歐盟推出給在中華區企業參考之網路犯罪與營業秘密保護指南

　　隨著越來越多學校使用線上教育技術產品發展教學課程，並透過第三方服務提供者之技術蒐集學生的學習進度等相關資訊，資訊洩漏、駭客入侵、敏感資訊誤用或濫用等問題也因應而生。於2014年9月30日，加州州長Jerry Brown宣布幾項對加州居民隱私保護具有重要突破的法案，其中最引人關注的便是編號SB1177號法案，又稱學生線上個人資料保護法案（the Student Online Personal Information Protection Act，簡稱SOPIPA）。 　　SOPIPA禁止K-12學生線上教育服務經營者(operator)為下列行為，包括：(一)禁止線上教育服務經營者利用因提供服務所得之個人資料為目標行為(targeted marketing)、(二)禁止線上教育服務經營者基於非教育目的，運用因提供服務所得之個人資料為學生資料之串檔、(三)販賣學生之資訊、以及(四)除另有規定，禁止披露涵蓋資訊（covered information）。所稱之涵蓋資訊係指由K-12教育機構之雇員或學生所提供或製作之個人化可識別資訊(personally identifiable information)，或是線上教育服務經營者因提供服務所得之描述性或可識別之資訊(descriptive or identifiable information)。 　　此外，SOPIPA線上教育服務經營者應採取適當安全的維護措施，以確保持有之涵蓋資訊的安全。同時，線上教育服務經營者應在有關教育機構的要求下，刪除學生之涵蓋資訊。 　　SOPIPA預計於2016年1月1日生效，將適用於與K-12學校簽有契約之大型教育技術與雲端服務提供者，同時也將適用於未與K-12學校簽署契約，但為該學校所使用之小型K-12技術網站、服務或APP等等。

　　歐盟於2016年7月6日公布了網路與資訊系統安全指令（Directive on Security of Network and Information Systems, NIS Directive），該指令目的是希望歐盟內之關鍵基礎服務營運商及數位服務提供者就資訊交換、合作及共通安全要求上有建立及規劃之基本能力，以提高歐盟內部市場之功能。 　　故至2018年11月前，各會員國須確認境內的關鍵基礎服務營運商並建立一份清單，包含能源、運輸、銀行、金融市場基礎建設、衛生部門、飲水供應及分配、數位基礎設施等部分，其判斷標準為（a）提供維持社會重要或經濟活動之服務；（b）倚賴網路或資訊系統供應之服務；（c）該服務之提供易受顯著破壞影響者。該指令之適用範圍亦納入數位服務，如線上市場、搜尋引擎及雲端服務之數位服務提供者，而上述兩者所適用之規範略有不同，如數位服務提供者在規劃資訊安全措施及資安事件發生之通知義務時，另需將其系統及設施之安全性、事件處理、業務管理之持續性、監測、稽核及測試、符合國際標準等因素列入考量。 　　此外，為了促進會員國間之策略合作及資訊交換，歐盟將會設立一個合作小組，亦將建立電腦安全事件因應小組（Computer Security Incident Response Teams, CSIRTs），主要負責監測國家資安事件、並對資安風險為預警、因應及分析等，另為確保各會員國彼此間在運作上之迅速與效率，並建立電腦安全事件因應小組網路（CSIRTs network），提供各會員國交換資安風險或事件相關資訊之平台。 　　該指令於今年8月生效，會員國須於指令生效後21個月內即2018年5月，將指令之內容適用至本國法並公布之，該指令之內容可做為我國訂定資安法規之參考。　　

研析經濟部智慧財產局因應TPP所提專利法修法草案 資策會科技法律研究所 法律研究員　駱玉蓉 105年06月17日 壹、前言 　　包含美國、日本、澳洲、新加坡等十二個成員國的跨太平洋夥伴協定(Trans-Pacific Partnership, TPP，以下簡稱TPP)已於2016年2月4日正式簽署。待TPP生效後將開放第二輪國家申請加入，目前表態將申請加入的國家除了我國之外，還有韓國及印尼。 　　因應我國推動加入TPP，現行的專利法(以下簡稱本法) 、商標法及著作權法、藥事法等12項法規因與「TPP智慧財產章」規定仍有落差而須修法調整。