簡介美國FTC垃圾電郵法制施行成效報告

2025年8月6日，行動支付技術開發公司Fintiv向喬治亞州北區聯邦地方法院亞特蘭大分院控訴Apple科技公司以詐欺手段竊取Fintiv公司的前身公司CorFire的專屬行動支付技術，違反《保護營業秘密法》（Defend Trade Secrets Act，DTSA）及《喬治亞州營業秘密法》（Georgia Trade Secrets Act，GTSA）等規定，向法院尋求賠償。 Fintiv公司主張Apple公司在2011年至2012年間，以行動支付技術之業務合作為由，與CorFire公司進行多次技術性洽談。Apple公司利用雙方簽訂之保密契約，取得CorFire公司的行動支付技術的詳細實施方案之接觸權限，並要求CorFire公司上傳部分機密資料至Apple公司管理的共享平臺，以促進合作交流關係，最終Apple公司放棄與CorFire公司的合作計畫，Apple公司卻將協商期間所獲技術內容整合，並應用於其在2014年推出的Apple Pay行動支付服務。Fintiv公司進一步主張Apple公司為將Apple Pay商業化，與信用卡處理商及銀行組成企業聯盟，並隱瞞其非法取得技術的真相，宣稱Apple公司自主研發Apple Pay。Fintiv公司指出，Apple公司此舉不僅損害Fintiv公司的合法權益，也嚴重破壞市場競爭秩序。此外，Fintiv公司表示，Apple公司多年來有系統地採取類似策略，如以合作名義獲取其他企業之機密，進而不當使用多項機密以進行商業化使用。 觀察前述實務案例可得知，即使雙方基於保密契約交換機密資料，仍存在終止合作衍生的機密外洩糾紛，如：機密資料歸屬不清、逾越授權範圍使用機密資料等風險。建議企業在「資料提供前」，應先透過「盤點」營業秘密與機密「分級」，確認合適揭露的機密資料，再藉由「審查」機制確認必要揭露的內容；在「資料提供後」，要求他方提供機密資料之「收受證明」以明確歸屬，並在合作關係結束後，要求他方「聲明返還或銷毀機密資料」，以降低他方不當使用機密資料的風險。 前述建議之管理作法已為資策會科法所創意智財中心於2023年發布之「營業秘密保護管理規範」所涵蓋，企業如欲精進系統化的營業秘密管理作法，可以參考此規範。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　德國聯邦資料保護暨資訊自由官（Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit,BfDI）Ulrich Kelber教授於2020年8月19日指出，2020年7月3日甫由德國議會通過的病人資料保護法（Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur; Patientendaten- Schutzgesetz, PDSG），恐違反歐盟一般資料保護規則（GDPR）。 　　該法規定自2021年起，健康保險業者必須向被保險人（病人），提供電子病歷（ePA）。而自2022年起，病人有權要求醫生將病人相關資料記錄於電子病歷，包括健檢結果、醫學報告或X光片、預防接種卡、孕婦手冊、兒童體檢手冊、牙科保健手冊等，而被保險人更換健康保險業者時，可要求移轉其電子病歷至新的健保公司。另外，2021年起將可透過手機，下載電子處方並至藥局領取處方藥。2022年1月1日起，將全面強制使用電子處方，病人將可透過智慧手機或平板電腦，決定他人對於電子病歷之近用權限。病人若無手機，可至健保公司查看電子病歷。依照規劃，目前電子病歷的使用仍採自願性。病人可決定保存或刪除哪些資料，以及誰可以近用該文件。自2023年起，被保險人可自願提供電子病歷資料作為研究用途，而因上述研究可處理病人資料之醫師、診所和藥劑師等，有義務確保其資料安全。 　　BfDI於立法過程中多次強調，在導入電子病歷使用時，病人必須可完全控制自己的資料。而該法規範僅提供病人使用部分設備，例如智慧手機或平板電腦，設定其電子病歷之存取權限，此意謂著將有一段空窗期，病人無法決定其電子病歷中各文件之存取權限。而對於電子病歷中，可否僅開放部分資料供瀏覽或存取，亦受到聯邦資料保護暨資訊自由官質疑。另外，對於無法或不想在手機或平板電腦上使用上述功能的人，本法並未進一步規定，亦即2022年起，上述病人為了能夠檢查或接受醫療，必須強迫病人控制其相關資料，但目前顯然尚缺乏相關配套。此外，以資料保護角度而言，目前電子病歷之認證程序有安全疑慮，尤其是未使用電子健康卡的替代驗證程序尚不夠嚴謹，因此命令相關單位應於2021年5月前完成改善。 　　電子病歷是對醫療保健改善的重要一步，因此相關健康資料保護需要符合GDPR規範水平。電子病歷雖已逐漸受到認可與重視，惟當前病人資料保護法恐無法完全保護病人資料安全。因此，BfDI將透過監管手段，確保健康保險公司不會因提供電子病歷而違反GDPR。

