何謂「CRADAs」？

　　案件緣於Judith Vidal-Hall等三人對Google提告，主張Google規避蘋果公司Safari瀏覽器預設之隱私設定，在未取得用戶同意前，逕行使用cookies追蹤其網路活動，蒐集瀏覽器產生的資訊（the Browser-Generated Information, or ‘BGI’），並利用其對用戶發送目標廣告。原告認為這些作法可能使用戶的隱私資訊被第三人所探知，而且與Google保護隱私之公開聲明立場相違。此案於2015年3月27日由英國上訴審法官做成判決，並進入審理程序（裁判字號：[2015] EWCA Civ 311）。 　　本案主要爭點包含，究竟用戶因使用瀏覽器所產生的資訊是否屬於個人資料？濫用隱私資訊是否構成侵權行為？以及在沒有金錢損失（pecuniary loss）的情形下，是否仍符合英國資料保護法（Data Protection Act 1998）第13條所指損害（damage）的定義，進而得請求損害賠償？ 　　法院於判決認定，英國資料保護法旨在實現「歐盟個人資料保護指令」（Data Protection Directive，95/46/EC）保護隱私權的規定，而非經濟上之權利，用以確保資料處理系統（data-processing systems）尊重並保護個人的基本權利及自由。並進一步說明，因隱私權的侵害往往造成精神損害，而非財產損害，從歐洲人權公約（European Convention of Human Rights）第八條之規定觀之，為求對於隱私權的保障，允許非財產權利的回復；倘若限縮對於損害（damage）的解釋，將會有礙於「歐盟個人資料保護指令」立法目的的貫徹。 　　法院強調，該判決並未創造新的訴因（cause of action），而是對於已經存在的訴因給予正確的法律定位。從而，因資料控制者（data controller）的不法侵害行為的任何損害，都可以依據英國資料保護法第13條第2項請求損害賠償。 　　本案原告律師表示：「這是一則具有里程碑意義的判決。」、「這開啟了一扇門，讓數以百萬計的英國蘋果用戶有機會對Google提起集體訴訟」。原告之一的Judith Vidal-Hall對此也表示肯定：「這是一場以弱勝強（David and Goliath）的勝利。」 　　註：Google 在2012年，曾因對蘋果公司在美國蒐集使用Safari瀏覽器用戶的個資，與美國聯邦貿易委員會（United States Federal Trade Commission）以2,250萬美元進行和解。

　　美國FDA官員新近對外表示，該局正考慮參考處方藥使用者付費法（Prescription Drug User Fee Act, PDUFA），研擬一套向學名藥產業收費的機制。PDUFA是美國國會在1992年所通過的法案，依據該法，生技及製藥產業向FDA支付「使用費」（user fees），FDA承諾每年達到一定的審查“業績”（performance standards），以加速新藥上市申請。 　　目前PDUFA的適用對象並不包括學名藥廠，鑑於歷年來學名藥上市申請案件大幅攀升，以FDA既有之人力與資源，早已無法負擔如此大量的上市審查工作。另若考量諸多知名原廠藥之專利將在未來幾年陸續到期，如不增加新的資源，FDA的學名藥審查負擔將會持續惡化。使用者付費機制若能擴及學名藥，則FDA將可獲得額外資源，用來聘用更多的專業審查人員、取得更為豐富之資料，以保障病患之權益，使其可儘速近用便宜且有效之學名藥。 　　雖然PDUFA在改善新藥上市審查效率方面，確實達到了政府與產業界雙贏、民眾受惠的目的，不過這套制度要擴及學名藥產業，卻遭受到學名藥業界的反對。其中最主要的疑慮來自於，在現今的審查制度設計下，提高學名藥上市審查效率的目標是否能透過使用者付費達成，殊值懷疑。蓋根據美國法律規定，學名藥廠若以原開發藥廠之專利無效為理由申請上市，應將申請上市之事實通知原開發藥廠，一旦原開發藥廠認為學名藥廠侵害其專利並提起訴訟，FDA即必須停止學名藥之上市審查。據此，學名藥業界認為，在上述問題解決前，即使PDUFA擴及適用到學名藥產業，也並未能有助於改善學名藥上市審查之效率。 　　總而言之，PDUFA若欲擴及學名藥產業，仍需釐清前揭疑慮並有待國會立法通過，不過，一旦使用者付費機制擴及適用於學名藥產業，則學名藥廠之藥物開發成本將會提高，我國學名藥廠如欲經營美國市場，值得注意其發展。

　　當蘋果公司一宣佈新的產品iPhone將上市，思科系統公司即在星期三(2007年1月10日)控告蘋果侵害iPhone商標權。思科在7年前就已經註冊iPhone的商標，蘋果好幾次企圖向思科表明想要取得iPhone的商標權，但都被思科拒絕。思科資深副總裁馬克‧賈伯斯表示，「蘋果公司的新產品十分具有吸引力，但是他們不應該未經過思科允許，就使用iPhonee商標。」此次提出控告不但保護思科的iPhone商標免於被蘋果使用，且預防公司可能有的損害。 　　蘋果公司發言人娜塔莉‧凱瑞絲說，我們認為思科的控告十分無聊，而且早已有很多家公司使用iPhone的商標在寬頻電話上，蘋果是第一個將iPhone商標用在手機的公司，我們相信思科宣稱擁有iPhone商標權不足以來對抗蘋果，我們相當有信心能戰勝這場戰。 　　波士頓律師事務所Bromberg & Sunstein創設者布魯斯‧桑斯坦表示，思科為iPhone商標註冊權人，在法律上具有優勢，蘋果唯一可選擇的抗辯，就是宣稱i系列的商標名稱，例如iPod, iTunes和 iMac，早已造成消費者的混淆，消費者已經無法辨別iPhone是由誰所製造的。桑斯坦進一步說明，蘋果雖宣稱他們在澳洲擁有iPhone商標權，但商標權為屬地主義，因此此項宣稱對於在美國已擁有iPhone商標權的思科並無太大的影響。

