美國FDA公布510(k)醫療器材上市前許可指引針對醫療器材上市前之審查規範提出更完善詳細之調整

從北京知識產權局裁定iPhone6停售看中國大陸外觀設計專利 資策會科技法律研究所 法律研究員　翁竹霆 106年01月17日 　　中國大陸北京市知識產權局於2016年5月10日作成京知執字（2016）854－16號《專利侵權糾紛處理決定書》，依中國大陸佰利公司之請求，認定美國蘋果公司與中國大陸中復電訊設備公司在市面上銷售之iPhone6、iPhone6 plus侵害了佰利公司的外觀設計專利（專利號：ZL201430009113.9），北京市知識產權局依中國大陸專利法第60條：「未經專利權人許可，實施其專利，即侵犯其專利權，引起糾紛的，由當事人協商解決；不願協商或者協商不成的，專利權人或者利害關係人可以向人民法院起訴，也可以請求管理專利工作的部門處理。管理專利工作的部門處理時，認定侵權行為成立的，可以責令侵權人立即停止侵權行為…」，爰責令蘋果公司立即停止侵權行為，即停止銷售系爭兩款手機。 　　蘋果公司、中復公司對此停售決定不服，爰以北京市知識產權局為被告，佰利公司為有利害關係之第三人，依行政訴訟法向北京知識產權法院提起行政訴訟，要求法院撤銷該裁定，並宣告iPhone6系列手機之外觀設計並未落入佰利公司系爭專利之保護範圍。北京知識產權法院於2016年6月15日受理本案，並由三名法官、二名學者組成五人合議庭，於2016年12月7日進行公開審理，擇日宣判本案。 壹、外觀設計專利要件 　　中國大陸之外觀設計專利制度，目的在於鼓勵工業品外觀設計的創作。而據大陸專利法第2條第4項，所謂外觀設計乃指對產品的形狀、圖案或者其結合以及色彩與形狀、圖案的結合所作出的富有美感並適於工業應用的新設計。條文所揭「富有美感」，所體現的是ㄧ種美學設計，而非功能性或技術性的考慮[1] ，「適於工業應用」，亦即可供工業上大量生產之需要[2]。同法第59條第2項：「外觀設計專利的保護範圍以表示在圖片或者照片中的該產品的外觀設計為準，簡要說明可以用於解釋圖片或者照片所表示的該產品的外觀設計。」，意即外觀設計專利係對產品的外觀進行保護，故外觀專利之審查重點應在於整體外觀是否構成相同或近似。揆諸中國大陸專利法條文，外觀設計須滿足下列要件方可獲得專利法之保護： 一、適於工業應用 　　按中國大陸專利法第2條，外觀設計必須適於工業應用，此意義為外觀設計所對應之產品「能應用於產業上並形成批量生產」，且外觀設計必須應用於特定載體，如脫離特定載體之外觀設計，其專利將失其附麗，無法取得專利法之保護，又據中國大陸《專利審查指南》第1部分第3章：「不能重複生產的手工藝品、農產品、畜產品、自然物不能作為外觀設計的載體」，所謂載體，反面解釋上，應指可重複生產的產品。此要件限縮了外觀設計專利之保護範圍，如將相同的外觀設計移植到不相同、不近似的的產品上，並不侵害外觀設計專利[3]。 二、新穎性 　　此新穎性依中國大陸專利法第23條第1項，應指不屬於現有設計，亦沒有任何單位或個人就同樣的外觀設計在申請日之前向專利行政部門提出申請，並記載於申請日之後公告之專利文件。 三、區別性 　　中國大陸專利法第23條第2項：「授與專利權的外觀設計與現有設計或者現有設計特徵的組合相比，應當具有明顯區別」。此與台灣設計專利所採之創作性要件不同，創作性係以該設計所屬技藝領域中具有通常知識者為標準，區別性則是以一般消費者為標準，旨在使該設計市場上可被消費者有效區分，以符外觀設計保護之目的。 四、不予專利之消極要件 　　中國大陸專利法定有不予專利之消極要件，外觀設計如違反第5條有關公序良俗之規定，或符合第26條第1項第6款「對平面印刷品的圖案、色彩或者二者的結合作出的主要起標識作用的設計」，將無法通過審查，依法不授予專利。 