　　愛爾蘭資料保護委員會（Data Protection Commission，DPC）於今（2021）年9月宣告WhatsApp Ireland Limited（下稱WhatsApp）違反歐盟一般資料保護規則（General Data Protection Regulation，GDPR）並處以高額裁罰。 　　DPC自2018年12月起主動調查WhatsApp是否違反GDPR下的透明化義務，包括WhatsApp透過其軟體蒐集用戶與非用戶的個人資料時，是否有依GDPR第12條至第14條提供包括個資處理目的、法律依據等相關資訊，以及該資訊有無符合透明化原則等，其中又以WhatsApp是否提供「如何與其他關係企業（如Facebook）分享個資」之相關資訊為調查重點。 　　歷經長時間的調查，DPC作為本案領導監管機關（lead supervisory authority），於2020年12月依GDPR第60條提交裁決草案予其他相關監管機關（supervisory authorities concerned）審議。惟DPC與其他相關監管機關就該裁決草案無法達成共識，DPC復於今年6月依GDPR第65條啟動爭議解決程序，而歐洲資料委員會（European Data Protection Board）在同年7月對裁決草案中的疑義做出有拘束力之結論，要求DPC提高草案中擬定的罰鍰金額。 　　DPC最終在今年9月2日公布正式裁決，認定WhatsApp未依第12條至第14條提供資訊予「非軟體用戶」之資料主體，而「軟體用戶」的部分也僅有41%符合規範，嚴重違反GDPR第5(1)(a)條透明化原則。據此，以母公司Facebook全集團營業額作為裁罰基準，DPC對WhatsApp處2.25億歐元之罰鍰，為GDPR生效以來第二高的裁罰，並限期3個月改善。

　　美國聯邦第二上訴巡迴法院於去年12月9日做出判決，維持先前佛羅里達州南區地方法院對於 Perfect Web Tech. 公司之專利第6,631,400號(以下簡稱專利400號)做出該專利無效之簡易裁決。第二上訴巡迴法院在 Perfect Web Technologies Inc. v. InfoUSA Inc. 一案中對於判斷一項專利的顯而易見性 (obviousness) 上，“常識”(common sense)所代表的意義做出解釋。 　　此案最初係由 Perfect Web Tech 控訴InfoUSA 侵害其所持專利400號，該專利為 “一種管理大批 (bulk) 電子郵件傳送到各不同鎖定目標的方法”。專利400號包含了4道程序，第一至第三道程序包含將大批的電子郵件寄送到一鎖定目標對象的群組，並計算當中寄送成功的數量。第四道程序則為重覆程序一至三，直到寄送成功的數量超過原設定的最低成功數量。對此InfoUSA向法院提出裁定專利400號無效的簡易裁決，而地方法院以 “程序一至三為先前技術 (prior art)，程序四則僅為合乎邏輯的常識做法”而准予該請求並裁定專利400號無效。 　　第二上訴巡迴法院維持原判的理由在於專利400號不符合於KSR案中關於 “顯而易見性”的判斷原則。訴訟雙方皆同意程序一至三為先前技術，而法院認為程序四是 “常識”下的產物， “是一般人都顯然會去嘗試的結果”。Linn 法官更進一步指出像這樣的案子根本不需要專家證詞，只需用一般人的常識判斷即可。但是判決中亦同時聲明，若要援用 “常識”來判斷一項專利的顯而易見性，地院或專利審查官必須要能將判斷的依據解釋清楚以受公評。此判決結果意味著如果係爭的專利技術較為複雜，被告將必須要依賴有利的專家證詞以成功證實爭論的要點僅止於常識運用且具有顯而易見性。