手機軟體（APP）辨識來電號碼之法律問題

　　英國於今年5月26日通過「隱私及電子通訊規範」（The Privacy and Electronic Communications Regulations），實現隱私監督之責，以管控cookies或是侵害個人資料之行為。   　　新法納入歐盟於2009年e隱私指令中所決定之改變，旨在讓網路使用者自行決定資訊服務業或其他事業能儲存多少使用者之紀錄。但業者對此項新要求表示困惑，因此英國之隱私權主管監督機關資訊專員公署（Information Commissioner's Office，ICO）最近出版一份指引，指導網站如何遵守新法使用cookies功能之規定及履行告知義務之要求。然而指引中並未強制規定告知內容與方式，因此業者仍可自行決定如何最有效地履行告知義務。   　　ICO本週表示新法尚有一年之緩衝期間，讓業者調整使用cookies功能之方式。政府表示目前仍在與瀏覽企業者討論，如何透過瀏覽器頁面之設置取得當事人之同意，而此部分尚未規定在新法中。   　　「政府的指引太晚公布了，並且缺乏明確性，又無法確定新法是否能允許以瀏覽器技術作為解決之方法，這樣會讓業界無所適從」，任職於Pinsent Masons法律事務所的科技法律專家Clarie McCracken說，「此種非決定性之指引會使業者無法找到標準作法以避免觸犯新法。」。   　　ICO認為企業在新法正式施行前，最好趕快表明其如何使用cookies功能並制定相關規定以遵守新法。   　　新法同時要求特定企業當其所蒐集之個人資料遭受駭客攻擊或外洩時，其必須要告知消費者。根據新法，個人資料遭受侵害之定義為：某種安全狀態遭受攻擊，導致與公共電子通訊服務有關之個人資料被故意或不法毀損、滅失、竄改、越權揭露或存取、傳遞、儲存或其他相關利用。當上述情事發生時，公司必須通報ICO，說明大致情況及可能產生之結果，並提出公司將採取之因應措施，同時告知受害之消費者。

　　美國食品藥物管理局（The Food and Drug Administration，簡稱FDA）於2014年7月更新並公布了醫療器材上市前許可（premarket notification）的指引（guidance）（該指引名稱為510(k) Program: Evaluating Substantial Equivalence in Premarket Notification Guidance for Industry and Food and Drug Administration Staff，以下簡稱510(k)指引），針對醫療器材業者將其生產製造的醫療儀器申請上市的過程做了新的調整及規範。此指引主要是讓業界及FDA人員了解FDA在評估醫療器材申請過程中所評估的因素及要點，並藉由FDA在審查醫療器材的實務規範及審查標準來當作標準並訂定510(k)修正，以提高510(k)評估的可預測性、一致性及透明度，讓業界有一定的遵循標準。雖然FDA的指令文件並不受法律強制規範，但可供醫材業者更清楚FDA所重視的審查程序及內容。 　　歐盟對醫療器材上市前之審查亦有相關指令，分別為一般醫療器材指令（Medical Device Directive，簡稱MDD）、活體植入醫材指令（Active Implantable Medical Devices Directive，簡稱AIMDD）及。歐盟規定醫療器材在上市前，必須符合上市前所規定之內容以正當在歐盟、歐洲經濟地區（European Economic Area）及瑞士市場販售使用。然而特別的是，不同於美國上市前的醫療器材由主管機關FDA進行審查，歐洲藥物管理局（The European Medicines Agency of the EU）並不參與醫療器材的審核程序，而是交由歐盟會員國的私人認證機構對醫療器材做評估。

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