貳、外觀設計專利侵權審查 　　從近年中國大陸在外觀設計專利的司法解釋和侵權實務認定上，可歸納出三個面向：一般消費者標準、整體觀察綜合判斷、整體視覺效果之影響。 一、「一般消費者標準」視產品種類而定 　　在發明專利、新型專利中，判斷一技術是否為現有技術、是否相同近似之審查是採該技術領域之熟練技術人員為標準，惟參中國大陸最高人民法院《關於審理侵犯專利權糾紛案件應用法律若干問題的解釋》第10條，人民法院在判斷系爭外觀設計專利是否相同或者近似時，是以一般消費者的知識水平和認知能力，亦即採一般消費者標準進行審查。學者更具體指出，ㄧ般消費者之知識水平和認知能力應與系爭外觀設計產品相關聯[4]，換言之，係指該類產品領域之一般消費者，故所謂「一般消費者標準」應隨產品種類不同，而有所不同。 二、棄「要部判斷」，採「整體觀察、綜合判斷」 　　過去《專利審查指南》曾採「要部判斷」的方法，判斷外觀設計是否相同或近似，然於2006年修改《專利審查指南》時，放棄此法。理由在於，「要部判斷」過度強調局部設計，可能不適當的放大外觀設計專利保護範圍，且所謂「要部」是指容易引起ㄧ般消費者注意的部位，在選擇認定何為要部上充滿不確定性，使保護邊界更難清楚界定，使實務判斷者區別對待一項設計中的不同設計特徵[5]，而流於恣意。目前判斷標準與方法，可見於中國大陸《專利審查指南》第4部分第5章：「外觀設計相同，是指涉案專利與對比設計是相同種類產品的外觀設計，並且涉案專利的全部外觀設計要素與對比設計的相應設計要素相同，其中外觀設計要素是指形狀、圖案以及色彩。」。所謂相同種類，依最高人民法院《關於審理侵犯專利權糾紛案件應用法律若干問題的解釋》第9條，可參考外觀設計的簡要說明、國際外觀設計分類表、產品功能及銷售等實際情況認定。是否相同或近似之判斷方法則採取「整體觀察、綜合判斷」，而不可從外觀設計的部分或局部得出判斷結論，此與發明專利中，需就系爭發明專利權利請求項之全部技術特徵一一比對有明顯不同。《專利審查指南》以冷暖空調扇為例，若冷暖空調扇的底面和背面設計不足以對產品整體視覺效果產生影響，則不對其進行整體觀察、綜合判斷，意即對於一般消費者不關注的設計特徵，審查時可以選擇性忽視。 三、整體視覺效果之影響 　　中國大陸最高人民法院《關於審理侵犯專利權糾紛案件應用法律若干問題的解釋》第11條第1項規定「人民法院認定外觀設計專利是否相同或者近似時，應當根據授權外觀設計、被訴侵權設計的設計特徵，以外觀設計的整體視覺效果進行綜合判斷；對於主要由技術功能決定的設計特徵以及對整體視覺效果不產生影響的產品的材料、內部結構等特徵，應當不予考慮。」，此與審查指南之判斷標準應為一致，僅是最高人民法院採用略有不同之表述[6]。法院實務中亦透過判決說明外觀設計專利侵權認定與ㄧ般專利侵權認定之不同，如成都雄峰家具有限公司訴黃興貴案：「本案中，被控侵權產品與原告的專利產品均為鞋櫃，屬於相同產品，從二者的外觀形狀特徵比較A、B、C、E、F、G分別與a、b、c、e、f、g相同，D與d相似，H與h雖然存在較大差異，但上述差異並不會影響鞋櫃整體的設計風格和樣式，對ㄧ般消費者的整體視覺效果不產生影響，因此，普通消費者對被控侵權產品與原告的外觀設計專利容易相互混淆。」[7]，本案法院肯認設計特徵H和h存在較大差異，如依照ㄧ般專利侵權判斷方法，將無法認定專利侵權，惟依外觀設計專利所採之「整體觀察、綜合判斷」方法，在整體視覺效果無影響的情況下，依然可認定為專利侵權。 叄、本案認定 　　蘋果公司主張其產品與系爭專利存有極大差異，於六面視圖中均有體現。