「達文希密碼」的著作權爭議

　　美國最高法院於2月22日針對Life Technologies Corp. v. Promega Corp.一案作出判決，對於向美國境外供應多元件侵權產品的其中單一元件，並不構成35 U.S.C. 271(f)（以下稱271(f)）的侵權責任。 　　美國醫療生技公司Promega控告同業LifeTech侵害其專利，指稱LifeTech所製造的基因檢測套件中之組裝元件中之DNA聚合酶元件（Taq polymerase）是由美國製造，運送到英國組裝後，再販售至世界各地。Promega認為LifeTech將單一元件輸出至英國組裝的行為，已違反271(f)(1)中的「境外組裝」規定。 　　該案爭點之一在271(f)(1)之詮釋及適用爭議：「一當事人未經授權自美國向境外供應專利中全部或相當部份（"all or a substantial portion"）之元件，若元件尚未組合，而在美國境外將主要部分加以組合，如同其在美國境內將該元件組合，應視為侵權者而負其責任。」 　　地院認為271(f)(1)中的"all or a substantial portion"不符合本案只提供單一元件之情形，判定侵權不成立。不過CAFC認為地院有不當解釋271(f)(1)，故認定LifeTech所販售的聚合酶元件符合271(f)(1)規定的"substantial portion"應解釋為"重要的部分"，故推翻一審判決，判定侵權成立。 　　最高法院解讀271(f)(1)時，將其中的"substantial portion"解釋為"大量"或"多的"，因此認定所述"單一元件"並不構成271(f)(1)中的"substantial portion"，原因為單一元件並非法條所指的"多量"。 　　最終，最高法院認為，本案被告僅供應"單一元件"在境外組合，因此並不構成35U.S.C.271(f)(1)法條所定義之侵權行為。 「本文同步刊登於TIPS網站（https://www.tips.org.tw ）」

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

　　當工業的製造生產過程經過一連串自動化、產量化以及全球化之變革歷程之後，智慧工廠的發展已經成為未來各國的重點目標。生產力4.0的設計中，巨量資料(Big Data)是重要的一環，以製造業為例，傳統上將製造生產取得的數據僅用於追蹤目的使用，鮮少做為改善整體操作流程的基礎，但在生產力4.0推進之後，則轉變為如何藉由巨量資料來提升生的效率、利用多元資源的集中化與分類處理，並經過分析取得改善行動方式，使生產最佳化，再結合訂單需求預期分析，依市場變化調整製造產量，達成本控制效果。 　　在我國104年9月公布之「2015行政院產力4.0科技發展方案」，亦提及智慧機械、智慧聯網、巨量資料、雲端運作等技術開發，使製造業、商業服務業、農業產品服務等，提升其附加價值。除此之外，經濟部積極規劃佈建巨量資料自主技術研發能力並且促成投資，落實應用產業智慧化與巨量資料產業化之目標。然而，巨量資料的應用因涉及大量的資料蒐集與利用，因此，未來應著重於如何將資料去辨識化，顧及隱私與個人資料之保護。目前，針對此部分，法務部將研擬個人資料保護法修正案，制訂巨量資料配套法規。

　　美國聯邦運輸部（US Department of Transportation）於2021年1月11日發布「自駕車全面性計畫（Automated Vehicles Comprehensive Plan, AVCP）」，建立了交通部促進合作、透明性與管制環境現代化，並將自動駕駛系統（Automated Driving Systems）安全整合入交通系統之策略。基於過去「自駕車政策4.0」建立之原則上，自駕車全面性計畫定義了三個目標以達成其願景： 促進合作與透明性：交通部將會促進其合作單位與利益相關人可取得清楚且可靠之資訊，包含自駕系統的能力與限制。 使管制環境現代化：交通部將會現代化相關規範並移除對創新車輛設計、特性與運作模組之不必要障礙，並發展專注於安全性之框架與工作以評估自駕車技術的安全表現。 運輸系統之整備：交通部將會與利害相關人合作實施安全的評估與整合自駕系統於運輸系統之基礎研究與行動，並促進安全性、效率與可取得性。 　　政策文件中也就相關目標提出了關鍵目的以及行動，包含先前交通部所提出的「自駕系統安全性框架（Framework for Automated Driving System Safety）」草案，將透過建立框架定義、評估並提供自駕系統的安全性需求，並同時保留創新發展之彈性；另外此政策文件也提出了如何將自駕系統融合現有技術應用之實際案例。交通部將會定期的檢視相關行動與計畫，以反應技術與產業發展，並減少重複性之行動，並將資源投注於重要領域。