經濟部智慧財產局(以下簡稱智慧局)於2015年12月29日舉辦「跨太平洋夥伴協定智慧財產(TPP/IP)章說明會」，並於今(2016)年5月12日公告專利法、商標法及著作權法因應TPP修正草案(送行政院核定版)。 　　本文將針對本法修法內容重點說明，並提出修法所涉及的影響，期做為我國企業後續在專利申請策略的制定與布局方面的參考[1]。 貳、修正要點說明及研析 　　本法修正重點主要有：擴大專利優惠期之適用並配套調整先使用權的期間、導入因專利專責機關審查遲延而申請延長專利權期間的制度、以及配合專利連結制度明確起訴依據。以下，重點整理與說明為符合「TPP智慧財產章」的規定，我國專利法中所修正的部分。 一、擴大專利優惠期之適用並配套調整先使用權的期間 　　依據「TPP智慧財產章」第18.38條的規定，修正本法第22條、第122條，將發明專利的優惠期期間由現行的六個月修正為十二個月，同時鬆綁發明專利與設計專利的公開事由。 　　現行本法第22條第3項(發明專利)、第122條第3項(設計專利)中所規定的優惠期為申請日前六個月，並採列舉限制公開方式，包括：因實驗而公開者、因於刊物發表者、因陳列於政府主辦或認可之展覽會者、非出於其本意而洩漏者，方可在專利申請時主張優惠期的規定。 　　此次修法除了將本法中發明專利的優惠期延長為十二個月之外，就發明和設計專利亦不再限制申請人公開方式和事由，同時刪除現行本法中，申請人若欲主張優惠期必須同時在申請時即提出主張的規定。 　　另外，當申請人所申請專利技術內容見於向我國或外國提出的他件專利申請案，因他件專利申請案登載於專利公開公報或專利公報而導致之公開，由於是因為申請人申請專利依法所導致，其性質上屬於申請後之公開，有別於得使用優惠期之公開事由，因此不適用此優惠期規定。 　　不過，若公報公開出於疏失、或他人直接或間接得知申請人的創作內容後未經同意所提出專利申請案而公開時，依據「TPP智慧財產章」第18.38條註31[2]的規定，該公開仍不應作為先前技術，仍有優惠期的適用。 　　此外，配合發明專利優惠期期間的調整，修正本法條文第59條第1項第3款但書，有關先使用權不適用的規定，將「但於申請人處得知其發明後」的期間由「未滿六個月」修正為「未滿十二個月」。 二、導入因專利專責機關審查遲延而申請延長專利權期間的制度 　　因應「TPP智慧財產章」第18.46條的規定，新增本法第57條之1至第57條之 4，增訂審查遲延之起算時間、可扣除期間、申請期間、申請延長期間與專利專責機關計算之審查遲延期間不一致之處理，以及舉發事由之規定。當授予之發明專利有不合理延遲時，應依專利權人之申請調整專利權期間。而所謂不合理延遲，為提出專利申請後5年或申請實體審查後3年(以時間較晚者為準)仍未獲審定者。 　　與美國專利較大的不同是關於延長期間的獲得方式，相較於美國專利局是以自動發給的方式，我國則是依「TPP智慧財產章」的規定依申請人請求而發給(申請案公告後3個月內提出)，同時在計算上，可扣除非為授予專利權主管機關對該申請案之處理或審查期間中發生之期間(訴願及行政訴訟期間) 、非可直接歸責於授予專利權主管機關之期間 ，以及可歸責於申請人之期間，並明定核准延長的期間以5年為限。 三、配合專利連結制度明確起訴依據 　　因應「TPP智慧財產章」第18.51條的規定，配合藥事法的修正[3]，新增本法第60條之1，要求先由新藥專利權人揭露其專利相關資訊，當有學名藥申請查驗登記時，將學名藥能否取得查驗登記許可與有無侵害新藥的專利權加以連結，以利在學名藥的查驗登記審查程序中，便於釐清潛在侵權爭議。 　　「TPP智慧財產章」第18.47、50、52條有關藥品的資料專屬保護的規定，以及「TPP智慧財產章」第18.51條有關專利連結的規定，為在「TPP智慧財產章」中備受討論的部分之一，在說明專利連結制度之前，首先要先了解資料專屬保護的相關內容，才可對專利連結制度的意義有基礎的了解。以下，便分別對資料專屬保護及專利連結作簡單的整理。 　　(一) 資料專屬保護 　　所謂的資料專屬保護期間，指新藥由申請上市許可起，可受到指定期間內的保護。 　　有關藥品的資料專屬保護的相關規定，分別影響農藥、小分子化學藥品(包含新適應症等)、大分子生物藥品的資料專屬保護期間。由於此處所稱的資料專屬保護指人體試驗資料，故其主管機關為衛生福利部食品藥物管理署(以下簡稱衛福部)。 　　