英國資訊委員辦公室（ICO）發布企業自行檢視是否符合歐盟一般資料保護規則之12步驟

美國聯邦貿易委員會（Federal Trade Commission, FTC）於2023年1月提出一項提案，將使所有競業禁止條款無效，惟提案尚未確定。儘管FTC同意該提案將影響對雇主的保護，但也指出營業秘密法已為雇主提供了保護其營業秘密的配套，其中「不可避免揭露原則」（the “inevitable disclosure” doctrine）或許將成為競業禁止協議之替代方案。 不可避免揭露原則是指當公司認為前僱員於新公司任職，將不可避免地使用前公司之營業秘密時，可向法院聲請禁止前僱員至新公司任職。法院通常會考慮下列三個因素，以決定是否基於不當使用營業秘密之「威脅」而授予禁制令救濟，包括： 1.前後雇主是否為提供相同或非常相似服務的直接競爭對手； 2.前僱員的新職位是否與原職位雷同，以至於無法合理地期待該僱員在不利用其前雇主之營業秘密的情況下，能履行其新的工作職責； 3.所涉及的營業秘密對於前後雇主是否都具有相當之價值。 雖然部份州法院指出根據其州法，得適用不可避免揭露原則，但各界對於雇主能否向聯邦法院根據《保護營業秘密法》（Defend Trade Secrets Act, DTSA）援引該原則仍未達成共識。儘管如此，部份聯邦法院強調雇主須明確說明前僱員為何將不可避免地使用或揭露其營業秘密，僅證明前僱員在工作期間獲得機密資訊，並隨後於競爭公司擔任類似職位，不足以證明前僱員將不可避免地使用前公司之營業秘密。 綜上所述，不可避免揭露原則可以防止前僱員不當使用其營業秘密的威脅，但由於聯邦法院對於能否援引該原則的標準仍不明確，僅指出不可避免揭露原則將使雇主面臨較高的舉證要求，故其是否能成為競業禁止協議的替代方案，仍有待觀察。 本文同步刊登於TIPS網站（https://www.tips.org.tw）。

中國國家互聯網信息辦公室於2025年2月12日公布《個人信息保護合規審計管理辦法》（下稱《辦法》）及其配套指引，自2025年5月1日正式實施。《辦法》及指引的發布，旨在落實《個人信息保護法》中的稽核規定，完善個資合規監督架構，為企業提供執行審計的制度依據。 《辦法》區分合規審計為兩大形式：企業可自行或委託專業機構定期進行審計；另當主管機關發現高風險處理活動或發生重大資料外洩事件時，有權要求企業限期完成外部審計，並提交報告。針對處理規模較大的企業，《辦法》特別規定，凡處理超過1,000萬人個資的業者，須至少每兩年完成一次審計。 針對大規模蒐用個資企業，《辦法》亦強化其配合責任，對於處理超過100萬人資料的企業，須設置個資保護負責人；對大型平台服務業者，則須成立主要由外部人員主導的獨立監督機構，以確保審計客觀性。 在審計執行層面，《辦法》對第三方審計機構的條件、獨立性與保密義務提出具體要求，並禁止將合規審計轉委託，防堵審計品質不一，或個資分享過程增加外洩風險。同時，也規範同一機構或審計負責人不得連續三次審計同一對象，以強化審計公正性。 《合規審計指引》進一步列出具體審查項目，包括處理合法性、告知義務、資料共享、敏感及未成年個資保護、境外傳輸、自動化決策與安全措施等，協助企業全面落實個資合規審查。

