美國財政部外國資產控制辦公室更新發布與勒索軟體支付相關之制裁風險諮詢

　　2012年歐洲議會發表的綠皮書「邁向信用卡、網路以及手機支付的整合歐洲市場(Towards an integrated European market for card, internet and mobile payments)」，並進行廣泛的公眾意見徵詢，舉辦公聽會，最後決議進行現有歐洲支付法制架構的修正。歐盟支付服務指令修正案(revised Payment Service Directives, PSD2)於2013年7月由執委會提出，2015年10月歐洲議會通過，今年1月12日生效，預期英國、保加利亞、丹麥、德國、奧地利以及法國將會率先修正原有的支付服務法制完成轉換。產業界一致對於修正案表示歡迎，因為本次修正將會大幅提升支付創新應用的發展可能，尤其是行動支付。 　　PSD2之重大修正包含針對支付服務的內容作出修正，新增第三方支付服務提供人(third party payment service provider，簡稱TPP)為支付服務之內容(附件一第7項)。TPP的內涵為透過對於其它支付服務提供者的支付帳戶的存取，提供包含支付發動服務(payment initiation services)以及帳戶資訊服務(account information services)。依照第58條規定，TPP服務提供者具備下列義務： 1.確保支付服務使用者的個人化安全資訊不會被其它人取得。 2.以明確的方式向帳戶之支付服務提供者認證自己的身分。 3.不儲存支付服務使用者的敏感支付資訊或個人化安全憑證。 　　除此之外，PSD2明確將純粹的技術服務提供者排除於支付機構之範圍，無需適用支付服務指令。 　　PSD2亦授權EBA發布相關規定制定技術門檻，包含強力的客戶身分認證以及通訊資訊標準。

　　美國聯邦第三巡迴上訴法院於2014年時對於Takeda Pharmaceutical Co.(Takeda) v. Zydus Pharmaceuticals (Zydus) 一案判定：學名藥廠Zydus並無構成專利侵權，且原廠Takeda於本案的系爭專利並無失效[1]。惟本案的學名藥廠Zydus隨後向Takeda提起另一訴訟：Zydus聲稱該案的專利侵權訴訟是假訴訟(sham litigation)[2]，亦即，Takeda 提起專利侵權訴訟之本意在於阻卻Zydus的學名藥參與市場競爭，而非旨在確認侵權事實或請求賠償。Takeda隨後提起反訴，主張美國The 1984 Hatch-Waxman Act[3]已明確賦予專利權人提起專利權侵權訴訟之權利，既有訴訟權，便無假訴訟之虞。 　　美國聯邦貿易委員會(Federal Trade Commission, FTC)對於上述兩藥廠間的假訴訟爭議，在2018年6月時發布法庭之友意見書(amicus brief [4])，以5-0決議呼籲本案法院應對於假訴訟爭議進行審查。本意見書指出，The 1984 Hatch-Waxman Act、競爭法、專利法或其他醫藥法規，無任何關於藥品侵權訴訟得以免除假訴訟審查之規定。再者，FTC實有權限依據豁免原則（Noerr-Pennington Doctrine）及相關判例，就主觀與客觀要件，審查相關爭訟是否為假訴訟：(1)該爭訟程序客觀上是否無理由，提出爭訟者現實上是否不期待勝訴；(2)該爭訟程序當事人主觀上是否有意利用程序，直接地干擾競爭對手的商業關係。本意見書並進一步說明，原廠Takeda所提專利權侵權訴訟，即使學名藥廠Zydus之專利侵權事實為真，惟只要Takeda行為符合假訴訟主、客觀要件，仍有可能構成假訴訟；亦即，「是否侵權」與「是否該當假訴訟」兩者之判斷是分開的。 [1] 原廠藥之英文為branded drug，指一個藥廠自研發、生產、上市，而握有專利權之藥品，通常具有強大品牌名聲、價格通常也高；學名藥廠則是待原廠藥專利權屆滿後、或以侵權之方式，而製造與原廠藥相同或相似之藥物，學名藥價格相對較低，但在安全與效用上時常有疑慮。 [2] 美國競爭法豁免原則(Noerr Pennington Doctrine)下，私人爭訟方或單位，運用爭訟或政府程序等以促進法案的通過、增進法律執行等，免除競爭法之相關責任。但該責任免除之原則下，當事人若僅是利用政府或爭訟程序作為有害市場競爭的工具，並無合法地尋求正面結果; 或該爭訟僅是純粹的假訴訟，以干擾正當商業關係或市場競爭時，無該原則免除競爭法相關責任的適用，亦即，仍須受到競爭法的檢視與求責可能。 [3] The 1984 Hatch-Waxman Act 旨在促進學名藥參進市場競爭、兼顧學名藥與原廠藥間的利益保護，並明定原廠藥與學名藥廠均有權利提起專利權合法爭訟(validity)，以避免學名藥進入市場的受阻、也欲杜絕學名藥廠進行藥品侵權行為。 [4] 此指法庭意見書，乃為了釐清法律爭議或協助解釋法律等所提之文書，供參考用、不具強制法律效力，我國翻譯則稱法庭之友。

