美國最高法院判決：向境外供應侵權產品若為單一元件不構成侵權行為

英國運輸部（Department for Transport）2023年7月11日向議會提交《2023年公共充電樁規則（Public Charge Point Regulations 2023）》草案，希望改善電動車駕駛的充電體驗。草案是根據《2018自動與電動車法（Automated and Electric Vehicles Act 2018）》授權，規定一系列充電樁營運商必須遵守的充電樁規格標準，充電樁營運商若未遵守相關規定，最高可處以每座充電樁1萬英鎊之罰鍰： 一、定價及費用透明：充電樁營運商必須清楚標示每時段定價，以便士/瓩時（p/kWh）作為計價單位。每次充電後必須顯示充電總費用。 二、須提供24小時免費客服專線：充電點營運商須提供免費24小時專線，支援客戶服務。同時將客戶所提出的問題、解決方式和時間做成紀錄。 三、開放資料：充電樁營運商必須遵守開放式充電協議（Open Charging Point Interface, OCPI），建構開放式充電網絡，消除漫遊服務資料存取的障礙，免費公開充電樁位置、充電狀態、功率等充電樁相關資料。 四、感應式支付：所有新的8瓩以上公共充電樁，及現有快速公共充電樁必須提供消費者零接觸、無現金支付選項。 五、99%可靠性：所有快速公共充電樁，可靠性要求必須高達99％（即99% 的時間可以正常使用），並在網站公開充電樁可靠性資料。 六、充電漫遊支付服務（Payment roaming）：充電樁營運商必須至少和一家第三方充電漫遊服務供應商（roaming provider）進行合作，使消費者可以透過漫遊服務，使用同一APP或具RFID感應功能的卡片，支付不同充電樁營運商的充電費用。

我國關於個人資料去識別化實務發展 財團法人資訊工業策進會科技法律研究所 2019年6月4日 壹、我國關於個人資料去識別化實務發展歷程 　　我國關於個資去識別化實務發展，依據我國個資法第1條立法目的在個資之隱私保護與加值利用之間尋求平衡，實務上爭議在於達到合理利用目的之個資處理，參酌法務部103年11月17日法律字第10303513040號函說明「個人資料，運用各種技術予以去識別化，而依其呈現方式已無從直接或間接識別該特定個人者，即非屬個人資料，自非個資法之適用範圍」，在保護個人隱私之前提下，資料於必要時應進行去識別化操作，確保特定個人無論直接或間接皆無從被識別；還得參酌關於衛生福利部健保署資料庫案，健保署將其所保有之個人就醫健保資料，加密後提供予國衛院建立健保研究資料庫，引發當事人重大利益爭議，終審判決（最高行政法院106年判字第54號判決）被告（即今衛福部）勝訴，法院認為去識別化係以「完全切斷資料內容與特定主體間之連結線索」程度為判準，該案之資料收受者（本案中即為衛福部）掌握還原資料與主體間連結之能力，與健保署去識別化標準不符。但法院同時強調去識別化之功能與作用，在於確保社會大眾無法從資料內容輕易推知該資料所屬主體，並有提到關於再識別之風險評估，然而應採行何種標準，並未於法院判決明確說明。 　　我國政府為因應巨量資料應用潮流，推動個資合理利用，行政院以推動開放資料為目標，104年7月重大政策推動會議決議，請經濟部標檢局研析相關規範（如CNS 29191），邀請相關政府機關及驗證機構開會討論，確定「個人資料去識別化」驗證標準規範，並由財政部財政資訊中心率先進行去識別化驗證；並以我國與國際標準(ISO)調和之國家標準CNS 29100及CNS 29191，同時採用作為個資去識別化驗證標準。財政部財政資訊中心於104年11月完成導航案例，第二波示範案例則由內政部及衛生福利部（105年12月通過）接續辦理。 　　經濟部標準檢驗局目前不僅將ISO/IEC 29100:2011「資訊技術－安全技術－隱私權框架」(Information technology – Security techniques – Privacy framework)、ISO/IEC 29191:2012「資訊技術－安全技術－部分匿名及部分去連結鑑別之要求事項」(Information technology – Security techniques – Requirements for partially anonymous, partially unlinkable authentication)，轉換為國家標準CNS 29100及CNS 29191，並據此制訂「個人資料去識別化過程驗證要求及控制措施」，提供個資去識別化之隱私框架，使組織、技術及程序等各層面得整體應用隱私權保護，並於標準公報(107年第24期)徵求新標準之意見至今年2月，草案編號為1071013「資訊技術－安全技術－個人可識別資訊去識別化過程管理系統－要求事項」(Management systems of personal identifiable information deidentification processes – Requirements)，主要規定個資去識別化過程管理系統(personal information deidentification process management system, PIDIPMS)之要求事項，提供維護並改進個人資訊去識別化過程及良好實務作法之框架，並適用於所有擬管理其所建立之個資去識別化過程的組織。 