開放非銀行事業從事預付式行動付款服務法制議題之研究

　　法國國家資訊自由委員會（Commission nationale de l’informatique et des libertés, CNIL）自2020年5月起陸續收到民眾對臉部辨識軟體公司Clearview AI的投訴，並展開調查。嗣後，CNIL於2021年12月16公布調查結果，認為Clearview AI公司蒐集及使用生物特徵識別資料（biometric data）的行為，違反《一般資料保護規範》（General Data Protection Regulation，GDPR）的規定，分別為： 非法處理個人資料：個人資料的處理必須符合GDPR第6條所列舉之任一法律依據，始得合法。Clearview AI公司從社群網路蒐集大量全球公民的照片與影音資料，並用於臉部辨識軟體的開發，其過程皆未取得當事人之同意，故缺乏個人資料處理的合法性依據。 欠缺保障個資主體的權利：Clearview AI公司未考慮到GDPR第12條、第15條及第17條個資主體權利之行使，特別是資料查閱權，並且忽視當事人的個資刪除請求。 　　因此，CNIL要求Clearview AI公司必須於兩個月內改善上述違法狀態，包括：（1）在沒有法律依據的情況下，停止蒐集及使用法國人民的個資；（2）促進個資主體行使其權利，並落實個資刪除之請求。若Clearview AI公司未能於此期限內向CNIL提交法令遵循之證明，則CNIL可依據GDPR進行裁罰，可處以最高 2000萬歐元的罰鍰，或公司全球年收入的4%。

　　日前在澳洲GoogleInc（Google）成功的阻擋DmitriRystk（Rystk）以GOOGLEBAY申請註冊於第35類消費者市場情報服務（consumermarketinformationservices）的商標。 　　根據澳洲商標法規定，提出異議者，即商標權人-Google，必須要能立證其所註冊的服務或商品中與爭議商標申請人Rystk所申請註冊的商標所指定的服務，至少有包含一項跟消費者市場情報服務類似的服務或商品；並且GOOGLE與GOOGLEBAY有足以令人混淆誤認之虞。 　　Google提出的訴因為： 1) GOOGLEBAY乃是與GOOGLE有“欺矇性的”相似（deceptivelysimilar）商標 2) Rystk提出註冊申請（2006年06月16日）時，GOOGLE已經在澳洲有相當知名度 　　澳洲商標審查員認為消費者市場情報服務是一個很廣義的範圍，可以想見其中必然包括廣告服務。因此，它所指定的服務即包含類似於Google第1049124號註冊商標所包含的服務，其中包括透過網際網路散佈廣告。 　　澳洲商標審查員亦同時提到GOOGLE此造字的特殊性，及另一個造字EBAY皆無字典上的解釋，並且這兩個造字都跟網際網路有強烈的關聯。根據這個見解，消費者即有可能將GOOGLEBAY視為GOOGLE跟EBAY的結合造字，加上並沒有其他字義解釋的情況下，想當然爾會認為GOOGLEBAY與Google的事業有關，比如認為GOOGLEBAY是GOOGLE關係家族的商標之一。加上GOOGLE商標在澳洲亦有十足的知名度*，更能讓商標審查員同意如此“欺矇性的”相似商標有足以令人混淆誤認之虞。 　　在此特別一提的是澳洲的商標法修正後，在對商標註冊提出異議時，對以與著名商標有疑似混淆誤認的訴因中“欺矇性的”相似已不再是前提要素。因此，商標審查員核駁了Rystk的GOOGLEBAY註冊申請。 *註1：根據澳洲聯邦商標法第60條第1項，商標註冊可以因另一商標在註冊的優先權日前即已在澳洲獲得相當知名度而遭到異議

日本建立物聯網產品資安符合性評鑑及標籤制度（JC-STAR），助消費者提升產品資安識別 資訊工業策進會科技法律研究所 2025年10月30日 壹、事件摘要 為因應物聯網（Internet of Things，簡稱IoT）產品日趨嚴重的資安威脅，日本陸續訂定針對物聯網產品資安之國內法規與政策方針，除了為強化物聯網產品之資安要求以外，藉由具體的資安評級要求，適用不同類型的物聯網產品，再透過資安標籤制度以區別產品，提升產品之資安識別，以供消費者選購時參考。據此，本文觀測日本近期建立的JC-STAR制度與其所適用國內法規，供我國未來參考與借鏡。 