因應歐盟「通用資料保護規則」(The General Data Protection Regulation,或譯為一般資料保護規則,下簡稱GDPR)執法之需,針對個人資料合法處理要件之一當事人「同意」,歐盟資料保護工作小組(Article 29 Data Protection Working Party, WP29)特於本(2018)年4月10日修正通過「當事人同意指引」(Guidelines on consent under Regulation 2016/679),其中就有效同意之要件、具體明確性、告知、獲得明確同意,獲有效同意之附加條件、同意與GDPR第6條所定其他法定要件之競合、兒少等其他GDPR特別關切領域,以及依據指令(95/46/EC)所取得之當事人同意等,均設有詳盡說明與事例。
GDPR第4條第11項規定個人資料當事人之同意須自由為之、明確、被告知,及透過聲明或明確贊成之行為,就與其個人資料蒐集、處理或利用有關之事項清楚地表明其意願(unambiguous indication)並表示同意。殊值注意的是,如果控制者選擇依據當事人同意為任何部分處理之合法要件,須充分慎重為之,並在當事人撤回其同意時,即停止該部分之處理。如表明將依據當事人同意進行資料之處理,但實質上卻附麗於其他法律依據,對當事人而言即顯係重大不公平。
換言之,控制者一旦選擇當事人同意為合法處理要件,即不能捨同意而就其他合法處理的基礎。例如,在當事人同意之有效性產生瑕疵時,亦不允許溯及援引「利用合法利益」(utilise the legitimate interest)為處理之正當化基礎。蓋控制者在蒐集個人資料之時,即應揭露其所依據之法定要件,故必須在蒐集前即決定其據以蒐集之合法要件為何。
諾華(Novartis)旗下學名藥廠山德士(Sandoz)和美國學名藥廠Momenta,同意支付1.2億美金,使涉及其暢銷救命藥Enoxaparin之反托拉斯集體訴訟達成和解。本案原告為非營利醫院Nashville綜合醫院和紐約州公務員工會醫療計畫組織DC 37,於2014年美國田納西中區聯邦地方法院起訴。根據訴訟文件提到,Enoxaparin原是訴外人賽諾菲(Sanofi-Aventis)以Lovenox為品牌名販售的抗凝血劑,用於預防和治療深部靜脈血栓、肺栓塞及急性冠心症等症狀,2010年Momenta證明其學名藥Enoxaparin和Lovenox具相同療效,申請簡易新藥上市(Abbreviated New Drug Application,ANDA)獲准。 原告指稱2008年Momenta欺瞞美國藥典委員會(United States Pharmacopeial Convention,USP),使其開發之Enoxaparin檢測方法,成為美國食品藥品監督管理局(U.S. Food and Drug Administration,FDA)指定的檢測方法之一,但在此過程中未向藥典委員會揭露自己正為該檢測方法申請專利。隔年Momenta之檢測方法取得專利(No.7,575,886),因該檢測方法無法迴避,故其它欲生產Enoxaparin的學名藥廠皆可能侵害該專利,而難以進入市場。又Momenta和山德士早在2003年就簽有合作協議,Momenta將該專利授權給山德士,共同創造一個壟斷的學名藥市場,以抬高售價賺取暴利。 未來和解金將用於賠償醫院、保險公司、為員工支付醫療費用的公司,及田納西州其它29區受山德士和Momenta反競爭行為影響的人們。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」
日本經濟安全保障推進法提出國家經濟安全四大政策日本於2022年5月18日公布「經濟安全保障推進法」,為了確保、防止經濟相關活動危害國家安全,該法將自公布後2年內(至2024年5月17日)分階段施行。日本已於8月1日設立「經濟安全保障推進室」承擔與相關省廳調整作業、制定基本方針及公共評論等,將與日本國家安全保障局(NSS)共同完成經濟安全保障政策。 經濟安全保障推進法主要有四個面向: 一、確保重要物資安定供給(該法第2章)。 二、提供安全基礎設備的審查(該法第3章)。 三、重要技術的開發支援(該法第4章)。 四、專利申請的非公開制度(該法第5章)。 首先就重要物資部分,明定須符合國民生存不可或缺、過分依賴海外支援、若停止出口等原因將導致中斷供給、或實際有中斷供給情事發生等要件,即為重要物資。