美國聯邦貿易委員會(FTC)持續開鍘違約揭露用戶個資的業者
美國聯邦貿易委員會(Federal Trade Commission,FTC)根據《健康違規通知規則》(Health Breach Notification Rule,HBNR),於2023年2月1日和3月2日分別對GoodRx Holdings Inc.公司和BetterHelp, Inc.公司提出擬議命令(Proposed order)。擬議命令指經由行政機關調查案件後提出的改善建議,且經聯邦法院批准後對被調查公司生效。這兩件案例是FTC於2021年後擴大《健康違規通知規則》適用範圍從傳統的健康產業及於網路行業後的首次執法。GoodRx Holdings Inc.公司提供藥物資訊平台與折扣訊息;而BetterHelp, Inc.公司提供遠距醫療服務。兩者在2017到2020年間均向他們的消費者聲明,將妥善保護所蒐集之個資,然而卻轉手將取得個資揭露給Facebook、Snapchat和Google等第三方公司,用來進行目標式廣告的投放。
FTC對GoodRx的擬議命令要求其停止向第三方揭露使用者的個人資料,並處以支付150萬美元的罰鍰。對BetterHelp, Inc.的命令除要求其停止共享使用者的個人資料外,更要求BetterHelp, Inc.向網站的使用者進行退款,退款總額上限高達780萬美元。FTC在擬議命令中建議:涉及敏感性健康資料的事業負責人,除了需要重新檢視目前持有資料的隱私和安全性外,最好能建立一套完整的資料管理流程。流程包括對當事人充分說明蒐集利用目的、取得當事人完整的知情同意、制定完整的個人資料管理及保存銷毀程序、限制員工對資料的存取權限等等。最後也最重要的是要「信守承諾」,這兩個案例中的業者都是違反了自己當初對使用者的承諾,最終才導致被處罰的結果。
- Freshfields Bruckhaus Deringer, FTC Regulatory Enforcement Ramps Up for Digital Health Companies, LEXOLOGY, Apr. 6, 2023
- FTC to Ban BetterHelp from Revealing Consumers’ Data, Including Sensitive Mental Health Information, to Facebook and Others for Targeted Advertising, Federal Trade Commission
- On Breaches by Health Apps and Other Connected Devices, Federal Trade Commission
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
黃昱揚
副法律研究員 編譯整理
Freshfields Bruckhaus Deringer, FTC Regulatory Enforcement Ramps Up for Digital Health Companies, LEXOLOGY, Apr. 6, 2023, https://www.lexology.com/library/detail.aspx?g=47c93bcd-1dd7-423d-be37-56b04f877450 (last visited Apr. 12, 2023).
FTC to Ban BetterHelp from Revealing Consumers’ Data, Including Sensitive Mental Health Information, to Facebook and Others for Targeted Advertising, Federal Trade Commission, https://www.ftc.gov/news-events/news/press-releases/2023/03/ftc-ban-betterhelp-revealing-consumers-data-including-sensitive-mental-health-information-facebook (last visited Apr. 12, 2023).
On Breaches by Health Apps and Other Connected Devices, Federal Trade Commission, https://www.ftc.gov/system/files/documents/rules/health-breach-notification-rule/statement_of_the_commission_on_breaches_by_health_apps_and_other_connected_devices.pdf (last visited Apr. 12, 2023).
「國內廠商陷個資外洩風暴 消基會:TPIPAS驗證制度保護個資安全」,中央社,2023.02.08,https://www.cna.com.tw/Postwrite/Chi/334659/(最後瀏覽日:2023/05/24)。
翁芊儒,「亞太個資治理規範CBPR也有臺灣在地認證機構了!資策會建議瞄準跨國市場的企業,可建立個資法遵並自願認證」,iThome,2021.07.12,https://www.ithome.com.tw/news/145331(最後瀏覽日:2023/05/24)。
盧秉羲,〈美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理〉,資訊工業策進會科技法律研究所,2022/9,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8883&no=64(最後瀏覽日:2023/05/24)。
FTC Proposes Amendments to Strengthen and Modernize the Health Breach Notification Rule, Federal Trade Commission, https://www.ftc.gov/news-events/news/press-releases/2023/05/ftc-proposes-amendments-strengthen-modernize-health-breach-notification-rule (last visited Apr. 24, 2023).
FTC says online counseling service BetterHelp pushed people into handing over health information – and broke its privacy promises, Federal Trade Commission Blog, https://www.ftc.gov/business-guidance/blog/2023/03/ftc-says-online-counseling-service-betterhelp-pushed-people-handing-over-health-information-broke (last visited Apr. 24, 2023).