我國目前針對農藥資料為提供8年的保護[4]、新成分新藥5年資料專屬保護、新適應症新藥3年行政保護(在國內進行臨床試驗者)[5]。其中，需敘明的是上述新成分新藥5年資料專屬保護，依據我國現行藥事法第40條之2的規定，為採用3年加2年的概念，亦即，學名藥廠商在新成分新藥許可證核發之日起3年後提出查驗登記申請，對於符合規定者，主管機關則需等新成分新藥許可證核發屆滿5年之翌日起發給藥品許可證。 　　「TPP智慧財產章」中要求的個別保護期間為：農藥為至少10年內，小分子化學藥品為至少5年內，大分子生物藥品則有方案一之至少8年有效市場保護、或方案二之至少5年資料保護與其他措施。據此，我國現行法在農藥、小分子化學藥品中之新適應症、大分子生物藥品仍與TPP法規有落差而需調整。而針對大分子生物藥品的方案二之至少5年的資料保護，我國現行法中3年加2年的概念是否符合TPP法規的要求、所謂的其他措施應該要如何規定，仍需觀望其他成員國的說法。 　　(二) 專利連結 　　有關專利連結的規定，簡單來說便是一種專利權侵權確認與藥品上市許可的連結機制。目前TPP提供有以下兩種方案。 方案一： (a) 提供通知機制，使藥品或其使用方法專利權人，能在學名藥上市前，得知在專利權期間有學名藥想要申請上市。 (b) 確保專利權人有足夠時間與機會，可利用司法或行政程序，甚至暫時性禁制令等快速救濟措施，在學名藥進入市場前解決專利有效性或侵權爭議。 此方案相較於後述的方案二，在執行面上可行性較高，但方案一的問題點在於通知機制的負責機關之權責釐清，由智慧局或衛福部來通知專利權人，仍待後續兩機關的協調與討論。 方案二： 　　藉由申請新藥上市許可時所提交的專利相關資料，或藥政主管機關(指我國衛福部)和專利局(指我國智慧局)之間的直接協調合作，於專利權期間，未經專利權人同意，不得核准第三人專利藥品之上市許可。 　　就執行上而言，由於方案二要求專利登錄資料的正確性，且須經實質審查，對藥政主管機關的負擔較大，此外，此方案並未釐清專利有效性及侵權的爭議，因此在執行上難度較方案一更高[6]。 　　總結而言，專利連結之目的，即透過學名藥能否取得查驗登記許可與有無侵害新藥的專利權加以連結，以在學名藥的查驗登記審查程序中便釐清潛在侵權爭議，有助減少專利侵權訴訟的風險，避免學名藥遭認定侵權而不得為製造、販賣等行為並須擔負損害賠償責任，造成其投資資源之浪費。雖然目前我國採取哪個方案未明確凸顯，後續也有待藥事法相關修正，惟對於藥品的專利連結制度、權利救濟已於本次修法新增於本法第60條之1的規定，專利權人得依藥事法規定請求除去或防止侵害，學名藥廠亦得依藥事法規定提起確認之訴。 參、綜整 　　我國加入TPP已勢在必行，如何因應加入後的衝擊，事前的規劃配套更不可少。企業應首先注意者為本法修正後的適用(過渡條款)，目前除專利連結制度的專利權主張於新法施行後即有適用以外，其餘相關變革適用於新法施行後的申請案。 　　綜整本法中配合TPP所做的調整，主要可分為三方面，一為擴大優惠期的適用，一為導入因專利專責機關審查遲延而申請延長專利權期間的制度，一為與藥事法連結之專利連結制度。 　　由於擴大專利優惠期之適用，使得企業未來在進行專利布局時將更有彈性，無論是發明專利申請前自行公開的情況、或非出於申請人本意而公開的情況，若在公開起12個月內提出發明專利申請時，該發明專利便不會因前述的公開而否定其新穎性。 　　另一個觀點來看，縱使修正後的本法中不再限定申請人的公開方式，但走入訴訟階段時仍有提供法院相關證據需求的可能，以證明屬法定優惠期內提出之申請，因此建議企業若欲主張專利優惠期，仍需保存其相關的公開證據。此外，須注意的是，本法修法中，設計專利的優惠期規定雖同發明專利不再限制公開方式，但優惠期間仍維持六個月。 　　而有關導入因專利專責機關審查遲延而申請延長專利權期間的制度，就實務而言，目前智慧局絕大部分的發明專利案件均可在提出專利申請後5年或申請實體審查後3年內獲得審定[7]，再加上不合理延遲期間的計算上還可扣除可歸責於申請人的期間，且所稱審查遲延期間並不包括訴願及行政訴訟的期間，因此就現況而言，我國發明專利的申請案能真正適用此條規定的仍屬少數。惟若真有適用情事發生時，專利申請人應於公告後三個月內備具申請書，向智慧局提出申請，須特別注意的是，核准延長的期間超過得延長的期間、或提出專利權期間之延長的申請人非專利權人時，任何人將可向智慧局提出舉發。 　　