歐盟提出「一般資料保護規章」(草案)並審議,以因應未來聯網環境趨勢
為因應近來智慧聯網(IoT)、巨量資料及雲端運算發展趨勢,為強化線上隱私權利及促進歐盟數位經濟的發展,歐盟執委會於2012年1月25日對於資料保護指令提出新的規章草案:「保護個人有關個人資料處理及自由流通規章(一般資料保護規章)」(Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)),以取代並廢除(repealed)原有「個人資料保護指令」規範,並修改(amend)「隱私與電子通訊指令」,預計在2013年6月進入歐洲議會、理事會及執委會的三方協商,若順利將在2014年通過,並在2016年生效。
「一般資料保護規章」(草案)中對於聯網環境及智慧化設備運行之因應,重要規範內容有(1)追蹤(tracking)與特徵分析(profiling):訂定第20條「特徵分析措施」(Measures based on profiling)規範條文,保障每個當事人皆有主張不被採取特徵分析措施(如個人傾向、工作表現、財務狀況、位址、健康、個人喜好、可信度)而致產生法律效果或顯著影響該個人的權利(2)被遺忘及刪除權(right to be forgotten and to erasure):訂定第17條,創設新的權利「被遺忘及刪除權」,用以幫助民眾處理線上資料,當其不希望自己的資料被利用且無合法理由保留時,資料將被刪除(3)資料可攜權利(the right to data portability):訂定第18條,當資料處理是以電子化方法,且使用結構性、通用的格式時,資料當事人有權利可以取得該結構性、通用格式下的個人資料,更容易自不同服務提供者間移轉個人資料。(4)當事人的同意要件:第4條第8款明定,不論何種資料處理情況時所需的同意,增列必須是明確(explicitly)同意之要件(5)「設計階段納入隱私考量」(privacy by design)、「預設隱私設定」(privacy by default):訂定第30條,要求資料控制者及處理者應實行適當的技術性、組織性措施,並考量科技發展水準,制定特定領域及特定資料處理情況的標準及條件,並且資料保護將會從產品及服務最初發展、設計時就考量隱私問題應對「設計階段納入隱私考量」及「預設隱私設定」提出標準及條件。
歐盟此次對於「一般資料保護規章」(草案)的修法進程,以及世界各重要國家的立場及反應態度,均值得後續密切觀察研析。
本文為「經濟部產業技術司科技專案成果」
- Commission proposes a comprehensive reform of the data protection rules
- Commission proposes a comprehensive reform of the data protection rules, EUROPA.EU
- Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data
李科逸
副主任 編譯整理
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), COM(2012) 11 final (Jan. 25, 2012),http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52012PC0011:en:NOT (last visited, Oct. 10, 2013)
Commission proposes a comprehensive reform of the data protection rules, EUROPA.EU, http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm (last visited, Oct. 10, 2013)
Commission proposes a comprehensive reform of the data protection ruleshttp://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm (last visited, Oct. 10, 2013)