從歐洲對於侵害第二醫療用途專利之見解評析相關產業之潛在風險 資訊工業策進會科技法律研究所 法律研究員　方玟蓁 2018年6月19日 壹、背景介紹 　　新藥開發雖具龐大商機，惟需負擔高成本及高失敗風險，因此出現了「老藥新用」策略，產生出第二醫藥用途藥物。知名個案如威爾剛從治療心血管疾病轉而被廣泛用於治療男性性功能障礙；阿斯匹靈從原本的消炎止痛藥至目前被作為預防冠狀動脈硬化之預防藥。由於許多第二醫藥用途藥物在市場上獲得顯著的成功效益，驅使了許多藥廠投入第二醫藥用途藥物之研發。 　　然而，我國與多數國家皆有明訂不予專利事由包含人類或動物之治療方法，因此有關醫藥用途之發明專利大多採取瑞士型請求項撰寫型式。瑞士型請求項係於1984年由瑞士聯邦智慧財產局(Swiss Federal Intellectual Property Office)在Bayer案[1]中所提出相對於德國型請求項之見解；瑞士型請求項係指一種「物質或組成物X於製備治療疾病Y之藥物的用途」，德國型請求項則為一種「物質或組成物X於治療Y之用途」；惟因德國型請求項在多數歐洲國家仍被認為屬於治療方法，職是，在2007年以前，瑞士型請求項之撰寫型式廣泛地被歐洲專利審查實務上所採用。我國亦參照歐洲專利審查實務，於2013年版的專利審查基準中認定瑞士型請求項之申請標的係指一種製備藥物方法，非屬人類或動物之治療方法。例如為避免請求項「一種治療疾病Y的方法，其係使用化合物A」或「化合物A用於治療疾病Y的用途」落入法定不予專利範疇，得以瑞士型請求項改寫成「化合物A用於製備治療疾病Y之藥物的用途」，則非屬於法定不予專利之標的；簡言之，為符合專利適格性，我國規範醫療用途發明需使用瑞士型請求項撰寫型式。 　　2007年12月13日，歐洲專利局施行新制歐洲專利公約(EPC 2000)[2]，明訂第二或後續（second or further）醫藥用途發明可用已知物質或組合物作為專利申請標的；換言之，第二醫藥用途發明之物質或組合物，得以「限定用途之藥物」來申請專利；同前例則可改寫為「用於治療疾病Y的化合物A」。爾後於2010年2月19日，歐洲專利局（EPO）擴大上訴委員會（Enlarged Board of Appeal，簡稱EBA）就涉及老藥新用途的專利案件-G2/08案[3]，提出有關歐洲專利公約(European Patent. Convention，簡稱EPC)第54條第（5）項保護範圍之解釋；G2/08案件的審理受到各國專利局與醫藥界的密切關注，EBA就G2/08案提出：未來藥物用途的瑞士型請求項將不再適用。職此，歐洲專利組織會員國對於第二或後續醫藥用途申請專利範圍之撰寫方式，始從「用途」為標的之瑞士型請求項或德國型請求項，演變至以「物」為標的之用途限定請求項。 　　過去使用瑞士型請求項主張直接侵害第二醫藥用途專利時，前提須有製造藥物行為；改為用途限定藥物請求項後，是否影響歐洲各國法院有關直接侵害第二醫藥用途專利之判定，成為歐洲各國持續關注議題。雖然目前歐洲各國見解尚未統一，惟近期德國、荷蘭之實務見解，已有加重學名藥廠侵權風險之趨勢，恐將影響未來我國專利審查實務之標的認定，倘若我國學名藥廠欲拓展歐洲市場，亦須留意歐洲各國之實務見解風向。 貳、德國實務見解 　　德國針對直接侵害第二醫療用途專利之認定已有確立之判例法，德國杜塞爾多夫高級地方法院在最近的判決[4]中更明確定義了直接侵害第二醫療用途專利之要件。 　　德國過去判例法針對是否侵害第二醫療用途專利係採「清單準備」概念，專利權人須證明疑似侵權人有明確安排或準備行為，且該準備行為之目的係為實現應用藥物於專利保護用途。「清單準備」行為除常見於藥物仿單指示說明內容，其他較顯著情形包括疑似侵權人已提供符合專利治療目的之藥物配製、劑量、或供使用者之即用製劑；惟若僅僅是在廣告傳單中出現一般性描述，或於銷售人員解說時提及可用於專利治療目的，則因無法確定使用者將據此應用在專利保護用途，因此過去德國實務認為營銷傳單及人員宣講不構成明確準備行為[5]。 　　然而，實際上藥物仿單指示說明書常常未載明有關第二或後續醫藥用途，通稱分割(crave-out)或縮減(skinny)仿單；甚至還能透過營銷傳單、廣告宣講、產品特性概述(Summary of Product Characteristics，簡稱SmPC)[6]、或產品包裝…等外部補充資訊，進而提高藥物被應用於專利治療目的之可能性。鑑此，即使專利治療目的已從藥物仿單指示說明中抽離，惟因外部資訊補充，衍生出交叉(cross)仿單現象，使得疑似侵權人得輕易繞過專利治療目的，增加專利權人舉證之難度。 　　