貳、重點說明 一、日本JC-STAR制度背景與目的 日本資訊處理推動機構（独立行政法人情報処理推進機構，Information-Technology Promotion Agency, Japan，簡稱IPA），依日本經濟產業省於2024年8月23日所公布之《IoT產品資安符合性評鑑制度建構方針》政策架構下[1]，建立了《物聯網產品資安符合性評鑑及標籤制度》（セキュリティ要件適合評価及びラベリング制度，Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements，簡稱JC-STAR），並於2025年7月29日完成《物聯網產品資安符合性評鑑與標籤制度之基本規章》[2]（セキュリティ要件適合評価及びラベリング制度の基本規程，簡稱本規章）之最終修訂，建立了JC-STAR制度的框架。本規章將物聯網產品的定義、產品所需的附隨服務（含數位服務等）、可提供驗證服務之單位、第三方監督、廠商自我宣告機制、資安符合性基準、評鑑與評鑑報告書、資安符合性標籤及分級機制等多種要件、適用對象與要求事項明確化，確立了以星等為評級的JC-STAR資安標籤制度框架。此外，JC-STAR制度針對物聯網產品採購方、使用方等不同的資安需求，透過附有資安標籤的產品以供各自選購時為考量，因此JC-STAR制度有以下二點優勢： （一） 較易滿足政府或企業的採購標準 針對政府機關或企業等所需採購的物聯網產品，事前已透過共通性的適用標準，將物聯網產品資安進行評鑑分級，並將評鑑流程可視化管理，不僅使產品符合各組織或單位的資安防護需求，同時使產品選購更加便利。 （二） 確保特定領域事業或行業等符合資安法規要求 基於特定領域事業或行業可能有特殊的資安需求，通過符合性評鑑的物聯網產品，因經第三方驗證後以最高等級的標籤呈現，故可確保符合特定領域事業團體之特殊資安需求，或配合指定使用，以確保其採購之物聯網產品均具備合規性。 二、日本JC-STAR框架與資安要求 日本JC-STAR制度是結合歐洲電信標準協會（ETSI）網路安全技術委員會於2022年6月所公布的《網路安全暨隱私保護標準》（ETSI EN 303 645），以及美國國家標準與技術研究所（NIST）於2022年9月公布的《消費者物聯網產品之核心基準》（NISTIR 8425）等適用標準，並經日本官方改定調整成為適用於日本國內之獨特制度。[3]JC-STAR是基於日本官方所定義之物聯網產品符合性標準（涉及資安技術要求事項等），確認物聯網產品是否符合資安要求以及進行可視化的管理。JC-STAR將物聯網產品區分成四種星級，詳述如下： （一） 一星級（★1） 物聯網產品須符合產品共通性之要求，並適用最低限度之資安要求事項，倘若產品已滿足相關要求事項，由產品供應商自我宣告即可。 （二） 二星級（★2） 視物聯網產品的類型、功能特徵等因素，於一星級以上增訂基礎的資安要求事項，倘若產品已滿足相關要求，仍由產品供應商自我宣告即可。 （三） 三星級（★3） 視物聯網產品的使用對象，包含政府機關、關鍵基礎設施或相關業者、地方政府或人民團體、大型企業之關鍵系統等，依產品類型、功能特徵等因素，訂定共通性之資安要件，並須由獨立第三方進行驗證，並須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。 （四） 四星級（★4） 適用程序上雖與三星級相同，依產品類型、功能特徵等因素，訂定共通性之資安要件，並由獨立第三方進行驗證，須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。惟物聯網產品中，諸如通信設備等所適用的資安要求及相關風險層級較高，因此為最高防護等級。 值得注意的是，日本正積極與新加坡、英國、美國、歐盟等各國專責機關等交涉中[4]，預計將JC-STAR制度與各國物聯網產品制度相互承認並使其與國際接軌。 參、事件評析 日本透過國內政策方針及訂定規章，結合其他先進國家的資安標準，建立了屬於日本自己的物聯網產品資安標籤JC-STAR制度。主要將各種不同類型的物聯網產品，賦予不同星等評級，供一般消費者或政府、企業法人等選購時參考，具體提升針對物聯網產品的資安識別。此外，依產品適用對象或風險層級不同，適用不同程度的資安要求事項。倘若涉及政府或企業法人等採購需求，則可能適用三星或四星等級，且產品均須經獨立第三方進行評鑑後，才能取得符合性評鑑報告書，並添附資安標籤。 