歐盟推出給在中華區企業參考之網路犯罪與營業秘密保護指南

　　歐盟執委會以（EU）2021/914號執行決定（Implementing Decision）所發布的新版「向第三國傳輸個人資料標準契約條款（New Standard Contractual Clause for the transfer of personal data to third countries，下稱SCC）」已於9月27日起正式取代舊版條款。 　　新SCC發布於2021年6月27日，旨在滿足歐盟法院（the Court of Justice of the European Union, CJEU）以2020年7月Schrems II判決所訂定之資訊保護需達「足夠充分（substantially sufficient）」標準。該版SCC為因應不同情境之跨境資料傳輸，而設計採取4種模組之規範條款供涉及歐盟境外之第三方資料傳輸者（控制者與接收者）依循參採，包括： 規範模組一：從資料控制者（Data Controller）到資料控制者的資訊傳輸（Transfer from controller to controller, C2C） 規範模組二：從資料控制者到資料處理者（Data Processor）的資料傳輸（Transfer from controller to processor, C2P） 規範模組三：從資料處理者到資料處理者的資料傳輸（Transfer from processor to processor, P2P） 規範模組四：從資料處理者到資料控制者的資料傳輸（Transfer from processor to controller, P2C） 　　本次執行決定亦設立了轉換期以利各方進行合規審查與契約調整：雖然舊版已於2021年9月27日廢止不再適用，原已適用舊版SCC之契約，至遲仍得實施至2022年12月27日止。（亦即新版SCC公佈後的18個月內）。 　　在此執行決定下，歐洲資料保護委員會 （European Data Protection Board）亦發布「關於如何確保對個人資料傳輸採取適當保護措施建議（Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data）」釐清GDPR「傳輸影響評估（Transmission Impact Assessment, TIA）之機制流程 。 　　隨著資通科技之快速崛起跨境個資傳輸已成為企業常態，而此種現象近期甚至在交通自動化的科技發展下逐漸擴及交通業別，其中全球航運和物流公司在全球範圍內傳輸個資，其中甚至包括用於履行和營銷目的之乘客資料、員工個人資料和客戶業務聯繫資訊等敏感個資已成為常態，應儘速因應相關法制之發展，解決全球範圍內快速發展的隱私合規問題。

　　在歷經超過三十年的討論後，歐洲議會於12月11日通過統一專利制度包裹草案。在統一專利制度下，省去申請生效的翻譯費用及程序，能夠節省最高八成的專利申請成本，可望增加歐盟的科技創新競爭力。 　　2011年在歐盟僅有6萬兩千個新專利申請被核准，遠少於美國同年的22萬4千個專利、中國的17萬2千個專利，其中一個主要原因是因為在歐盟申請專利的成本過高。目前申請歐盟專利除了透過各會員國專利局外，亦可以依據歐洲專利公約（European Patent Convention, EPC）向歐洲專利局（European Patent Office, EPO）申請，然核准後仍須向各會員國提交該國官方語言版本以生效，因此耗費大量程序及翻譯費用，平均每個專利需花費36,000歐元。 　　統一專利制度下，不論對於個人或公司發明人都能夠提供更便宜、更有效率的專利保護。統一專利制度包裹草案包含三個協議：統一專利制度、統一申請語言、統一專利法院。統一專利制度及統一申請語言建立適用於歐盟各國的專利制度，僅需以英文、德文或法文進行單一申請即可擁有25個會員國（除反對之義大利及西班牙外）自動專利保護，不需再另外申請生效，使得專利申請降至最低4,725歐元，大幅減少歐洲公司申請專利成本，增加歐洲企業競爭力，對於中小企業、研究機構幫助最大；另外，對於中小企業、非營利組織、自然人、大學及研究機構，若居住或主要營業處所位於歐盟內，以非統一申請語言提出申請案件通過後，會退還翻譯費用；針對中小企業也會降低專利維護費用。統一專利法院則能集中處理統一專利之爭端，預計設立於巴黎，並於倫敦及慕尼黑設立分院。 　　統一專利制度將在2014年1月1日生效，或是在13個會員國批准時生效（須含法國、德國及英國），歐盟專利局預計第一批適用新制的專利將於2014年4月被核准。

