精簡專利審查：加拿大專利法修正案即將生效

　　2014年7月歐盟法院宣告2006年起施行的「資料保留指令」無效，該指令允許警察機關使用私人通聯記錄，但不允許揭示通訊內容。資料保留指令之所以被歐盟法院廢止，起因於不合乎比例原則及沒有充分的保護措施，該指令規定歐盟成員國必須強制規定電信公司必須保留客戶最近六個月到十二個月的通聯紀錄，不過在歐盟法院廢止指令之前，德國憲法法院在2010年時就已經以違反憲法為由停止執行指令。 　　惟在2015年1月，伊斯蘭激進主義份子的恐怖攻擊事件，共12人被射殺。因此德國總理梅克爾2015年1月在下議院針對該恐怖事件發表演說，雖因美國的史諾登事件，揭露美國政府大量監聽私人通訊和監視網路流量的行動，而引起了德國人對隱私權保護的關注，但梅克爾表示德國各層級的部會首長都同意有使用私人通聯記錄的需要、使嫌疑犯的通聯記錄能夠被警方用來偵查犯罪，但應該由法律規範資料保留的期間限制，她敦促各界向歐盟委員會施加壓力，重新訂定資料保留指令，使各歐盟成員國能修正國內法律。 　　歐盟委員會正在評估此法制議題，並考慮向歐盟議會、各成員國、民間團體、執法部門和個資保護組織間建立開放式對話，決定是否有需要訂定新指令；但德國司法部長並不贊成梅克爾擴大監督人民通訊的想法，認為這是過於倉促的行動，而且除了資訊記錄留存外，德國政府也儲存所有媒體資料並限制媒體自由，他認為這並不合適。 　　目前英國國內保守黨和自由黨現正為新修訂的通訊資料法，為人民隱私權的保護範圍爭論不休，而美國由於近年受到不少駭客攻擊，故美國總統歐巴馬採取與梅克爾相似的立場，希望能擴張執法機關的權力，公開提倡強化美國網路安全相關法規。

歐盟執委會(European Commission)於2023年提出《醫藥品包裹》(Pharmaceutical Package)修訂多項歐盟藥品法規。其中也調整資料保護期(period of data protection)和市場獨占期(market exclusivity)等制度，激勵藥品創新、增加藥品可及性、並強化歐盟面對全球公衛挑戰的能力。修訂草案由環境、公共衛生與食品安全委員會(Committee on Environment, Public Health and Food Safety)通過後，目前已於2024年4月由歐洲議會(European Parliament)投票一讀通過，若歐洲理事會決議通過，即完成修法。為協助產業界提早因應布局，本文擬介紹歐洲議會一讀通過的草案中，資料保護期與市場獨占期的運作方式。 一般新藥 一般新藥的資料保護期由現行的8年縮減至7年半。但符合以下條件時，則能將資料保護期延長：滿足未滿足醫療需求（12個月）；含有新活性物質並進行比較性臨床試驗（6個月）；於歐盟境內與歐盟研究實體合作開發（6個月），若同時符合多項條件時，最多可將資料保護期延長1年。此外，新藥與現有療法相比具有顯著的臨床優勢時，還能將資料保護期結束後的市場獨占期由2年延至3年，但僅限一次。 針對抗藥性微生物抗生素 引入資料專屬期券(Data Exclusivity Voucher)，獲授權的產品最多可將資料保護期延長12個月，該權利能轉讓給其他醫藥產品，但轉讓僅限一次。 孤兒藥 一般孤兒藥的市場獨占期由現行的10年縮減至9年，然而滿足「高度未滿足醫療需求」的罕病孤兒藥最長可享有11年的市場獨占期。但在非額外的市場獨占期剩餘2年以內時，不得阻擋學名藥與生物相似藥之上市申請。 本次修法加速一般的學名藥與生物相似藥進入市場，但同時也加強高品質與創新藥品的保護進行支持；而對於市場機制未能激勵投入的重要需求，如新型抗生素，則提供具可轉讓性的額外獎勵，增添靈活度和價值，以吸引更多企業投入研發。 本文同步刊載於stli生醫未來式網站（https://www.biotechlaw.org.tw）

