。美國加州州長紐松（Gavin Newsom）簽署的CCPA修正案「AB-713號法案」（Assembly Bill No. 713, an act to amend Sections 1798.130 and 1798.145 of the Civil Code ）通過後，CCPA之適用範圍將限縮。若「同時符合」下列二者條件，則可免受CCPA規範： 受「加州醫療資訊保密法」（the California’s Confidentiality of Medical Information Act, CMIA）所規範的的醫療資訊及個人健康資訊之衍生資訊，或受「美國聯邦受試者保護通則」（Federal Common Rule for human research subjects) 所規範的可識別之個人資訊。 根據「健康保險可攜性及責任法」（Health Insurance Portability and Accountability Act, HIPPA）之標準，已去識別化的資訊。 　　換言之，已經依HIPAA標準去識別化之第一點資訊，即可豁免CCPA針對個人資料保護之相關規定。此將減輕本身不受 HIPAA 規範，但因進行研究或業務目的需接收 HIPPA 去識別化資訊企業之合規負擔。 　　「AB-713號法案」對於已去識別化資訊之利用或販售行為，增設了契約須載明下列規範架構之條款內容： 如有利用或販售去識別化資訊涉及病患資料者，須在契約中予以聲明。 禁止買受人或被授權利用人以任何方式重新識別去識別化資訊。 除法律另有規定，或第三方受到相同或更嚴格限制之個資保護約束，買受人或被授權利用人不得將去識別化資訊再行揭露予第三方。 　　「AB-713號法案」亦要求進行CCPA所涵蓋販售或揭露去識別化病患資訊的企業，其隱私政策聲明應納入以下內容： 將出售或揭露去識別化病患之資訊； 採用HIPAA所允許如專家法(Expert determination)或安全港法(Safe harbor)等之何種方式，進行病患資訊之去識別化。 　　整體來說，「AB-713號法案」讓CCPA的規範稍加鬆綁，明確排除CCPA對特定去識別化資訊之適用，並擴張對研究行為之豁免範圍，在處理上有更多彈性，惟同時也要求企業須充分揭露其個人資料處理原則。

　　繼美國聯邦巡迴上訴法院於2009年底於The Forest Group Inc v. Bon Tool Co. 一案中將美國專利法35 U.S.C. § 292條中關於不實專利標示(false patent marking)的罰金計算方式認定為罰金之計算是以每一個標示錯誤專利資訊的產品為基礎，並將原案發回地方法院(the U.S. District Court for the Southern District of Texas)重審後，地方法院於今年4月27日裁定基於專利法第292條具懲罰性之本質，針對標示錯誤或標示無效專利號之產品之罰金應以該產品之最高售價而非被告基於販售該產品所獲得之利潤或經濟利益來計算。 　　於此案中，The Forest Group產品之售價介於美金 $103至 $180元間，法院因而裁定處以The Forest Group每一標示錯誤專利資訊產品 $180元之罰金。 Atlas 法官提到藉由將標示不實專利資訊者處以該產品之最高售價之罰金，The Forest Group所需賠償之罰金將超過其藉由販售該產品所獲取之利益，達到第292條遏制之目的。 　　預計此案之判決將對其他地方法院於處理類似案件之判定產生引響，尤其對那些將錯誤專利資訊標示在大量產品上的被告而言。此外，正如各界所預料，繼去年聯邦巡迴上訴法院對第292條提出罰金計算基礎之解釋後，提起相關訴訟案件之數量已大量提升，至今已累積約140案。另，聯邦巡迴上訴法院亦剛於6月10日於Pequignot v. Solo Cup 一案中針對標示過期專利、舉證責任等與第292條相關之爭議做出解釋，後續效應直得企業持續關注。

　　英國作為歐洲金融重鎮，不論各行業均有蒐集、處理、利用歐盟會員國公民個人資料之可能，歐盟一般資料保護規則（General Data Protection Regulation，簡稱GDPR）作為歐盟資料保護之重要規則，英國企業初步應如何自我檢視組織內是否符合歐盟資料保護標準，英國資訊委員辦公室（Information Commissioner's Office, ICO）即扮演重要推手與協助角色。 　　英國ICO於2017年4月發布企業自行檢視是否符合GDPR之12步驟（Preparing for the General Data Protection Regulation（GDPR）-12 steps to take now），可供了解GDPR的輪廓與思考未來應如何因應： 認知（Awareness）：認知GDPR帶來的改變，與未來將發生的問題與風險。 盤點資料種類（Information you hold）：盤點目前持有個人資料，了解資料來源與傳輸流向，保留處理資料的紀錄。 檢視外部隱私政策（Communicating privacy information）：重新檢視當前公告外部隱私政策，並及時對GDPR的施行擬定因應計畫。 當事人權利（Individuals'rights）：檢視資料處理流程，確保已涵蓋GDPR賦予當事人如：告知權、接近權、更正權、刪除權、製給複本權、停止處理權、不受自動決策影響等相關權利。 處理客戶取得資料請求（Subject access requests）：GDPR規定不能因為客戶提出取得資料請求而向其收費；限期於1個月內回覆客戶的請求；可對明顯無理或過度的請求加以拒絕或收費；如拒絕客戶請求則限期於1個月內須向其說明理由與救濟途徑等。 處理個人資料須立於合法理由（Lawful basis for processing personal data）：可利用文書記錄與更新隱私聲明說明處理個人資料之合法理由。 當事人同意（Consent）：重新檢視初時如何查找、紀錄與管理取得個人資料的同意，思考流程是否需要做出任何改變，如無法符合GDPR規定之標準，則須重新取得當事人同意。 未成年人（Children）保護：思考是否需要制定年齡驗證措施；對於未成年人保護，考慮資料處理活動是否需取得其父母或監護人的同意。 資料外洩（Data breaches）：有關資料外洩的偵測、報告與調查，確保已制定適當處理流程。 資料保護設計與影響評估（Data Protection by Design and Data Protection Impact Assessments）：GDPR使資料保護設計與影響評估明文化。 資料保護專責人員（Data Protection Officers）：須指定資料保護專責人員，並思考該專責人員於組織中的角色與定位。 跨境傳輸（International）：如執行業務需跨越數個歐盟會員國境域，企業則須衡量資料監管機關為何。