　　歐盟於2018年11月間通過Regulation (EU) 2018/1807，即促進非屬個人資料（下簡稱個資）之資料流通規則（下簡稱規則），藉以促進歐洲單一數位市場之規模經濟，並於2019年05月28日開始適用，據此，歐盟執委會亦因應該規則而頒布指引（COM(2019) 250 final），以釐清規則與GDPR之互動關係。 　　該規則開宗明義表示其制定係為了促進非屬個資之資料（下稱資料）流通，即其適用範圍包含（1）提供予歐盟境內之用戶使用，或（2）在歐盟境內之人依其需要所衍生者等資料，但排除GDPR第4條所定義之個資，故不排除GDPR之適用可能，申言之，若資料集中同時含有資料與個資，則流通則應分別適用本規則及指引（資料部份）與GDPR（個資部份）。 　　此外，為有效達成資料流通，各個歐盟成員國原則上禁止作出資料在地化要求（Data Localisation Requirements），例外僅於公共安全之前提下，且有充分的理由，方得做出合比例性之要求，並於單一資訊網站上即時更新資料在地化要求之清單，不過至遲在2021年05月30日前，成員國須確認其境內之相關規範已無前開例外之資料在地化要求。 　　又，為使歐盟各成員國就資料流通之無礙溝通，各成員國應設單一聯繫窗口，而在（1）歐盟相關規定或（2）國與國間不具特定合作機制，致成員國無法取得資料之近用權限時，該成員國之單一聯繫窗口得向資料所屬成員國之單一聯繫窗口發出協助請求，並附上請求之原因說明與近用資料之法律依據。 　　綜上，本規則及其指引與GDPR及其相關規定，對於資料與個資等流通分別建構出穩固的法律系統與環境。

　　英國內政部(Home Office)於2015年11月4日公布一項關於網路監管的「調查權法草案」(Draft Investigatory Powers Bill)，其主要目的係為提供執法、國安及情治單位，如英國安全局(MI5)、秘密情報局(MI6)、英國政府通訊總部(GCHQ)對於資通訊內容之掌控能力，用以因應數位時代不斷升高的維安需求，例如防止恐怖攻擊、兒童性剝削、破解跨國犯罪集團、協尋失蹤人口、犯罪現場之定位及嫌疑人相關聯繫對象等，該草案一旦通過，將迫使網路及電信服務業者保留其客戶之通訊數據、瀏覽記錄長達一年，甚至在必要情況下，協助英國政府攔截通訊數據、破解加密訊息。 　　其條文共計202條，分為九部分，對於通訊數據調查權行使所採取之主要手段包含攔截通訊(Interception)、數據監看(Oversight)、以設備干擾連結(Equipment Interference)、大量蒐集個人通訊資料(Bulk Powers)等，由於法案將擴張英國政府對網路隱私之干涉，對此內政大臣Theresa May表示，新法對於瀏覽記錄著重於使用者到訪過哪些網站，而非其瀏覽過的每一個網頁，同時，對於某些握有他人敏感資料的職業，例如醫生、律師、記者、國會議員及神職人員等，擁有較多的保護。 　　此外，草案亦闡明將建立政府自我監督及防濫權機制，包含未來將創設調查權利委員(Investigatory Powers Commissioner，簡稱IPC)專責監督政府調查權之行使，以及一套稱為Double Lock的新制度，即前述攔截數據資料權之行使，須有內政大臣親自核發之令狀，且該令狀應獲得司法委員(Judicial Commissioner)之批准。 　　這項草案無疑將引來公益與私利間之衝突，也在資通訊業界造成極大的反彈，縱然「調查權法案」並未限制相關電信與網路業者不得對其服務加密，卻要求於必要情況下提供解密協助，然而目前許多通訊服務採「點對點加密」(End-to-End Encryption)技術，若非發送及接收兩端之人，即便是提供該服務之公司也無法解密，一旦草案通過，類似WhatsApp或Apple所開發之iMessage將如何在英國使用，將會是未來觀測的重點。