　　三菱電機informationsystems公司所研發用於圖書館的系統封包MELIL/CS造成引進系統的圖書館發生個人資訊外洩與Web館藏檢索系統當機的系統障礙。從2010年7月到9月因系統障礙，總共有3間圖書館，共2971人的姓名、出生日期、住址、電話及圖書名稱等個人資料外洩。 　　有關個人資料外洩的經過，是因為三菱電機informationsystems公司在研發MELIL/CS系統時，先在引進系統的圖書館進行系統測試，於測試之後再將系統程式帶回公司修改，此時就不知情的將存有個人資料的程式帶回公司，也把這些資料登錄到產品的原始碼上。因此將進行測試的2間圖書館使用人約210人的個人資料登錄於該產品的原始碼上。 但發生個資外洩的直接原因更在於負責三菱電機informationsystems公司產品運作、維修的銷售伙伴千代田興產公司，該公司所設置的伺服器完全沒有設定權限區分，甚至不需密碼就可以連接該公司伺服器存取資料。因此發生第三人進入該公司伺服器，下載3個引進該系統圖書館約3000人的個人資料。 　　另外對於Web館藏檢索系統當機的發生，是因為圖書館使用人為了獲取圖書館新增加館藏圖書的資訊，以自動蒐集資訊程式直接存取館藏資料庫所發生。三菱電機informationsystems公司當初在設定網路連接圖書館系統，是以一次存取可以連接10分鐘的方式，所以只要以連接頻率高的機械性存取，只要超過資料庫的同時連接數的設定數值，就會發生存取障礙。 　　對於三菱電機informationsystems公司系統設計失當及千代田興產公司未設定伺服器存取權限所造成個人資料外洩事件，因為這兩家公司都是屬於財團法人日本情報處理開發協會（JIPDEC）的取得隱私標章企業，所以由JIPDEC依據隱私標章營運要領中的「有關賦予隱私標章規約」第14條規定，各處以由2011年1月起3個月的隱私標章停權處分。

美國商務部產業安全局（Bureau of Industry and Security, BIS）於2024年9月23日公布「確保聯網車輛資通訊技術及服務供應鏈安全」（Securing the Information and Communications Technology and Services Supply Chain: Connected Vehicles）法規預告（Notice of Proposed Rulemaking, NPRM），旨在透過進口管制措施，保護美國聯網車供應鏈及使用安全，避免國家受到境外敵對勢力的威脅。 相較於BIS於2024年3月1日公告之法規制定預告（Advanced Notice of Proposed Rulemaking, ANPRM）意見徵詢中的討論，本次法規預告明確指出受進口管制的國家為中國及俄國，並將聯網車輛資通訊技術及服務之定義，限縮於車載資通訊系統、自動駕駛系統及衛星或蜂巢式通訊系統，排除資訊洩漏風險較小的車載操作系統、駕駛輔助系統及電池管理系統。法規預告中定義三種禁止交易型態：（1）禁止進口商將任何由中國或俄國擁有、控制或指揮的組織（下稱「中俄組織」）設計、開發、生產或供應（下稱「提供」）的車輛互聯系統（vehicle connectivity system, VCS）硬體進口至美國；（2）禁止聯網車製造商於美國進口或銷售含有中俄組織所提供的軟體之聯網整車；（3）禁止受中俄擁有、控制或指揮的製造商於美國銷售此類整車。 本次法規預告中亦提出兩種例外授權的制度：在特定條件下，例如年產量少於1000輛車、每年行駛公共道路少於30天等，廠商無須事前通知BIS，即可進行交易，然而須保存相關合規證明文件；不符前述一般授權資格者，可申請特殊授權，根據國安風險進行個案審查。其審查重點包含外國干預、資料洩漏、遠端控制潛力等風險。此外，為提升供應鏈透明度並檢查合規性，BIS預計要求VCS硬體進口商及聯網車製造商，每年針對涉及外國利益的交易，提交符合性聲明，並附軟硬體物料清單（Bill of Materials, BOM）證明。BIS針對此規範是否有效且必要進行意見徵詢，值得我國持續關注。