國家會提供資金等資源援助重要物資的企業經營者,但對其有調查權,若企業不接受調查則受有罰則。 而針對電信、石油等領域之基礎設備,為穩定提供勞務及避免該基礎設備有損害國家安全、社會經濟秩序之虞,於基礎設備引進或維護管理時,企業須事前申報相關計畫書(記載重要設備供給者、設備零組件等),倘認為有妨害國家安全之虞,則可採取禁止設備導入、終止管理等必要措施。 關於重要技術開發支援,列舉了20個領域包括AI、生物技術等,將由經濟安全保障基金撥款,選定各領域之研究人員組成產官協議會委託研究業務等,但應對研究內容為保密,否則設有徒刑等罰則。 另對於科技技術之發明專利,若公開將損及國家安全時,專利廳會將專利申請送交內閣府,採取保全指定措施,於指定期間內,禁止其向外國申請IP、禁止公開發明內容、暫時保留專利核定,防止科技的公開和資訊洩露,但國家應補償不予專利許可所遭受之損失。 針對上開政策已有業者反映國家管理措施太强,將可能成為企業絆腳石,特別是進行審查時有可能導致企業活動速度放慢,應掌握實際情況。
歐盟「永續經濟活動分類規則」(Taxonomy Regulation)自從2004年聯合國發布之「Who Cares Wins」文件首次提及ESG原則,近年來國際企業不斷倡導ESG原則,即企業針對環境(Environmental)、社會(Social)、公司治理(Governance)三大面向之要求。歐盟從一開始倡導呼籲企業遵守ESG原則的階段逐漸發展為將ESG原則融入具有法律效力之規範。目前歐盟針對ESG原則擁有兩大基石,也就是2019年11月頒布的「歐盟永續財務揭露規則」(Sustainable Finance Disclosure Regulation)以及2020年6月頒布的「永續經濟活動分類規則」(Taxonomy Regulation)。 「永續經濟活動分類規則」係起源於歐盟委員會於2018年3月發布之「歐盟關於金融永續發展行動計畫」。直到2020年6月,歐洲議會與歐盟理事會終於共同公布「永續經濟活動分類規則」,該法規的目的為:為歐盟建立一個統一通用的法律框架,以分類經濟活動是否具有環境永續性。該法規規定所有金融商品都必須根據該分類規則進行分類。對於宣佈具有環境永續性之商品,皆必須揭露如何適用分類規則以及符合該分類規則;而針對不符合環境永續性之其他商品(包括那些具有ESG目標但不具備環境永續性的商品)將必須提出聲明該金融商品未符合歐盟的永續經濟活動分類規則。 而針對金融商品是否具備環境永續性,需視其是否對於下列事項作出重大貢獻。例如:減緩氣候變化;適應氣候變化;水和海洋資源的持續利用和保護;發展可循環性經濟;污染防治;生物多樣性和生態系統的保護和恢復。 「永續經濟活動分類規則」雖然於2020年6月公布,並於同年7月12日生效,但其中許多重要規定仍尚未明文,須待後續授權之施行細則規範。重要時程如下: 2020年12月31日通過就氣候相關目標的科技篩選標準之施行細則。 預計於2021年12月31日通過就所有其他環境相關目標的科技篩選標準之施行細則。 預計於2022年1月1日達成氣候相關之目標。 預計於2023年1月1日達成所有其他環境相關之目標。 隨著歐盟「歐盟永續財務揭露規則」以及「永續經濟活動分類規則」的發展,逐漸將ESG原則融入法規中,可以明顯看出國際間對於ESG原則愈發要求。我國金管會亦跟隨國際潮流,於2020年8月公布之「綠色金融行動方案2.0」提及永續金融之概念,是以,我國企業亦應著重企業自身針對ESG原則之要求,以與國際趨勢接軌。
AT&T 控告資料掮客非法竊取客戶通話紀錄AT&T 在 8 月 24 日 控告 25 個販賣資料的掮客( data broker ),在其訴狀中指出大約有 2500 個客戶的個人紀錄被非法竊取, AT & T 已通知相關客戶已被通知並凍結其帳戶。 AT&T 並未於訴狀中明確地列出被告的名字,表示目前必須利用電腦郵件以及電腦 IP 位址來確認被告為哪些人, AT&T 宣稱一旦這些資料掮客經鑑定被確認後,除了賠償 AT&T 的損害之外,還須償還其販賣資料所獲得的不法利益。 PrivacyToday.com 網站的總裁表示,「買資料的人無處不在,但只有少數的人會非法竊取客戶資料,而這少部分的人大多都可以被追蹤的到。」 這並非唯一的案例,未來將會有越來越多相似的問題產生。被竊取的資料不僅僅只有電話紀錄,還有銀行、醫療或其他個人敏感資料,每分每秒都有人在想著如何取到私密資料並從中獲得不法利益。目前州及聯邦已經考慮立法,將有關電話紀錄的欺騙行為判定為不法行為。