　　Gilead Sciences之子公司Kite Pharma（以下簡稱Kite）所推出之Yescarta®（Axicabtagene Ciloleucel）為治療復發型或難治型瀰漫性大B細胞淋巴瘤（Diffuse Large B-Cell Lymphoma, DLBCL）之CAR-T細胞治療產品，其為美國FDA第二個核准上市之CAR-T產品。 　　上述產品於2017年獲美國FDA核准上市後，Juno therapeutics公司隨即於美國加州中區聯邦地院起訴Kite，主張Yescarta侵害Juno therapeutics之美國7,446,190號專利「編碼嵌合T細胞受體之核酸（Nucleic acids encoding chimeric T cell receptors）」（以下簡稱190專利），2019年陪審團認定Kite成立專利侵權，裁定損害賠償額為7.78億美元；於2020年法院進一步認定Kite有蓄意侵權行為，再判定需增加50%之損害賠償金，使損害賠償總額超過11億美元。 　　本案上訴後，美國聯邦巡迴上訴法院（US Court of Appeals for the Federal Circuit, 以下簡稱 CAFC）於2021年8月26日推翻原審判決，認定190專利不符書面說明（Written Description）要件而無效。CAFC認為190專利請求項所請求之單鏈可變區片段抗體（single-chain variable fragment, scFv）結合部涵蓋過廣，包括可結合「任何」標的之「任何」scFv，惟其說明書未能提供其中之代表性物種（species）、或界定其共通結構特徵，於說明書中僅揭露可結合兩種不同標的之兩種scFv作為實施例，但未能說明此二物種如何、或是否能夠代表其所請求的整個上位之屬（genus）。CAFC指出，若要滿足書面說明要件之要求，說明書應揭露與代表性數量之標的結合之特定scFv物種，Juno雖提出專家證詞主張此二scFv實施例已具代表性，惟CAFC仍認為該證詞過於籠統而未能解釋何種scFv將與何種標的結合。CAFC指出，書面說明要件之目的在於確保專利排他權範圍不會超出發明人記載於說明書中之貢獻範圍，190專利發明人證稱其申請發明時只使用過說明書所載之兩個scFv實施例，且說明書未提供確認何種scFv將結合至何種標的之方法與指導，但190專利卻請求可與任何標的結合之scFv，因此，190專利之揭露內容未能證明發明人擁有結合至各種選定標的之所有可能scFvs，無法滿足書面說明要件之要求。 　　醫藥專利以上位請求項（genus claim）尋求保護時，可能因說明書記載內容不容易滿足書面說明與可據以實施（Enablement）要件而受到挑戰。除本案外，美國近期亦有數件醫藥專利因不符書面說明要件與可據以實施要件而被宣告無效，如Amgen Inc. v. Sanofi（Fed. Cir. 2021）、Idenix Pharmaceuticals LLC v. Gilead Sciences Inc.（Fed. Cir. 2019）、Enzo v. Roche（Fed. Cir. 2019），未來醫藥專利以上位請求項尋求保護是否會變得更加困難，值得繼續觀察。

　　英國資訊委員辦公室（Information Commissioner’s Office，ICO）於今（2010）年11月24日首次對違反資料保護案件開罰。 　　賀福郡理事會（Hertfordshire County Council）員工在今年6月兩度將載有高度敏感性資料的文件傳真予錯誤的收件人。ICO經調查後認定，由於賀福郡理事會未能防止兩次資料外洩事件發生，導致嚴重損害，而在首次外洩事件發生後，亦未採取足夠的預防措施避免類似情況發生，因此裁定十萬英鎊之罰鍰。 　　另一家發生資料外洩事件的人力資源服務公司A4e，則是因其員工將含有兩萬四千筆個人資料的筆記型電腦帶回家後遭竊，且包括個人姓名、出生年月日、郵遞區號、薪資、犯罪紀錄等相關資料並未加密。ICO認為，A4e並未採取適當措施避免資料外洩，且A4e允許其員工將未加密的筆記型電腦帶回家時，已知內含個人資料種類及數量，因此裁定六萬英鎊之罰鍰。 　　ICO表示，希望本次處罰能對於處理個人資料的機構有所警惕。 　　ICO今年4月被賦予裁罰權，至於裁罰的標準，則有裁罰指引（fine guidance）可參考。根據裁罰指引，若資料控制者（data controller）故意違反資料保護法（Data Protection Act），或可得而知可能違法之情形，卻未採取適當措施預防之，而可能造成相當損害時，ICO得處以相當罰鍰。