2017年5月德國杜塞爾多夫高級地方法院(Düsseldorf higher regional court)已特別針對交叉仿單情形，提出可認定直接侵權的要件[7]： (1)藥物在客觀上適用於專利治療用途； (2)供應商利用外部環境之客觀優勢，係以某種「其他方式」，且該「其他方式」與「清單準備」有近似效果，得確保所提供藥物將被用於專利治療目的。 　　德國杜塞爾多夫高級地方法院之見解似乎擴大了德國先前判例法之「清單準備」認定範圍，連同供應商利用外部環境之客觀優勢行為也一併納入考量。假若外部環境之客觀優勢包含選定保險給付藥物、藥師以低成本藥物進行替代配藥…等情形，未來恐將提高學名藥廠侵害第二醫療用途專利之風險。 參、荷蘭實務見解 　　荷蘭法院同樣面臨交叉仿單之侵權認定問題。2017年4月，荷蘭最高法院於Sun/Novartis案[8]中確立了直接侵害第二醫療用途專利之評估要件： (1)不論係瑞士型請求項或限定用途藥物請求項之第二醫療用途專利，客觀上可預期或者應該可預見學名藥將有被使用在專利治療目的之意圖； (2)相關領域技術者得根據外部環境資訊，因而相信該學名藥可用於或適合用於專利治療目的； (3)若符合以上情形，那麼學名藥廠須採取合理預防措施，防止學名藥被用於專利治療目的。若僅在SmPC或產品訊息手冊(Product Information Leaflet，簡稱PIL)中抽離專利治療目的資訊，則該預防措施仍有不足。 　　對照德國法院的見解，荷蘭最高法院認為只要專利權人證明在客觀上可預見學名藥被用於專利治療目的，且相關領域技術人員得經由外部補充資訊取得學名藥可用於專利治療目的之認知，則學名藥廠應採取合理預防措施。荷蘭最高法院也特別強調，若只對醫藥相關法規所列表單作有關專利治療目的之資訊排除，仍然不足以達到合理預防措施之要求。言下之意，未來學名藥廠對於營銷傳單、媒體廣告、人員宣講…等內容亦應避免揭露有關專利治療目的資訊，或可增加警語標示，聲明藥物僅作為不侵害他人專利權使用。 肆、法國實務見解 　　法國有關直接侵害第二醫療用途專利之認定，除須證明疑似侵權之學名藥物是在法國製造、進口、或出售，尚須證明相關製造商或供應商有提供使用者將藥物用於專利治療目的之意圖[9]，近似於原先德國判例法之「清單準備」概念。因此，關於交叉仿單侵權情形，專利權人在舉證上仍有困難。 伍、總結 　　歐洲發明專利雖在申請及審查程序上已有歐洲專利局作為統一窗口，惟當專利權發生侵害時，專利權人仍須向歐盟各國法院尋求救濟。為提升訴訟便利性及避免裁判分歧，歐盟規劃整合專利訴訟制度，設立歐洲統合專利法院（The Unified Patent Court，簡稱UPC）。目前已簽屬之歐盟統合專利法院協定(Agreement on a Unified Patent Court)第25條[10]係定義直接侵權行為： (1)製造、提供、於市場販售或使用受專利保護之產品；或為前些目的而進口或儲存受專利保護之產品； (2)使用受專利保護之製程或方法；或者第三方知悉或應該知悉該製程或方法若未經專利權人同意時應被禁止使用，卻提供該製程或方法於該專利權有效締約成員國領土內； (3)作為提供、市場販售、使用、進口或儲存的產品，係直接使用受專利保護之製程或方法所製造。 　　雖UPC協定目前尚未對於直接侵害第二醫療用途專利態樣作統一規範，惟承本文前述，近年德國法院判決中有關直接侵害第二醫療用途之認定包含供應商利用外部環境之客觀優勢；荷蘭最高法院則認為學名藥廠須採取合理的預防措施，作法不限於將專利治療目的資訊自SmPC或PIL中排除；法國法院目前作法雖仍類似於原先德國判例法之「清單準備」概念，然而依照歐盟簽署UPC協定之意旨，未來恐導向增加相關學名藥之責任風險。有鑑於此，對於有意前往歐洲市場發展之我國學名藥廠需特別留意，避免於公開醫藥資訊或廣宣媒體中提到非屬專利權人授權之第二醫療用途專利訊息。 　　我國目前仍視瑞士型請求項型式為一種製備藥物方法，唯有當製造商製造藥物且該藥物仿單指示說明書中提及可用於專利治療目的，才有可能構成直接侵害第二醫藥用途專利。惟因我國於2018年1月31日發佈藥事法修正條文，導入專利連結制度，未來新藥藥品許可證所有人若向中央衛生主管機關提報醫藥用途專利，則學名藥藥品許可證申請人，應於申請藥品許可證時，就新藥藥品許可證所有人已核准新藥所登載之醫藥用途專利權，向中央衛生主管機關提出未侵害專利權、專利應撤銷、或專利已消滅之聲明。