至於專利連結制度，相關的藥事法修法雖仍在公聽會的階段，但從目前本法修正的方向來看，專利連結制度的意義在於，讓學名藥上市前可先釐清專利爭議，避免上市後因侵權而資源投入浪費、醫院等用藥單位無法採購的問題發生。 　　為此，新增本法第60條第1項，規定專利權人得請求除去或防止侵害的權利，對新藥專利權人而言，當接獲學名藥申請查驗登記時，將有機會提前確認該學名藥是否有侵害該新藥對應之專利權，若無，則由藥政主管機關核發學名藥許可證，反之若有，則可在指定期間提起侵權訴訟且使學名藥許可證暫停核發，使新藥專利權人可對潛在侵權爭議預作釐清。另一方面，做為對學名藥廠的保護機制，新增本法第60條第2項，規定學名藥廠得提起確認之訴的要件，以避免新藥專利權人在確認該學名藥有侵害該新藥對應之專利權，卻故意未在指定期間提起侵權訴訟而使學名藥的許可證暫停核發之情事，給予與學名藥廠一個對等的應對機制。 本文同步刊登於TIPS網站（http://www.tips.org.tw） [1]在「TPP智慧財產章」I節「執行」中，與專利侵權相關之第18.74條民事救濟的規定中，則規定法院在民事救濟中有權判敗訴方負擔訴訟費用及適當之律師費，有關後者之律師費，正由司法院進一步釐清現行我國的實務作法是否合乎TPP的要求，並評估是否修正相關法規。由於此非智慧財產相關法律共通性規定且相關主管機關仍在研議中，故不列入本文研析。 [2]「TPP智慧財產章」第18.38條註31：締約方並無將專利局所公開或公告之智慧財產權申請案或註冊案所包含資訊排除考量之義務，除非其係錯誤的公開，或該申請案係基於第三人自發明人直接或間接取得之資訊且未經申請人或其後手同意而申請者。No Party shall be required to disregard information contained in applications for, or registrations of, intellectual property rights made available to the public or published by a patent office, unless erroneously published or unless the application was filed without the consent of the inventor or their successor in title, by a third person who obtained the information directly or indirectly from the inventor. [3] 草案修正公聽會階段。 [4] 請參照我國現行農藥管理法第10條第1項的規定。 [5] 請參照我國現行藥事法第40條之2的規定。 [6] 根據智慧局王美花局長在「跨太平洋夥伴協定智慧財產(TPP/IP)章說明會」中的說明， 目前採取此方案的國家有新加坡。 [7] 有關智慧局專利處理期間，可參照在其網站公開的「專利各項申請案件處理時限表」，http://www.tipo.gov.tw/ct.asp?xItem=155236&CtNode=6671&mp=1(最後瀏覽日：2016/06/14)

歐盟GDPR保護適足性審核與因應作為 資訊工業策進會科技法律研究所 法律研究員　吳柏凭 2018年04月10日 壹、事件摘要 　　歐盟於 1995 年頒布個人資料保護指令(95/46/EC)[1]，對歐洲各國甚至全世界個人資料保護法制發展有極大影響力。然隨著資通訊技術發展變化迅速，網際網路與各項應用興起，既有歐盟個人資料保護指令面對這些變化已經難以為繼，歐盟執委會(European Commission) 出新的資料保護規則（General Data Protection Regulation, GDPR），於2016年4月27日通過，5月4日公布，正式成為歐盟第2016/679號規則（Regulation (EU) 2016/679）[2]。由於歐盟原則上禁止個人資料跨境傳輸，只有在被認可具有保護適足性(Adequate level of protection)的國家或地區才能例外許可傳輸，因此如何獲得歐盟保護適足性認可，就成為能否跨境傳輸歐盟個資的關鍵。 貳、重點說明 一、個人資料保護指令保護適足性審查規定 　　1995年的個人資料保護指令，就有禁止會員國將個人資料跨境傳輸至對資料保護不具有保護適足性之國家[3]。