2023年7月13日，美國聯邦司法中心（Federal Judicial Center）發布《營業秘密案件管理的司法指引》（Trade Secret Case Management Judicial Guide）。該指引是由美國聯邦司法中心與Berkeley大學合作出版，旨在提供處理聯邦營業秘密訴訟的法官參考，並為訴訟當事人提供營業秘密案件各階段的注意事項。其中特別指出識別營業秘密及證據開示在訴訟中的重要性。 1.在識別營業秘密的部分 《營業秘密案件管理的司法指引》指出在訴訟中，識別應達到「足以與已公開的資訊進行比較」的程度。而識別程度應具備以下兩個要件，包括： （1）使被告了解原告所主張之營業秘密範圍； （2）使被告能確定證據開示項目與本案所涉及之營業秘密間的關聯性。 據此，若原告僅識別其所主張之營業秘密的類別不足以識別其營業秘密。為達到《營業秘密案件管理的司法指南》所要求之識別程度，企業應盤點其擁有的營業秘密並留存產出紀錄，以利後續訴訟中能具體識別其營業秘密。 2.在證據開示的部分 《營業秘密案件管理的司法指引》指出證據開示的範圍會受到不同因素影響，比如各類型的特殊紀錄、個人隱私權是否受到保護等。為了能在證據開示階段取得優勢，企業應與員工簽署協議，明確約定其於機密資訊有外洩之虞時，有權對員工之個人設備等進行調查。 由上述內容可以發現，若要在美國營業秘密案件中取得優勢，建議企業採取識別所擁有的營業秘密、保存產出紀錄、與員工簽署相關協議等措施。關於前述營業秘密管理措施之重要內容，企業可以參考資策會科法所創意智財中心發布的「營業秘密保護管理規範」，並進一步了解該如何管理，以降低自身營業秘密外洩之風險，並提升其競爭優勢。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

隨著網路蓬勃發展，個人資料之蒐集、處理及利用越來越普遍，同時也造成資料洩漏和濫用的問題日益嚴重，進而對隱私和個人資料構成侵害與威脅，為保障人民隱私和增強資料透明度，羅德島州州議會於2024年通過了一項具有里程碑意義的法律—《羅德島資料透明度與隱私保護法》（Rhode Island Data Transparency and Privacy Protection Act）。其核心內容包括以下幾個方面： 一、 適用對象：於羅德島州州內經營商業之營利組織（下簡稱企業），或主要生產製造商品、提供服務予該州居民之企業，且： 1. 在前一年度控制或處理超過三萬五千筆個人資料（personally identifiable information）者，但單純為完成付款交易之資料除外。 2. 控制或處理超過一萬筆個人資料，且總營收超過百分之二十係源自於銷售個人資料者。 二、 資料蒐集企業與資料當事人權利義務： 1. 選擇同意與退出權：前開適用對象應賦予資料當事人即消費者就其個人資料之蒐集、處理，行使選擇同意權（opt in）與退出權（opt out）。 2. 資料蒐集與利用透明度：要求企業蒐集個資前，須明確告知資料當事人蒐集目的、利用範圍以及可能的資料共享對象，並取得其同意。 3. 控制權：資料當事人有權向企業請求查詢、修改及刪除自己的資料，企業在接到請求後，必須即時處理該請求，並於45天之法定期限內准駁其請求；必要時得於通知當事人合理事由後，展延一次。 4. 安全維護措施：企業必須採取適當之安全維護措施來保護個人資料不受未經授權的近用、洩漏、竄改或毀損。前述措施，包括但不限於資料加密、權限管控等技術上管控措施。 5. 資料保護評估：企業須就「對消費者傷害風險較高」活動進行評估並保存文件化紀錄，包括： （1） 為精準行銷之目的（Targeted Advertising）； （2） 銷售個人資料； （3） 為資料剖析之目的處理個人資料，且具合理可預見的風險將可能對消費者之財務、身體或名譽造成不公平或欺騙性的待遇，或非法的衝擊影響。 《羅德島資料透明度與隱私保護法》強化企業對資料隱私保護之責任，並督促其遵守法律要求。預計施行後將能加強對資料主體個人資料知情權、控制權、透明度及資料安全之保障。