而北京市知產局則認為，經比對分析，蘋果公司系爭兩款手機與佰利公司推出之手機100C，雖然有一系列的差別，但其中圓形「home」鍵設計、側面按鍵形狀與布局、揚聲器孔與耳機插孔之排列方式等五個區別均為功能性設計，而從正面到背面的過度設計之區別屬一般消費者難以辨識之微小差異，應認二者無顯著區別，故iPhone6、iPhone6 plus落入佰利公司之專利權範圍。 　　北京市知產局主張外觀設計是ㄧ種美學設計，而非功能性之考慮，此原則經最高人民法院透過《關於審理侵犯專利權糾紛案件應用法律若干問題的解釋》第11條予以肯認，即侵權判斷過程中，對於功能性技術特徵，應不予考慮。且北京市知產局之侵權判斷方法與成都雄峰家具有限公司訴黃興貴案一致，係採「整體觀察、綜合判斷」，縱被控侵權產品之設計與系爭專利間存有局部的巨大差異，惟無影響整體視覺效果時，仍可認定為侵害系爭專利，構成侵權。 肆、結語 　　我國專利法第121條第1項對設計之定義指對物品之全部或部分之形狀、花紋、色彩或其結合，透過視覺訴求之創作。另於同條第2項將電腦圖像設計納入設計專利保護範圍，而中國大陸專利法並無直接規定圖像設計，而係於2014年規定在其《專利審查指南》第1部分第3章中，此為台灣設計專利與大陸外觀設計專利之規範差異，二者雖有不同，但在設計定義之概念相似，使兩岸之設計專利制度有趨向一同之趨勢。 　　在產品外觀設計的保護上，專利法與著作權法可能發生重疊適用的雙重保護，二者區別在於外觀設計專利有著產品載體的限制，而著作權著眼於思想創作的保護，具體附著於何種產品載體在所不問。中國大陸法院在樂高玩具案[8[中表示：作品雖已申請外觀設計專利，但並不妨礙同時或繼續得到著作權保護。此對於創作者之智慧財產可謂多重保障。 　　惟目前中、台在外觀設計專利之申請審查要件仍容有差異，除產業利用性、新穎性外，中國大陸外觀設計專利採區別性，台灣設計專利則採創作性，二者標準不同。由於中國大陸政府輔導當地公司專利申請的同時，會傾向做出有利於當地供應商的決定，期望可透過本文就中國大陸之外觀專利申請要件與侵權判定進行之介紹，提供我國業者在兩岸進行專利布局時參考之用。 [1] 崔國斌，《專利法：原理與案例》，北京大學出版社，頁898（2016）。 [2] 曾陳明汝、蔡明誠，《兩岸暨歐美專利法》，新學林出版股份有限公司，頁71（2009）。 [3] 同註1，頁899。 [4] 羅霞，《外觀設計專利相近似的司法判斷》，人民司法第13期，頁9（2012）。 [5] 崔國斌，《專利法：原理與案例》，北京大學出版社，頁933（2016）。 [6] 崔國斌，《專利法：原理與案例》，北京大學出版社，頁939（2016）。 [7] 成都雄峰家具有限公司訴黃興貴案，四川成都中院（2010）成民初字第191號。 [8] 英特萊格公司訴可高（天津）玩具有限公司案，北京高院（2002）高民終字第279號。

　　德國聯邦最高法院(Bundesgerichtshof, BGH)在2018年2月20日的判決(Urt. V. 20.02.2018 – Az. VI ZR 30/17)中認定，網路評價網站(Bewertungsportale)之業務雖未違反聯邦資料保護法(Bundesdatenschutzgesetz, BDSG)規定，但其評價立場必須維持中立。醫師評價平台「Jameda」(www.jameda.de)之商業行為違反此項原則，故須依原告要求，刪除其在該網站之所有個人資料。 　　本案中，原告為執業皮膚科醫師，且非醫師評價平台「Jameda」之付費會員。然「Jameda」不僅將該醫師執業簡介列入其網站，且同時在其個人簡介旁，列出與其執業地點相鄰，具競爭關係之其他同為皮膚科醫師之付費會員廣告。