因此，我國學名藥廠在實際進入我國市場前，尚需留意提出申請查驗之學名藥是否涉及第二醫療用途專利，或可利用分割或縮減仿單方式以降低對第二醫療用途專利之侵權風險。 [1] Hydropyridine X ZB 4/83(BGH)(1984) 2 IIC 215. [2] EPC 2000 article 54(5) Paragraphs 2 and 3 shall also not exclude the patentability of any substance or composition referred to in paragraph 4 for any specific use in a method referred to in Article 53(c), provided that such use is not comprised in the state of the art. [3] G0002/08 (Dosage regime/ABBOTT RESPIRATORY) of 19.2.2010, https://www.epo.org/law-practice/case-law-appeals/recent/g080002ex1.html (last visited June 19, 2018). [4] Oberlandesgericht Düsseldorf, I-2 W 6/17. https://www.justiz.nrw.de/nrwe/olgs/duesseldorf/j2017/I_2_W_6_17_Beschluss_20170505.html(last visited June 19, 2018). [5] Paul England, Infringement of second medical use patents in Europe and the Unified Patent Court Paul England **Email: p.england@taylorwessing.com . Search for other works by this author on: Oxford Academic Google Scholar Journal of Intellectual Property Law & Practice, Volume 11, Issue 6, 426-434, June 1 2016. https://academic.oup.com/jiplp/article-abstract/11/6/426/2378971?redirectedFrom=fulltext (last visited June 19, 2018). [6] 「產品特性摘要文件，主要係依據歐盟2001/83/EC號指令第8(3)(j)條與歐盟第726/2004號法規第6(1)條之要求而提供。前述法規要求醫藥公司在提出藥物上市許可之申請時，必須遵循歐盟2001/83/EC號指令第11條之規定，附加產品特性摘要於申請文件，以供主管機關作為申請核駁之依據」。摘自葉于豪，<歐洲藥物管理局（European Medicines Agency，簡稱EMA）發佈針對準備與審查產品特性摘要（summaries of product characteristics，簡稱SmPCs的指導方針>，2013年3月4日，https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&i=40&d=6012(最後瀏覽日：2018年6月19日) [7] 同註解4。 [8]ECLI:NL:RBDHA:2017:3430.https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBDHA:2017:3430(last visited June 19, 2018). [9]同註解4。 [10] Agreement on a Unified Patent Court, Article 25. https://www.unified-patent-court.org/sites/default/files/upc-agreement.pdf(last visited June 19, 2018).