從智慧財產法院104年度民暫抗字第7號民事裁定看營業秘密案件聲請定暫時狀態處分 資策會科技法律研究所 法律研究員 蔡怡萱 105年04月29日 壹、案件摘要 智慧財產法院於去(104)年10月2日針對新世紀光電對於103 年度民暫字第21號第一審裁定提起抗告,做出裁准暫時狀態處分之 104 年度民暫抗字第 7 號民事裁定,以下概述智慧財產法院於本案中所採取的法律判斷依據。 本案事實為李允立(下稱相對人)於102年離職後自行成立公司(下稱相對人公司),隨即新世紀光電(下稱抗告人)之關鍵研發團隊重要成員及各部門重要員工多名先後離職,部分至相對人公司任職。相對人公司現有經營方式為無廠半導體公司,專門研發及販售發光二極體磊晶圓及晶粒技術與產品規劃,透過租賃機台之方式製造相關產品,與抗告人業務相同。相對人為公司負責人,抗告人主張相對人不可避免的會使用抗告人公司的機密資訊及營業秘密,而造成抗告人重大損失,而抗告人為避免發生重大難以回復之損害,依營業秘密法第11條第1 項[1]、兩造間的服務契約書、民事訴訟法第538 條第1 項[2]、智慧財產案件審理法第22條第2 項[3]規定,聲請撤回原審裁定並定暫時狀態處分。 本案法院於此次裁定將原裁定廢棄,在兩造間侵害營業秘密爭議之本案訴訟判決確定前:(1)禁止相對人利用、發表或洩漏任職抗告人公司期間所知悉抗告人公司有關於LED 產品及製程相關之營業秘密及機密資訊,包括:非一般涉及該類資訊所知之一切製程、程式、專門技術、技術資料、經營資料、材料、設計、參數及配方、客戶明細、銷售資料等;(2)相對人不得為自己或第三人之利益,唆使或利誘抗告人員工離職。 貳、重點說明 一、營業秘密具體認定爭執及以定暫時狀態之處分為手段 綜合以上兩造爭執點在於,(1)在相對人離職後所持有於抗告人公司任職時所知悉的營業秘密及機密資訊的具體內容該如何認定,相對人爭執於離職時原公司並未明確界定,抗告人卻反駁確有保護營業秘密及機密資訊之說明。(2)透過兩造簽署之服務契約書,是否可以透過定暫時狀態處分為手段,達到確認或重申請求裁定禁止相對人唆使或利誘抗告人之員工離職。 二、定暫時狀態之處分需符合的要件 聲請定暫時狀態之處分需符合下列要件:(1)兩造有爭執之法律關係,且以本案訴訟能確定該爭執之法律關係者為限;以及(2)為防止聲請人發生重大損害或避免急迫危險或有其他相類之必要性情形。因此在符合法定要件的前提下,可以請求法院針對侵權爭議的本案訴訟判決確定前,禁止侵害人為特定行為 [4]。 另依本案法院的釋明,所謂爭執的法律關係,應不以法律關係已經訴訟繫屬為限,凡金錢請求以外,有繼續性且適於為民事訴訟之標的者,於事人間發生爭執或被侵害等情形,均屬之。更尤,所爭執之法律關係雖尚未有訴訟之繫屬,只要債權人因避免重大之損害或因其他情事,而有定暫時狀態之必要者,即得依聲請定暫時狀態之處分,故法院據以得心證的理由為下列幾項判斷依據。 三、法院判斷依據及裁定結果 (一)兩造有爭執之法律關係 以兩造間爭執的法律關係來說,抗告人因發現相對人離職後,有多位員工相繼離職到相對人所成立之公司任職,因此依與相對人任職時所簽署服務契約書中約定離職後的保密義務,向法院聲請禁止相對人不得利用或洩漏先前任職期間所取得公司的營業秘密,法院認為是抗告人就相對人離職後涉及有無違反上述服務契約書約定之保密義務與誘使抗告人員工離職爭議,為雙方所爭執之法律關係。 (二)營業秘密保全的必要性 抗告人就可能被相對人利用或洩漏之「營業秘密」所主張,雖然相對人堅稱該內容為業界習知技術,但抗告人提出細部結構設計及製程方式等資訊,經法院認定該等資訊有助於提升產品效率,而且可以減少不必要的錯誤實驗,抗告人也另外提出專利佈局及業務與生產資訊之相關報告及資料,因此法院認為該相關事證使法院大致心證認為其主張該等資訊為其所欲保護之營業秘密事實之存在,而認為為正當之心證。另外就兩造所簽訂的服務契約書中所稱「營業秘密是指具有財產利益或經濟價值的任何口頭及書面機密資訊(料),包括但不限於圖樣、規格、原型、製程..專門技術、客戶明細、晶片、及其他銷售資料..」,也足以證明相對人於原公司任職時已清楚知悉何謂營業秘密,也負有保守其營業秘密的義務。 