反之，付費會員不但可上傳個人照片，且在其執業簡介旁，不會出現與其診所相鄰之競爭者廣告。 　　聯邦最高法院依據聯邦資料保護法第35條第2項第2款第1號 (§35 Abs. 2 S. 2 Nr. 1 BDSG) 規定，並經衡量同法第29條第1項第1款第1號 (§29 Abs. 1 S. 1 Nr. 1 BDSG) 規定之效果後，同意原告對「Jameda」提出刪除網頁所列個資之請求。法院見解認為，「Jameda」的廣告策略使其失去資訊與意見傳遞者之中立角色，並以自身商業利益為優先，故其言論自由不得優於原告之資訊自主權(informationelle Selbstbestimmung)。 　　該判決強制網路評價平台嚴格審查本身之廣告供應商務，並與聯邦憲法法院(Bundesverfassungsgericht)見解一致，用於商業目的之言論表達僅有低於一般言論自由的重要性。儘管如此，評價平台仍被視為介於患者間不可或缺的中介者(unverzichtbare Mittelperson)，可使互不相識的病患，藉此獲得經驗交流的機會。 　　儘管本案判決同意原告刪除評價網站中所儲存個人資料之請求，但見解中，仍肯定評價網站具有公開醫療服務資訊之功能，符合公眾利益，受評價醫師被公開之個人簡介亦僅涉及與社會大眾相關之範圍。針對網站評分及評論功能之濫用，醫師仍可對各種不當行為分別採取法律途徑保障自身權益。由此可知，德國聯邦最高法院仍認定，評價網站之評分與評論機制，仍符合聯邦資料保護法規範之宗旨，惟若該評價網站以評價機制作為商業行銷手段，則不得主張其言論及意見表達自由高於受評價者之資訊自主權。

歐盟資料保護工作小組修正通過「個人資料侵害通報指引」 資訊工業策進會科技法律研究所 法律研究員　李哲明 2018年3月31日 壹、事件摘要 　　因應歐盟「通用資料保護規則」（The General Data Protection Regulation，或有譯為一般資料保護規則，下簡稱GDPR）執法即將上路，針對個人資料侵害之通報義務，歐盟資料保護工作小組（Article 29 Data Protection Working Party, WP29）特於本（2018）年2月6日修正通過「個人資料侵害通報指引」（Guidelines on Personal data breach notification under Regulation 2016/679），其中就GDPR所規範個資侵害之定義、對監管機關之通報、與個資當事人之溝通、風險及高風險評估、當責與紀錄保存及其他法律文件所規定之通報義務等，均設有詳盡說明與事例。 貳、重點說明 一、何謂個資侵害？個資侵害區分為哪些種類？ 　　依據GDPR第4條（12）之定義，個資侵害係指：「個人資料因安全性之侵害所導致意外或非法之毀損、喪失、修改、未經授權之揭露、存取、個資傳輸、儲存或其他處理。」舉例來說，個人資料之喪失包括含有控制者（controller）顧客資料庫的備份設備之遺失或遭竊取。另一例子則為整份個資的唯一檔案遭勒索軟體加密，或經控制者加密，但其金鑰已滅失。依據資訊安全三原則，個資侵害之種類區分為： 機密性侵害（Confidentiality breach）：未經授權、意外揭露或獲取個人資料。 完整性侵害（Integrity breach）：未經授權或意外竄改個人資料。 可用性侵害（Availability breach）：在意外或未經授權之情況下，遺失個人資料存取權限或資料遭銷燬。 二、何時應為通知？ 　　按GDPR第33條（1）之規定，當個資侵害發生時，在如果可行之情況下，控制者應即時（不得無故拖延）於知悉侵害時起72小時內，依第55條之規定，將個資侵害情事通報監管機關。