貳、個人資料去識別化過程驗證要求及控制措施重點說明 　　由於前述說明之草案編號1071013去識別化國家標準仍在審議階段，因此以下以現行「個人資料去識別化過程驗證要求及控制措施」（以下簡稱控制措施）[1]說明。 　　去識別化係以個資整體生命週期為保護基礎，評估資料利用之風險，包括隱私權政策、隱私風險管理、隱私保護原則、去識別化過程、重新識別評鑑等程序，分別對應控制措施之五個章節[2]。控制措施旨在使組織能建立個資去識別化過程管理系統，以管理對其所控制之個人可識別資訊(personal identifiable information, PII)進行去識別化之過程。再就控制措施對應個人資料保護法（下稱個資法）說明如下：首先，組織應先確定去識別化需求為何，究係對「個資之蒐集或處理」或「為特定目的外之利用」（對應個資法第19條第1項第4、5款）接著，對應重點在於「適當安全維護措施」，依據個資法施行細則第12條第1項規定，公務機關或非公務機關為防止個資被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施；而依據個資法施行細則第12條第2項規定，適當安全維護措施得包括11款事項，並以與所欲達成之個資保護目的間，具有適當比例為原則。以下簡要說明控制措施五大章節對應個資法： 一、隱私權政策 　　涉及PII處理之組織的高階管理階層，應依營運要求及相關法律與法規，建立隱私權政策，提供隱私權保護之管理指導方針及支持。對應個資法施行細則第12條第2項第5款適當安全維護措施事項「個人資料蒐集、處理及利用之內部管理程序」，即為涉及個資生命週期為保護基礎之管理程序，從蒐集、處理到利用為原則性規範，以建構個資去識別化過程管理系統。 二、PII隱私風險管理過程 　　組織應定期執行廣泛之PII風險管理活動並發展與其隱私保護有關的風險剖繪。直接對應規範即為個資法施行細則第12條第2項第3款「個人資料之風險評估及管理機制」。 三、PII之隱私權原則 　　組織蒐集、處理、利用PII應符合之11項原則，包含「同意及選擇原則」、「目的適法性及規定原則」、「蒐集限制原則」、「資料極小化原則」、「利用、保留及揭露限制」、「準確性及品質原則」、「公開、透通性及告知原則」、「個人參與及存取原則」、「可歸責性原則」、「資訊安全原則」，以及「隱私遵循原則」。以上原則涵蓋個資法施行細則第12條第2項之11款事項。 四、PII去識別化過程 　　組織應建立有效且周延之PII去識別化過程的治理結構、標準作業程序、非預期揭露備妥災難復原計畫，且組織之高階管理階層應監督及審查PII去識別化過程之治理的安排。個資法施行細則第17條所謂「無從識別特定當事人」定義，係指個資以代碼、匿名、隱藏部分資料或其他方式，無從辨識該特定個人者，組織於進行去識別化處理時，應依需求、風險評估等確認注意去識別化程度。 五、重新識別PII之要求 　　此章節為選驗項目，需具體依據組織去識別化需求，是否需要重新識別而決定是否適用；若選擇適用，則保留重新識別可能性，應回歸個資法規定保護個資。 參、小結 　　國際上目前無個資去識別化驗證標準及驗證作法可資遵循，因此現階段控制措施，係以個資整體生命週期為保護基礎，評估資料利用之風險，使組織能建立個資去識別化過程管理系統，以管理對其所控制之個人可識別資訊進行去識別化之過程，透過與個資法對照個資法施行細則第12條規定之安全維護措施之11款事項，內化為我國業者因應資料保護與資料去識別化管理制度。 　　控制措施預計於今年下半年發展為國家標準，遵循個資法與施行細則，以及CNS 29100、CNS 29191之國家標準，參照國際上相關指引與實務作法，於技術上建立驗證標準規範供產業遵循。由於國家標準無強制性，業者視需要評估導入，仍建議進行巨量資料應用等資料經濟創新業務，應重視處理個資之適法性，建立當事人得以信賴機制，將有助於產業資料應用之創新，並透過檢視資料利用目的之合理性與必要性，作為資料合理利用之判斷，是為去識別化治理之關鍵環節。 [1] 參酌財團法人電子檢驗中心，個人資料去識別化過程驗證，https://www.etc.org.tw/%E9%A9%97%E8%AD%89%E6%9C%8D%E5%8B%99/%E5%80%8B%E4%BA%BA%E8%B3%87%E6%96%99%E5%8E%BB%E8%AD%98%E5%88%A5%E5%8C%96%E9%81%8E%E7%A8%8B%E9%A9%97%E8%AD%89.aspx（最後瀏覽日：2019/6/4） 財團法人電子檢驗中心網站所公告之「個人資料去識別化過程自評表_v1」包含控制措施原則、要求事項與控制措施具體內容，該網站並未公告「個人資料去識別化過程驗證要求及控制措施」，故以下整理係以自評表為準。 [2] 分別為「隱私權政策」、「PII隱私風險管理過程」、「PII之隱私權原則」、「PII去識別化過程」、「重新識別PII之要求」。