另外相對人所設立之公司其股東及董事皆為抗告人的競爭對手,因此法院認為相對人於原任職期間所知悉上述的營業秘密,推認有可能揭露予他人,而此為抗告人所欲防止的危險,而有保全的必要性。 (四)相對人應遵守禁止挖角義務 針對相對人挖角抗告人員工使其離職,而抗告人依兩造的服務契約書中禁止挖角義務條款,請求禁止相對人為挖角行為,法院亦肯定相對人應遵守禁止挖角義務。抗告人公司其他員工於短期內相繼離職,法院雖認為離職為個人選擇,但皆於相對人離職後才相繼離職,且半年即有多人加入相對人所設立公司,故可推認多名離職員工與相對人有關,且為了避免再有員工從抗告人公司繼續離職加入相對人設立之公司,法院相信抗告人的主張大致可採,故就此部分亦准許抗告人請求禁止挖角行為。 (五)相對人應遵守不作為義務 定暫時狀態之處分,雖非以保全執行為主要目的,惟仍屬保全權利之方法,原係法院為防止發生重大損害或避免急迫危險或有其他相類之情形認有必要時,為平衡兩造間之權利義務或利益而為之裁定 [5];又聲請為定暫時狀態之處分,不論係單純不作為處分,或容忍不作為處分,法院為裁定時,對於當事人雙方因准否處分所受利益及可能發生之損害,應依利益權衡原則予以審酌而為准駁 [6]。最後法院衡量抗告人與相對人的權益,營業秘密的洩漏將對抗告人產生損害,但禁止相對人洩漏營業秘密及不得挖角,僅是請求相對人遵守不作為義務而不致有損害,故不對抗告人命供擔保。 參、案件評析 一、由上述案件內容可知,透過具體管理機制所產出之事證可為法院判斷是否為營業秘密遭受侵害的正當之心證,如下述: (一)公司於離職員工任職時所簽訂的服務契約之詳盡程度,包括:於契約文件中定義營業秘密的具體範圍;於契約規範在任職中不得交付或洩漏於任何第三人;於契約規範離職後仍負有保密義務等。 (二)各紀錄文件應完整留存以作為日後法院裁判的事證依據,包括研發紀錄簿中實驗參數文之成敗紀錄或研發例行月會報告,或技術發展計畫等相關資料;專利佈局的規劃,業務與生產資訊(包括可知之銷貨成本、銷貨毛利、人事資料以及研發專案等資訊,他人即可從該等資訊得知銷售狀況)。 (三)制定相關管理辦法並予以區分文件機密等級及管控,如本案中抗告人提出「文件與資料管制辦法」及「門禁管理辦法」,供法院參考以證明抗告人對其生產、營運訊有採取保密措施。 由上述提出之事證就可以使法院大致相信所主張之資訊為其所欲保護的營業秘密,並得到大致為正當之心證。 二、如何判斷是否有挖角行為,法院除了以經驗法則及一般人可推知來判斷,雖然於何處任職是個人權利,但不尋常的大量員工於同時間或先後離職,甚至離職後都到同一家公司任職,很難不推認和挖角行為的直接關連;而法院也認為相對人縱使離職後也應該要遵守當時兩造的服務契約中禁止唆使或利誘他人離職。於現今一直苦於受到人才大量流失,甚至競爭對手惡性挖角的國內企業來說,於員工的任職契約約定禁止唆使或利誘挖角原公司員工,也不失為遏止的方法。 三、為了因應智慧財產權相較其他財產權市場上跟策略上的急迫性和時效性,在相較於其他智慧財產假處分案件而言,法院在此案中呈現出考量營業秘密保護相關案件具有緊急性及難以進一步舉證之特性,對於權利人應為釋明之程度較為放寬[7],是否會形成通案慣例,值得追蹤觀察。 本文同步刊登於TIPS網站(http://www.tips.org.tw) [1]營業秘密受侵害時,被害人得請求排除之,有侵害之虞者,得請求防止之。 [2]於爭執之法律關係,為防止發生重大之損害或避免急迫之危險或有其他相類之情形而有必要時,得聲請為定暫時狀態之處分。 [3]聲請定暫時狀態之處分時,聲請人就其爭執之法律關係,為防止發生重大之損害或避免急迫之危險或有其他相類之情形而有必要之事實,應釋明之;其釋明有不足者,法院應駁回聲請。 [4]洪陸麟,以專利案件為中心論智慧財產案件審理法,國立政治大學法律學系碩士班論文,99-100頁,2009年。 [5]最高法院94年度台抗字第743 號民事裁定。 [6]最高法院94年度台抗字第380 號民事裁定。 [7]莊郁沁,智慧財產法院就營業秘密保護案件裁准定暫時狀態處分聲請之案例介紹,理律法律雙月刊,9-10頁,105年1月號。
