RFID應用發展與相關法制座談會紀實

　　過去一年相關的VOIP服務以及對VOIP的需求大大的升高，產業也預估在今年底，英國將有超過三百萬的使用者。因此，Ofcom在2007年3月29日宣布了一項管制VOIP服務業者之新規範。該法將確保消費者取得使用VOIP服務該有的重要資訊，所有的服務業者也應從2007年6月起遵守相關對於消費者保護的相關要求。 　　這些規定包括業者應對消費者清楚解釋：一、服務內容是否包含緊急服務；二、該服務倚賴家用電源的程度；三、服務內容是否包含電話黃頁；四、如果消費者欲移轉業者，原有號碼是否可攜。如果消費者選擇的是沒有提供緊急電話或者倚賴外接電源的VOIP服務，該法也要求業者確保消費者在消費時，能確實瞭解選購VOIP服務之該項限制（例如在包裝盒外標記號）；透過在設備上貼實體標籤、抑或在電腦螢幕上顯示該項資訊；並在消費者每次嘗試撥打緊急電話時，宣告不提供緊急電話服務之聲明。 　　隨著VOIP使用者以及市場的不斷成長，Ofcom也將持續不斷檢視VOIP服務的相關規範，以期符合消費者的最大利益。

　　隸屬美國科學院（National Academy of Sciences）之藥品學會（Institute of Medicine）於2009年2月4日發表一份研究報告，指出美國醫療保險可攜及責任法的隱私權規範（HIPAA, Privacy Rule），對於醫療研究中有關個人健康資訊之取得及利用的規定未盡周全，不僅可能成為進行醫療研究時的障礙，亦未能完善保障個人健康資訊。 　　在目前的規範架構下，是否允許資訊主體概括授權其資料供後續研究利用，並不明確；另外，在以取得資料主體之授權為原則，例外不需取得授權但必須由審查委員會判斷其妥適性的情況下，亦未有足夠明確的標準可資審查委員會判斷依循，此些問題不僅使得醫療研究中之資料取得及運用，產生若干疑慮，亦突顯個人相關健康資料保護之不足。 　　該報告建議國會應立法授權主管機關制訂一套新的準則，將個人隱私、資料安全及資訊運用透明化等標準，一體適用於所有醫療相關研究的資料取得及利用上；在未來的新準則中，應促進去名化醫療資訊之運用，同時對於未取得資料主體授權的資料逆向識別（re-identification）行為，應增設罰則；此外，審查委員會在判斷得否不經資料主體授權而以其資料進行研究之妥適性時，亦應納入道德考量因素，倘若研究係由聯邦層級的組織所主導，則研究團隊應先證明其已採取充分保護資料隱私及安全的措施，藉以平衡隱私權保護與醫療研究的拉鋸。

　　加拿大聯邦上訴法院於Miller Thomson LLP v. Hilton Worldwide Holding LLP案指出，儘管企業在加拿大未設立實體店面，但如在加拿大有提供與該實體店相關聯的服務，仍可就其服務使用該企業之商標。 　　該案背景為希爾頓集團（Hilton Worldwide Holding）在加拿大未有華爾道夫酒店（Waldorf Astoria）的實體店，卻將WALDORF ASTORIA（下稱系爭商標）於加拿大註冊用於「酒店服務」。對造Miller Thomson欲在加拿大註冊「WALDORF」、「THE WALDORF」、「WALDORF HOTEL」等類此名稱的商標，遭希爾頓集團反對。Miller Thomson為此主張商標註冊官應命希爾頓集團依商標法第45條規定，提出有在加拿大使用系爭商標的證明。希爾頓集團指出，系爭商標有使用於全球預訂、付款服務，且加拿大客戶為忠誠會員亦有獎勵積分等。然而，商標註冊官以先前Motel 6 Inc. v. No. 6 Motel Ltd. [1982] 1 FC 638 (FCTD) (“Motel 6”)判決，與加拿大商標異議委員會（Trademarks Opposition Board，TMOB）Stikeman Elliott LLP v. Millennium & Copthorne International Ltd., 2015 TMOB 231 (“M Hotel”) and Maillis v Mirage Resorts Inc, 2012 TMOB 220等案，認為須由實際位於加拿大的酒店，始能提供酒店服務，遂撤銷系爭商標的註冊。 　　經希爾頓集團提起訴訟後，聯邦上訴法院認為商標法未有「服務」的定義，因此有無使用商標，認定方式應符合現代的商業慣例。聯邦上訴法院指出，無論企業提供的是主要服務、附帶服務或輔助服務，只要消費者從中獲得實質利益，即代表企業已實現其服務。準此，華爾道夫酒店在加拿大雖僅有預訂、付款服務，屬於附帶或輔助服務，但若消費者有因系爭商標的原因，而願意在加拿大利用華爾道夫酒店提供的附帶或輔助服務，並從中獲得利益，則可認定系爭商標有在加拿大被使用。 　　該判決的重要性在於確立即便在加拿大無實體存在，商標權人仍可將商標與其服務結合，但聯邦上訴法院提醒，僅在加拿大境外在網站上顯示商標，尚不足證明該商標有使用於所註冊的服務。此外，商標若結合於網路服務使用，則商標人與加拿大消費者間須有足夠程度的互動，因此，商標權人為了持續受商標法的保護，有必要詳細記錄業經註冊商標的使用情況，俾利在發生爭議時，有證據資料得以佐證。

　　英國電子零售業者Carphone Warehouse在2015年遭到網路攻擊，造成逾300萬客戶及1000名員工的資料外洩，外洩的資料包括客戶的姓名、地址、電話號碼、出生日期、婚姻狀況及1.8萬名客戶的金融卡資訊。 　　英國資訊委員辦公室（Information Commissioner’s Office，ICO）認為涉及之個人資料嚴重影響個人隱私，使得個人資料有被誤用的風險。ICO進一步調查後並發現，駭客僅是透過有效的登入憑證，就能藉由WordPress軟體存取系統，此事件亦暴露該組織技術安全措施之不足，因受影響系統中使用的軟件的重要元素已過時，且公司未能執行例行的安全測試。ICO認為，像Carphone Warehouse此類規模龐大的公司，應積極評估其資料安全系統，確保系統穩健而避免類似的攻擊。 　　據此，ICO判定該公司缺乏妥善的安全措施保障使用者資訊，已嚴重違反《Data Protection Act 1998》資料保護法，判罰40萬英鎊。 　　從今年5月25日起，隨著GDPR的生效，法律將更加嚴格。對此，ICO亦發布了有用的指導，包括GDPR指南，現在採取的12個步驟和工具包。國家網絡安全中心（NCSC）也為組織為保護自己所採取的步驟提供了有用的指導。