但個資侵害不會對自然人之權利和自由造成風險者，不在此限。倘未能於72小時內通報監管機關者，應敘明遲延之事由。 三、控制者「知悉」時點之判斷標準為何？ 　　歐盟資料保護工作小組認為，當控制者對發生導致個人資料侵害的安全事件達「合理確信的程度」（reasonable degree of certainty）時，即應視為其已知悉。以具體事例而言，下列情況均屬所謂「知悉」： 在未加密個人資料的情況下遺失USB密鑰（USB Key），通常無法確定是否有未經授權者將獲致存取資料權限。即使控制者可能無法確定是否發生機密性侵害情事，惟仍應為通知，因發生可用性侵害之情事，且已達合理確信的程度。 　　故應以控制者意識到該密鑰遺失時起為其「知悉」時點。 第三人通知控制者其意外地收到控制者的客戶個人資料，並提供該揭露係未經授權之證據。當侵害保密性之明確證據提交控制者時，即為其「知悉」時點。如：誤寄之電子郵件，經非原定收件人通知寄件者之情形。 當控制者檢測到其網路恐遭入侵，並針對其系統進行檢測以確認個人資料是否遭洩漏，嗣後復經證實情況屬實，此際即屬「知悉」。 網路犯罪者在駭入系統後，聯繫控制者以索要贖金。在這種情況下，控制者經檢測系統並確認受攻擊後，亦屬「知悉」。 　　值得注意的是，在經個人、媒體組織、其他來源或控制者自我檢測後，控制者或將進行短暫調查，以確定是否發生侵害之事實。於此調查期間內所發現之最新侵害情況，控制者將不會被視為「知悉」。然而，控制者應儘速展開初步調查，以形成是否發生侵害事故之合理確信，隨後可另進行更詳盡之調查。 四、共同（聯合）控制者之義務及其責任分配原則 　　GDPR第26條針對共同控制者及其如何確定各自之法遵義務，設有相關規定，包括決定由哪一方負責遵循第33條（對主管機關通報）與第34條（對當事人通知）之義務。歐盟資料保護工作小組建議透過共同控制者間之契約協議，約明哪一方係居主要地位者，或須負責盡到個資侵害時，GDPR所定之通知義務，並載於契約條款中。 五、通報監管機關與提供資訊義務 　　當控制者通報監管機關個資侵害情事時，至少應包括下列事項 （GDPR第33條（3）參照）： 敘述個人資料侵害之性質，包括但不限於所涉之相關個資當事人、個資紀錄及其類別、數量。 傳達資料保護長（DPO）或其他聯絡人之姓名與聯絡方式，俾利獲得進一步資訊。 說明個資侵害可能之後果。 描述控制者為解決個資侵害業已採取或擬採行之措施，在適當情況下，酌情採取措施以減輕可能產生之不利影響。 　　以上乃GDPR要求通報監管機關之最基本事項，在必要時，控制者仍應盡力提供其他細節。舉例而言，控制者如認為其處理者係個資侵害事件之根因（root cause），此時通報並指明對象即可警示委託同一處理者之其他控制者。 六、分階段通知 　　鑒於個資事故之性質不一，控制者通常需進一步調查始能確定全部相關事實，GDPR第33條（4）爰設有得分階段通知（notification in phases）之規定。凡於通報時，無法同時提供之資訊，得分階段提供之。但不得有不必要之遲延。同理，在首次通報後之後續調查中，如發現該事件業已受到控制且並未實際發生個資侵害情事，控制者可向監管機關為更新。 七、免通報事由 　　依據GDPR第33（1）條規定，個資侵害不會對自然人之權利和自由造成風險者，毋庸向監管機關通報。如：該遭洩露之個人資料業經公開使用，故並未對個人資料當事人構成可能的風險。 　　必須強調的是，在某些情形下，未為通報亦可能代表既有安全維護措施之缺乏或不足。