在第25條第2項中，對於保護適足性的審查，包括資料的性質、處理目的和期間、資料的發生地及最終目的地、該國家施行的普通法及特別法規範、以及安全措施等，透過個案綜合判斷是否具有保護適足性[4]。而關於具體的判斷標準，則依照第29條規定資料保護工作小組（Article 29 Data Protection Working Party）的指導文件[5]，其中對於法律規範審查，除了內容外，更重視個資保護的執行面。 二、GDPR保護適足性審查規定 　　GDPR延續了個人資料保護指令的規定，原則上禁止資料跨境傳輸至對資料保護不具有適足性之國家[6]。根據第45條第2項規定，適足性的評估包括以下要素： 法治、對人權與基本自由之尊重、一般與部門之相關立法，包括有關公共安全、防衛、國家安全及刑法、公務機關對個人資料之接近使用權、及該等立法、資料保護規則、專業規則及安全措施之執行。 有一個或以上獨立監管機關之存在及有效運作，或對象為國際組織時，確保及執行資料保護規則之遵守，包括充足之執行權，以協助及建議資料主體行使其權利，並與會員國之監管機關合作； 個人資料向其他第三國或國際組織進一步移轉，該其他第三國或國際組織之規則、判例法、及有效且可執行之資料主體權利及個人資料受移轉之資料主體有效之行政與司法救濟；第三國或國際組織所加入之國際協定，或其他因具法律拘束力之合約或辦法、及從其參與多邊或區域體系而生之義務，尤其關於個人資料保護者。 　　以上規定與個人資料保護指令最大不同在於將保護適足性的判斷標準明文化，同時補充個人資料向第三地再傳輸應注意的規範、具有獨立性監管機關等規定，填補原本個人資料保護指令的漏洞。 三、保護適足性認可程序與現況 　　保護適足性認可的程序[7]為： 來自歐盟執委會的提案。 得到由歐盟各國資料保護機關組成之作業會議(European Data Protection Board)的意見。 得到歐盟各國代表的承認。 歐盟執委會合意認可。 　　縱然取得認可，之後也會每四年檢驗一次[8]，如果被判定不具保護適足性，則仍會取消原本的認可[9]。 　　現階段已通過保護適足性審核的國家地區包括：安道爾、阿根廷、加拿大（民間機構）、法羅群島、根西島、以色列、馬恩島、澤西島、紐西蘭、瑞士及烏拉圭，另有美國限於「隱私盾」框架(Privacy Shield framework)方可傳輸。 參、事件評析 （一）保護適足性認可的效益 　　除了取得適足性認可外，個別企業可以透過1.標準契約條款(Standard Contractual Clauses, SCC)；2.拘束企業準則(Binding Corporate Rules, BCR)；或3.取得同意方式進行跨境傳輸[10]。但是取得適足性認可不但可以節省企業在個資跨境傳輸的成本，減輕企業負擔，同時也有助於整體產業突破歐盟貿易壁壘。 （二）通過保護適足性審核的困難 　　雖然現行通過適足性審核的國家地區有11個，惟需注意的是，根西島、馬恩島、以及澤西島都是英國屬地，法羅群島是丹麥屬地，而安道爾和瑞士都是在歐洲境內，這些國家地區的法規範本來就與歐盟差距不大，加上美國及加拿大國家本身不被認可具適足性，實際上不屬於歐盟法體系而通過適足性審核的國家地區非常有限。而且包括以色列、烏拉圭或紐西蘭在申請認可都花超過三年的時間，因此也不能作為短期的因應措施。 　　此外，在要件方面，規範上雖然我國個資保護規範與GDPR未有極大歧異，但只要存有差異，要取得認可就有極高困難度，這些都需要與歐盟執委會溝通。而在監管機關要求方面，雖然沒有要求單一機關，但對於機關的「獨立性」仍有要求。關於機關的獨立性目前歐盟並沒有明確的標準，但在歐盟法院判決中，有因為德國的州對州層級的資料監管機關進行調查的權力，而被認為不具獨立性[11]。 （三）通過適足性審核的具體作為 　　以日本為例，為了取得歐盟適足性認可，在2015年9月就其個人資料保護法（個人情報保護法）進行修正，其中設立個人資料保護委員會（個人情報保護委員会）即是為了符合適足性要求中「獨立監管機關」規定，而第24條跨境傳輸的規定更是重要。 　　日本個人資料保護委員會在2016年就與歐盟執委會溝通三次[12]，同時在2017年發出共同聲明[13]。