因此，JC-STAR並非僅針對政府或公部門單位採購適用，而是擴及日本國內產業或是一般消費者，因此日常中物聯網產品的使用，均受到全面性的資安保障。另一方面，倘若未來日本JC-STAR制度受到其他各國承認，即代表物聯網產品可在已簽署承認的國家間受到信任而流通產品，故可望大幅降低日本國內物聯網產品供應鏈符合國際法規或契約要求的成本，有助於提升產業競爭力。據此，日本以資安標籤提升消費者識別，並有物聯網產品資安驗證機制之整體性規劃，均可供我國推動物聯網產品資安治理政策之未來借鏡與參考。 [1]〈IoT製品に対するセキュリティ適合性評価制度構築方針〉，経済産業省，https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/pdf/20240823_1.pdf （最後瀏覽日：2025/10/13）。 [2]〈セキュリティ要件適合評価及びラベリング制度の基本規程〉，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj90000003563-att/JSS-01.pdf （最後瀏覽日：2025/10/13）。 [3]〈IoT製品のセキュリティ確保に向けて ～セキュリティ要件適合評価及びラベリング制度（JC-STAR*）の紹介～〉，頁25，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj9000000gg60-att/JC-STARsetumeikai_1.pdf （最後瀏覽日：2025/10/13）。 [4]〈ファクトシート：岸田総理大臣の国賓待遇での米国公式訪問〉，日本外務省，https://www.mofa.go.jp/files/100652150.pdf （最後瀏覽日：2025/10/13）。

澳洲聯邦法院於2023年11月16日宣告著名速食餐飲公司McD Asia Pacific LLC (後稱McDonald's）指控Hungry Jack's Pty Ltd（Burger King Corporation特許經營者，後稱Hungry Jack's）商標侵權的審判結果，確認Hungry Jack's的「BIG JACK」和「MEGA JACK」商標與McDonald's的「BIG MAC」和「MEGA MAC」商標並無誤導性之近似性，考量商標之間的外觀、發音和含義等具有顯著性差異且能夠避免對消費者造成混淆，而判決Hungry Jack's的商標使用並未侵犯McDonald's的商標權。 美國漢堡巨頭McDonald's自1971年開始在澳洲運營並銷售「BIG MAC」漢堡。這起案件始於McDonald's公司於2020年提出的指控，聲稱Hungry Jack's於該年推出並使用的「BIG JACK」和「MEGA JACK」商標與其註冊的「BIG MAC」和「MEGA MAC」商標極為相似，可能導致消費者混淆，損害其商標權益。然而，Hungry Jack's反駁了這一指控，主張其商標「BIG JACK」和「MEGA JACK」在外觀、聲音和涵義上與McDonald's的「BIG MAC」和「MEGA MAC」存在顯著差異，並提出了獨特的市場定位和行銷策略。 聯邦法院指出，McDonald's公司聲稱Hungry Jack's的「BIG JACK」和「MEGA JACK」商標使用侵犯了其商標權，但卻未能提供足夠的證據來支持這一主張。法院特別關注商標在外觀、聲音和含義上的差異，並考慮了它們在市場上的實際使用情況。雖然兩者可能在某些方面顯示出相似性，例如名稱中都包含了「BIG」與「MEGA」，但綜合考慮後，法院發現Hungry Jack's的「BIG JACK」和「MEGA JACK」商標與McDonald's的「BIG MAC」和「MEGA MAC」商標之間，包括外觀風格、字體設計和商業標識等方面存在顯著差異，並未達到引起混淆或誤導的程度。因此，基於對雙方商標相似性的詳細分析和法律準則的適用，最終判定Hungry Jack's的「BIG JACK」和「MEGA JACK」商標使用未對McDonald's商標構成侵權。 本案突顯商標管理在品牌企業發展中的關鍵性。企業應定期檢視品牌商標使用情形與辨識侵權他人或被他人侵權等潛在風險，並適合維權等管制措施以及時保護自身的商標權益，確保品牌在市場中的競爭力。 本文同步刊登於TIPS網站（https://www.tips.org.tw/）