金融科技（Fintech）專利戰局：那斯達克申請備份交易紀錄之區塊鍊專利

　　英國政府於2020年2月13日發布了《藥品和醫療器材法》（Medicines and Medical Devices Bill）草案。根據英國國民保健署（NHS）的聲明，新法草案修改以及補充了現有的英國藥品、醫療器材、臨床試驗監管框架，確保英國能夠開發具有開拓性的醫療技術。 　　本次草案的提出原因之一為英國計劃自2020年12月31日起退出歐盟，過去英國藥品與醫療器材法律乃援引歐盟相關指令與規則（例如：歐盟醫療器材法規，Medical Device Regulation, (EU) 2017/745），一旦脫歐過渡期結束，英國將無法再透過1972年《歐洲共同體法》（ECA 1972）援用歐盟的規定來規範與更新藥品、醫療器材與臨床試驗法律。 　　本次法案另有幾項新增重點： 醫療器材主管機關英國藥品和醫療產品監管署（Medicines and Healthcare Products Regulatory Agency）成為唯一有權簽發執行通知書（enforcement notices）的機關。 草案第23條明確指出哪些違反英國《2002年醫療器材法規》（Medical Devices Regulations 2002）的行為可能導致刑事犯罪。 草案第26條針對違反英國《2002年醫療器材法規》的人有新的民事制裁（civil sanctions）規範框架。例如在本法草案附表1（Schedule 1）中提及將賦予內閣大臣權力，得對違反《2002年醫療器材法規》之個人處以罰款（monetary penalty）。 草案第34條賦予內閣大臣權力向公眾分享有關醫療器材的資訊，例如受個資法保護或屬商業機密的醫療器材安全的資訊。 目前法案草案在國會二讀階段。

美國目前沒有聯邦的隱私法，由各州訂定州隱私法、產業隱私法，要求企業應揭露資訊以提升資訊透明度，然而隱私法要求企業揭露的資訊多涵蓋了企業的營業秘密。美國華盛頓州州長於2023年4月27日簽署《我的健康資料法（My Health My Data Act）》的州隱私法，其將消費者的健康資料廣義定義為「與消費者有關或具合理關聯的個人資料，可用於識別消費者過去、現在或未來的物理或心理健康狀況」，例如醫療相關資料、患者接受醫療服務的精確地理位置、透過非健康資料可推斷得出的資料。「非健康資料可推斷得出的資料」，如零售業者蒐集消費者近期採購的訂單內容（非健康資訊），並透過AI機器學習分析得出消費者可能懷孕的比例及預產期，藉此對該消費者投放零售業者的嬰幼產品的個人化廣告。 於《我的健康資料法》廣義定義「健康資料」下，導致消費者可要求企業提供的資料可能涵蓋了「企業長期累積之消費者使用資料、經演算法分析運用之消費者使用資料、共享消費者資料的第三方企業名單」等企業認為屬於其營業秘密的資料。 為平衡隱私法的資訊透明度及企業想保護其營業秘密，建議企業可先採取：　 1.使公司的智財部門與資料保護部門合作，確保公司人員對公司營業秘密標的及範圍的認知一致，並盤點企業所有的營業秘密以製作、持續更新營業秘密清單。 2.企業在揭露受營業秘密保護的資料給消費者前，先與消費者簽訂保密契約，並參考前述營業秘密清單約定契約之保密範圍。 如企業欲採取更完備的營業秘密管理措施，建議參考資策會科法所創意智財中心發布的《營業秘密保護管理規範》。 本文同步刊登於TIPS網站（https://www.tips.org.tw）。

　　歐洲法院於2016年12月21日針對英國2014年數據保留及調查權力法案（Data Retention and Investigatory Powers Act 2014；簡稱DRIPA）作出裁決，其認為該法案授權政府機關得要求電信營運商「普遍性及無區別性」保留使用戶之流量及位置數據，並應政府機關指示提供，違反歐盟電子通訊隱私指令（2002/58/EC；E-Privacy Directive），與歐洲聯盟基本權利憲章第7條私生活與家庭生活受尊重之權利，及第8條個人資料受保護之權利。 　　詳言之，歐洲法院認為，歐盟電子通訊隱私指令15(1)，雖承認會員國在保障國家安全、國防、公共安全及預防、調查、偵查及起訴刑事犯罪或未經授權使用電子通信系統之行為下，可立法採取適當措施予以限制電子通訊之隱私權，但由於流量及位置數據是可以藉由保留數據精確得出個人私生活，並據以建立個人簡介，因此，倘允許「普遍性及無區別性」之要求保留數據，對於歐洲聯盟基本權利憲章是非常深遠與特別嚴重之侵害，將導致個人未受任何通知，政府即可要求電信營運商保留數據，使民眾之私生活處於不斷被監視之中。 　　據此，該裁決進一步指出，立法上須具備特定標準及客觀證據，足以證明個人或其數據可能與重大刑事犯罪或恐怖主義有關連性，且保留數據行為具有打擊重大犯罪或預防嚴重公共安全風險之利益，方可限縮歐洲聯盟基本權利憲章所規定之基本權利，且應採取適當保護措施，並確保保留數據於保存期間結束後能徹底且不可復原之銷毀。 　　然而，歐洲法院之此項裁決見解，在英國脫離歐盟已成定局之情形下，其遵循態度與影響力為何，尚不可知，甚且對於其國內於12月實行，以賦予政府更大權力監控民眾之調查權力法案（Investigatory Powers Act. 2016）之衝擊程度為何，亦值得後續觀察。

　　歐盟執委會於2011年4月發布的「智慧電網創新發展」（Smart Grids: from innovation to deployment, COM(2011) 202 final），在有關資訊安全與隱私的部分指出，應建立消費者（consumer）隱私的保護規範，促進消費者的使用意願並瞭解其能源的使用狀況；在資訊交換的過程中，亦須保護敏感的商業資訊，使企業（companies）願意以安全的方式提供其能源使用訊息。 　　歐盟保護個人資料指令（Directive 95/46/EC）是保護個人資料的主要規範，同時也適用在智慧電網個人資料的保護上，但此時則需要去定義何謂個人資料，因為在智慧電網的發展中，有些屬於非個人資料。若為技術上的資訊而不屬於個人資料的範圍，能源技術服務業者（energy service companies）則不須經同意即可讀取該些資訊以作為分析使用。考慮將來廣泛建置智慧電網後，各會員國可能遭遇如何認定是否為個人資料及其保護的問題，因此目前傾向採取「privacy by design」的方式，亦即在系統設計之初，即納入資訊的分類，而不做事後的判斷。 　　對於此，歐盟執委會於2012年3月發布「智慧電表系統發展準備建議」（COMMISSION RECOMMENDATION of 9.3.2012 on preparation for the roll-out of smart metering systems），對於相關定義、資料保護影響的評估（例如各會員國必須填寫並提交執委會提供的評估表格，且提交後則必須遵循相關規範）、設計時的資料保護及預設（例如在系統設計時一併納入對資料的保護，使之符合資料保護的相關法規）、資料保護的方式（例如會員國必須確保個人資料的蒐集、處理及儲存是適當的並且具有關連性）、資料安全（例如對於資料偶然的或非法的破壞、或偶然的喪失等情形，亦應予以規範）、智慧電表的資訊與透明化（例如在蒐集相關個人資料後，仍應依規範提供資料主體相關的訊息）等方面提出建議，供各會員國於制訂相關規範時的依據。