在不修正法律的狀況下，日本個人資料保護委員會頒布一指導方針來消除差異，並於於2018年2月9日先揭示調適方向[14]，包括： 將歐盟視為敏感性個人資料而日本未明文規定者，解釋上一律視為敏感性個人資料。 歐盟不管個人資料保管期間，一律可以主張權利，而日本則限保管期間6個月以上方可主張權利。指導方針對於歐盟跨境傳輸的個資，不管保管期限一律許其主張權利。 對歐盟跨境傳輸的個資將要求揭露特定利用目的。 對於歐盟跨境傳輸的個資再移轉，必需要透過契約等規制，確保資料受保護水準。 關於歐盟跨境傳輸的個資，在去識別化一定要確認無法再識別，以與歐盟去識別化資料定義相符。 肆、結語 　　歐盟GDPR已施行在即，如何因應以突破其跨境傳輸的限制將不只是單純避免業者受罰，更是跨越歐盟貿易壁壘的重要關鍵，而在眾多例外許可跨境傳輸的方法中，又以取得保護適足性認可為最根本因應之道。雖然現在取得認可的難度極高，但仍有許多能努力的空間，目前我國也著手申請適足性認可的準備，未來能得到何種程度的回應，值得後續觀察。 [1] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of Such Data. [2] Reform of EU data protection rules, European Commission, http://ec.europa.eu/justice/data-protection/reform/index_en.htm (last visited Apr.10, 2018). [3] Data Protection Directive, art. 25(1). [4] Data Protection Directive, art. 25(2). [5] European Commission, Working Party on Protection of Individuals with regard to the Processing of Personal Data, Working Documents Transfers of personal data to third countries: Applying Articles 25 and 26 of EU data protection directive, July 24, 1998. [6] General Data Protection Regulation, art. 45. [7] Adequacy of the protection of personal data in non-EU countries, https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en (last visited Apr.10, 2018). [8] General Data Protection Regulation, art. 45(3). [9] General Data Protection Regulation, art. 45(5). [10] General Data Protection Regulation, art. 46. [11]European Commission v. Federal Republic of Germany(C-518/07). [12]個人情報保護委員会，個人情報保護委員会の国際的な取組について，https://www.kantei.go.jp/jp/singi/keizaisaisei/miraitoshikaigi/4th_sangyokakumei_dai2/siryou3.pdf (last visited Apr.10, 2018). [13]JETRO，個人データ保護の「十分性認可」取得の好機に－日EU首脳が共同声明－，https://www.jetro.go.jp/biznews/2017/07/845f14ec50674c94.html (last visited Apr.10, 2018). [14]個人情報保護委員会，EU 域内から十分性認可により移転を受けた個人データの取扱いに関するガイドラインの方向性について ，https://www.ppc.go.jp/files/pdf/300209_siryou1.pdf (last visited Apr.10, 2018).