美國欲修改HIPAA規則以促進「整合醫療照護」,並發表公眾意見徵詢書美國《健康保險可攜性及責任法》(HIPAA)係「保護個人電子醫療資訊隱私」的法規。其「受規範對象」(Covered Entity)為:使用電子方式傳送任何醫療資訊的醫療計畫、健康資訊處理機構(Health Care Clearinghouses)或醫療照護提供者。2018年12月14日,美國衛生及公共服務部(下稱:官方)發表〈公眾意見徵詢書:修改HIPAA規則以促進整合醫療照護〉(Request for Information on Modifying HIPAA Rules to Improve Coordinated Care),擬修正方向如下: (一)促進醫療行為、整合醫療照護、專案管理的資料分享 HIPAA原先僅允許受規範機關在醫療行為、支付、營運中揭露受保護健康資訊(PHI)。然而,這並不包含醫療照護或專案管理。官方傾向修法讓醫療照護或專案管理成為允許揭露PHI的情形。同時,也希望修法讓PHI的取得更具時效性,以利於病歷在受規範對象間的流通。 (二)推動親友參與解決當事人鴉片類藥物成癮和精神疾病問題 HIPAA允許受規範對象在特定條件下,向照護者(Caregiver)揭露PHI,包含緊急狀況,也包含嚴重的精神疾病。然而,許多受規範對象因為擔心違反HIPAA,而不願通知當事人的親友。這種狀況相當不利於整合醫療照護和專案管理的發展。目前官方尚未研擬出具體改善方法,希望外界可以提出方案。 (三)會計資料的揭露以存取報告代替 在當事人申請下,受規範對象或其商業夥伴應提供近六年內與PHI相關的會計資料。然而,許多受規範對象的系統無法分離出應提供給當事人的部分,只好提供整份會計資料,因而造成龐大負擔。官方擬修法,只提供當事人「存取報告」(Access Report),該報告會載明誰曾經存取電子紀錄。 (四)隱私權行為通知(Notice of Privacy Practices) 受規範對象在許多狀況下,需取得當事人隱私權行為通知的書面同意書,這次的修法希望可以減少書面同意,以利於受規範對象發展整合醫療照護。
買回用戶迴路的另一種選擇 美國病歷健康資訊科技化政策可望於10年內節省220億美元用藥支出美國「2009年經濟復甦暨再投資法」(America Recovery and Reinvestment Act, ARRA),將醫療產業中的醫療資訊科技列為重點發展項目之ㄧ。以國內全面採行「電子病歷健康記錄」(electronic health records, EHRs)系統為目標,共挹注190億美元的經費,透過聯邦醫療保險或醫療補助計畫的機制支付獎勵金,鼓勵醫師或醫療院所採購並建置院內的電子醫療資訊系統。自2011年至2015年,醫師或醫療院所符合實質EHR使用者(meaningful EHR user)的標準,至多可獲得44000美元的獎勵金;倘於2015年後,其尚未成為實質EHR使用者,則將以每年多1%的比例,逐年減少其醫療保險補助額,直至2019年將減少5%。為了施行此政策,ARRA規定主管機關須於2009年12月31日前確立EHR的標準,包含了相互運用性(interoperability)、臨床功能性(clinical functionality)及安全性等標準。 EHR系統的基礎,也就是電子醫囑(e-prescribing)所涵蓋的功能,能提供臨床及藥費的即時資訊,供醫師判斷何種藥物(包含學名藥)最為安全,且可符合病患經濟負擔;亦可顯示該病患用藥紀錄,及其他醫生曾開立的處方,供醫師比對並觀察病患潛在的藥物過敏現象,若系統偵測出藥物間相斥的情形,亦將自動發出安全警示。此外,以電腦輸入處方並自動傳送至領藥處的模式,不僅可省卻病患冗長的等候領藥時間,亦能減少藥劑師因難以判讀字跡所導致的配藥錯誤。 一項由美國藥物照顧管理協會(Pharmaceutical Care Management Association, PCMA)所贊助的調查研究指出,ARRA中的病歷健康資訊科技化措施,將使e-prescribing的運用率,在未來五年內增加75%;而在往後10年,此將減少約3500萬筆的用藥指示錯誤,消弭因服藥錯誤導致的死亡事件,並能節省220億的用藥支出;其所帶來的效益實遠超過政府所挹注的經費。