　　EMA近日針對醫藥公司，在其欲申請人體藥物上市核准的申請文件中，針對如何準備與審查產品特性摘要之文件，提供醫藥公司相關的指導方針。 　　產品特性摘要不僅是醫藥公司之新藥物在向歐盟申請上市核准時所必須提供的重要文件，也是健康照護專業人員在獲知如何有效並安全使用藥物時的基本資訊來源。產品特性摘要在藥品生命週期存續時必須定時保持更新，以確保無藥物效用性與安全性疑慮的新問題發生；同時，其也是在藥物包裝上所必須含有的基本資訊，以確保藥物服用者能對其所服用的藥物有更多的了解和進行各類風險評估。 　　產品特性摘要文件，主要係依據歐盟2001/83/EC號指令第8(3)(j)條與歐盟第726/2004號法規第6(1)條之要求而提供。前述法規要求醫藥公司在提出藥物上市許可之申請時，必須遵循歐盟2001/83/EC號指令第11條之規定，附加產品特性摘要於申請文件，以供主管機關作為申請核駁之依據。在EMA針對產品特性摘要所提供的指導方針中，主要係以簡報與影片的方式，來教導醫藥公司如何在產品特性摘要的各個項目中，提供有關申請藥物更為完整與細部的背景資訊。其中，有關於解釋如何完成治療指示（therapeutic indication）與藥物藥效成分（pharmacodynamic properties of a medicine）之項目，於EMA的指導方針中，亦以明確的影片指導來協助醫藥公司提供高品質的產品特性摘要內容。 　　有鑑於治療人體疾病之藥物，對於人類生理與心理層面攸關重大，如何要求醫藥公司在提出人體藥物上市許可之申請時，能提供藥物完整的背景資訊，以確保從事健康照護之人員以及藥物服用者，完全了解藥物使用方式、效用與風險，則是主管機關無從推卸的責任。觀察EMA針對人體藥物之產品特性摘要製作出完整的指導方針，或許我國衛生機關也可效仿該種方式，來提供國內醫藥公司在提出藥物上市申請時之參考，以確保各項資訊透明並保護藥物使用者在「知」方面的權益。

　　鑒於「監管不確定性」係加密貨幣市場發展之一大阻礙，2018年間，美國證券交易委員會（United States Securities and Exchange Commission, SEC）成員威廉．希曼（William Hinman）表示，SEC打算發布指導方針，協助市場參與者確認「哪些數位資產之發售，會被認為是投資契約，進而構成證券」，須受到相關證券法規監管。據此，2019年4月3日，SEC公布指導文件：「數位資產之投資契約分析框架」（Framework for “Investment Contract” Analysis of Digital Assets）。惟須注意的是，該文件為內部成員之意見，不具正式法律效力，不得拘束SEC企業財務局或委員會本身，而僅屬一種指導。 　　美國法上對於「投資契約」的認定標準，為聯邦最高法院建立的Howey Test，即基於合理的獲利預期、且該獲利來自他人的創業或經營努力、而投資金錢於一共同事業者，成立投資契約，進而構成證券。因此，為確認「哪些數位資產之發售，會被認為是投資契約，進而構成證券」，該文件特別針對「Howey Test」中的「基於合理的獲利預期」、「該獲利來自他人的創業或經營努力」，提出具體判斷標準，並輔以「其他相關考量因素」，供市場參與者作一參考： （一）基於合理的獲利預期：例如「數位資產持有人可否分享企業收入或利潤，或從數位資產的增值獲得利潤」、「持有人現在或未來得否在次級市場交易」等具體標準； （二）該獲利來自他人的創業或經營努力：例如「營運上是否去中心化」、「數位資產持有人，是否期待發行人執行或管理必要工作」等具體標準； （三）其他相關考量因素：包含「數位資產之設計和執行，旨在滿足使用者需求，而非投機買賣」、「數位資產的價值，通常會保持不變或隨時間減損，理性持有人不會『以投資為目的』而長期持有」、「數位資產可作為真實貨幣之替代物」等等，文件中指出，只要這些其他相關考量因素越明顯，越不符合上開「基於合理的獲利預期且該獲利來自他人的創業或經營努力」。 　　文件中亦強調，SEC將參酌個案事實，綜合上開各項標準，為客觀之認定。