GDPR跨國執法新程序帶來的變革 資訊工業策進會科技法律研究所 2025年12月10日 隨著2025年12月12日歐盟官方公報（Official Journal, OJ）正式發布《一般資料保護規則》（General Data Protection Regulation, GDPR）跨境執法補充程序規則[1]（Regulation (EU) 2025/2518），表彰歐盟立法者在協調GDPR跨境執法邁出關鍵的一步。新規則規範各成員國個資監管機關（Supervisory Authorities, SAs）於執行跨境GDPR投訴與進行案件調查的應遵守程序規則。 壹、立法背景 個資監管機關在其成員領土範圍享有管轄權，惟控制者或處理者於多成員國設立據點或處理資料時，各監管機關必須合作並共享決策，此種方式稱為一站式機制（one-stop-shop mechanism）。營運者主要據點的個資監管機關應負責協調監督任務，該主責之個資監管機關稱為主導監督機關（Lead Supervisory Authority, LSA），與此相對的個資監管機關被稱為相關監督機關（Supervisory Authorities Concerned, CSA），兩者需合作過程中交換相關資訊。此種合作模式偏向分散式執法，而導致個人救濟的遲延、如企業主要據點變更須移轉SA管轄權導致執法程序延宕等諸多功能性缺陷，減損GDPR希望達到的執法一致性[2]。 於此背景下，歐盟執委會（European Commission）便提出了一項補充性規則提案[3]，企圖提高各盟成員個資監管機關跨境執法效率與一致性。這項提案於2025年6月16日達成協議[4]，於2025年10月21日由歐盟議會（European Parliament）宣布通過最終文本，並後續於同年11月17日由歐盟理事會（Council of the European）正式宣布通過，於同年12月12日正式發布於歐盟官方公報（Official Journal, OJ）。 貳、重點概覽 一、 統一的申訴規則 新補充規範適用之前提涉及跨境執法，其具體適用範圍主要有兩類，其一是基於申訴之調查（complaint-based）；第二類是基於職權之調查（ex officio）。此外，涉及跨境處理之案件進行申訴處理與調查，亦包括判定該案件是否屬於跨境處理。 新補充規則進一步調整以往各國不協調的申訴受理標準，建構統一的跨國申訴受理標準。依據新補充規則，提起跨境資料處理的申訴案件，應包含： 1.申訴人之姓名與聯絡資訊； 2.有助於識別被申訴對象（資料控制者或處理者）的資訊； 3.涉及違反GDPR行為之描述。 除前述資訊外，不得要求提供其他額外資訊作為其可受理之要件。監管機關應於2周內評估申訴是否可受理，受理申訴之個資監管機關如認定該申訴未包含前述資訊，應於收到該申訴之兩週內，宣告其為不可受理，並將其理由告知申訴人。 二、程序保障－意見陳述與行政檔案的資訊近用 對於受調查的組織，新補充規則提供相對應的程序保障，以確保個資監管機關做出最終決定前，組織能有意見陳述的機會，也就是意見陳述權（The right to be heard）。 當主導監督機關（Lead Supervisory Authority, LSA）初步認為存在違反GDPR的行為時，必須先擬定「初步調查結果」（preliminary findings）給受調查組織。該初步調查結果必須包含事實、證據和法律評估，以及擬採取的糾正措施（例如罰款）。 初步調查結果通知後，受調查的組織有少至三週時間，至多有六週時間以書面回應或申請聽證。 陳述意見權的配套是對行政檔案之近用權，被調查當事人與申訴人均有權近用行政檔案，但須排除： 1.監管機關內部資訊； 2.商業機密或其他機密資訊。 三、提升案件決策效率的機制 目前對GDPR執法的常見批評之一是決策速度緩慢。新補充規引入較嚴格的決策期限限制和提高效率的機制。 （一） 決策期限 原則上，主導監管機關應於其管轄權獲確認之日起十五個月內提出決定草案；該期間僅得於例外情形下延長一次。 （二） 早期解決程序 引入一套機制來快速處理申訴。如果GDPR違法行為已得到糾正，且投申訴不成立，在申訴人不提出異議的情況下，個資監管機構得逕行結案。 （三） 簡化合作程序 對於「情節明確、無合理疑義」之案件，個資監管機關得選擇採行簡化之合作程序，以避免行政官僚程序所造成之延宕。 參、結語 跨境執法補充程序規則，旨在解決過去跨境個資案件中程序延宕、不一致等長期性問題。具體而言，其措施包含進一步細化申訴可受理標準、明確化調查程序的陳述意見權、行政檔案近用與商業機密保護並提高決策效率。 這套補充規則透過更詳細的規範，補足既有一站式機制的不足，有機會使跨境資料處理申訴案件能更有效率且同時以兼顧透明度與正當程序之方式獲得解決。 [1] Regulation (EU) 2025/2518, O.J. L, 2025/2518, 12.12.2025, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L_202502518 [2] European Parliament [EP], Newly proposed GDPR procedural rules: Improving efficiency and consistency 4(2024). [3] COM(2023)0348 – C9-0231/2023 – 2023/0202(COD). [4] European Council [EC], Data protection: Council and European Parliament reach deal to make cross-border GDPR enforcement work better for citizens, https://www.consilium.europa.eu/en/press/press-releases/2025/06/16/data-protection-council-and-european-parliament-reach-deal-to-make-cross-border-gdpr-enforcement-work-better-for-citizens/ (last visited Dec.8, 2025)