此時監管機關將可能同時針對未為通報（監管機關）或通知（當事人），以及安全維護措施之缺乏或不足，以違反第33條或（及）34條與第32條等獨立義務規定為由，而依第83條4（a）之規定，併予裁罰。 參、事件評析 一、我國企業於歐盟設有分支機構或據點者，宜指派專人負責法遵事宜 　　揆諸GDPR前揭規定，當個資侵害發生時，控制者應即時且不得無故拖延於知悉時起72小時內，將個資侵害情事通報監管機關。未能履踐義務者，將面臨最高達該企業前一會計年度全球營業額之2%或1千萬歐元，取其較高者之裁罰。我國無論金融業、航運業、航空運輸業、電子製造業及進出口貿易業者等，均或有於歐盟成員國境內或歐洲經濟區（European Economic Area）當地設立子公司或營業據點。因此，在GDPR法遵衝擊的倒數時刻，指派具瞭解GDPR規定、當地個資隱私法遵規範、擅長與隱私執法機構溝通及充要語言能力者專責法遵業務實刻不容緩。蓋此舉可避免我國企業母公司鞭長莫及，未能及時處置而致罹法典之憾。 二、全面檢視個資業務流程，完備個資盤點與風險評鑑作業，掌握企業法遵現況 　　企業應全面檢視業務流程，先自重要核心業務中析出個資作業流，搭配全面個資盤點，並利用盤點結果進行風險評鑑，再針對其結果就不同等級之風險採行相對應之管控措施。此外，於全業務流程中，亦宜採行最小化蒐集原則，避免蒐集過多不必要之個人資料，尤其是GDPR所定義之敏感個資（如：種族、民族血統、政治觀點、宗教信仰、哲學信仰、工會會員資格等個人資料，及遺傳資料的處理，用於識別特定自然人之生物識別資料、健康資料、性生活、性取向等）或犯罪前科資料，俾降低個人資料蒐集、處理、利用、檔案保存及銷燬之全生命週期流程中的風險。此舉亦契合我國個人資料保護法第5條所揭櫫之原則。 三、立法要求一定規模以上之企業須通過個資隱私法遵第三方認（驗）證，並建置認證資訊公開平台 　　鑒於國際法遵衝擊以及隱私保護要求之標準線日漸提升，我國企業除自主導入、建置並維運相關個資保護與管理制度以資因應，更有賴政府透過法令（如：修正個人資料保護法）強制要求一定規模以上之企業通過第三方專業驗證，俾消弭風險於日常準備之中。蓋我國具一定規模以上企業，無論其係屬何種業別，一旦違反國際法遵要求，遭致鉅額裁罰，其影響結果將不僅止於單一企業，更將嚴重衝擊該產業乃至於國家整體經貿發展。職是，採法律強制要求企業定期接受獨立、公正及專業第三方認（驗）證，咸有其實益性與必要性。

　　英國的1988年智慧財產權法（The Copyright, Designs and Patents Act of 1988）長久以來，對於慈善及非營利團體在公開場合或活動中播放音樂，一直給予合理使用的空間。然當相關團體受惠於此一規定時，創作人跟表演人卻不樂見此情形。因此，英國主管機關針對此一合理使用規範，在2008年對相關團體進行了意見徵詢。 　　在2008年10底截止的意見徵詢中，對於改變錄音著作與表演人權利的公開演播合理使用空間，提供了下列三個選項： 一、 完全廢除此一合理使用空間 二、 縮小適用的團體範疇 三、 廢除合理使用空間，但權利人只能以對雙方都公平的費率收取權利金 　　近日，英國政府宣布根據前述的意見徵詢結果，將廢除慈善與非營利團體的合理使用規定，從2010年4月開始這些團體將必須負擔一個固定的年費，才能在活動或公開場合中使用音樂，但截至目前為止，使用的費率為何尚未確定，但主管機關表示，希望一年不超過100英鎊。 　　主管機關接下來將對費率部分開始徵詢意見，對於1988年智慧財產權法也預期會進行修正，並於2010年4月開始落實相關規範。這樣的改變對於慈善團體而言固然感到失望，相關團體也以未來在活動場合中，不播放音樂或不付權利金來做為要脅，但整體發展仍有待後續觀察。