根據德國法蘭克福地方法院日前於4月20日的一則假處分裁定(Beschluss vom 20.04.2010, Az. 3-08 O 46/10),禁止被告以超連結方式,讓點取該鏈結的人,得以連結到刊登有損害原告商業信譽的文章頁面。 本件事實起源於一名匿名的網友在不同的網路論壇中,發表刊登有侵害原告商業信譽的言論,而曾經與原告有商業上往來的被告,利用自己Twiiter帳戶,發表超連結,並在鏈結網址下加上「十分有趣」的文字,讓看到該訊息的朋友,都可以點選鏈結連接到這些不利於原告商業信譽的文章、言論。原告因而向法院申請假處分裁定,禁止被告以超連結方式繼續為有損原告商業信譽的行為。 法蘭克福地方法院的這起裁定,被視為是德國國內第一起法院對Twitter等社群網站的警告,德國輿論各界也普遍認為,法院透過裁定對外明白宣示社群網站使用者往往誤認網路社群空間為「半私人場域(須加入好友才得以分享資訊、留言等)」,在自己的帳戶上發表心得、感想、分享文章等行為,還是有構成侵權責任的可能性。 該裁定出爐後,德國各界則開始討論被告設定超連結的行為是否構成網路侵權責任,持贊成意見者認為,即使該違法言論非被告本人所發表,被告設定超連結的行為,也讓自己與該違法言論「合而為一(zueigen gemacht)」,也就是,讓外界以為該違法言論就是被告本人所撰寫刊登;根據德國電信服務法(Telemediengesetz, TMG)第7條規定,內容提供者須為「自己」的言論負擔法律責任。 反對者則拿其他超連結的案例舉出,法院認定被告是否構成網路內容提供者的侵權責任,通常會檢視被告對於該違法言論的內容是否知悉、被告是否違背其檢查監督義務(Überprüfungspflicht),例如被告須為一定行為藉以與原撰文者劃清界線等。但因各該檢驗標準都係由法院依據個案加以認定,讓人無所適從,產生網路侵權行為的判斷標準過於浮動之疑慮,德國國會也因此著手進行電信服務法的修法。
英國推動農場資料認證計畫,首重資料生成、保護與維護管理英國Farm Data Principles組織(下稱FDP,前身為英國農場資料委員會(The British Farm Data Council)),在2024年2月26日英國農業科學技術跨黨派小組(All Party Parliamentary Group for Science & Technology in Agriculture)於西敏寺辦理的會議,正式宣告農場資料認證計畫,FDP強調因目前欠缺資料治理原則,導致缺乏信任等資料使用障礙,並指出若未事先約定資料如何使用等,將致無法明確保護資料。截至目前為止,已經有7個組織取得完全(Full)或臨時(Provisional)認證。 農場資料認證計畫包含四大核心要求,分別為: 1.「您的資料是您的資料(YOUR DATA IS YOUR DATA)」:如強調應由資料生成者擁有及管控資料,且未經其許可,不得接觸、儲存、共享或銷售資料,以及應明確說明參與資料處理的對象等。 2.「通過認證的組織清楚資料共享的價值和好處(CERTIFIED ORGANISATIONS ARE CLEAR ABOUT THE VALUE AND BENEFIT OF DATA SHARING)」:如應針對資料使用範圍及方式,提供明確說明,以及必須解釋如何整合資料及其衍生的價值等。 3.「通過認證的組織須確保資料安全(CERTIFIED ORGANISATIONS KEEP YOUR DATA SAFE)」:如為維護資料安全,應採取適當的資料安全標準及規劃資料外洩處理流程等。 4.「通過認證的組織須努力使資料變得簡單(CERTIFIED ORGANISATIONS STRIVE TO MAKE DATA EASY)」:如提供資料相關教育訓練,以及確保組織能夠回應請求或投訴等。 為因應農業資料於研發過程中的資料應用風險,資策會科法所創意智財中心協助農業部研擬「智慧農業科技研發資料源頭查檢說明手冊」,並於2024年3月14日正式發布,相關手冊所附之資料管理查檢表,可協助智農科技研發者針對資料取得、使用及管理,事先進行整體性規劃,並與不同的資料提供者及合作對象就資料權利義務約定清楚。其中針對資料管理,更依照資料生成、保護及維護的標準化作業流程,設計各階段相應的管控要項,確保農業資料持續處於有效管理的狀態,以降低資料潛在風險,促進資料流通應用。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
美國專利商標局更新專利標的適格性暫行準則2015年7月30日美國專利商標局大幅更新其於2014年12月所公布的專利標的適格性(patent subject matter eligibility)暫行準則。這次的更新主要是將各界對於2014年12月版暫行準則的意見納入,並包括了幾項新的適格性與不具適格性申請專利範圍的舉例。儘管有評論指出,美國專利商標局也正研議針對生物技術舉例,但此次所舉之例主要針對抽象概念而非生物技術發明。 這些舉例係對各種技術提供其他適格的申請專利範圍,以及適用最高法院與聯邦巡迴法院判斷具有其他元件的申請專利範圍是否與法定不予專利標的顯著不同的示例分析。這些例子與在審查人員的教育訓練資料中所載的判例法之判決先例,都將用於協助審查人員在評估申請專利範圍元件(claim element)的專利適格性上能夠彼此一致。 在更新的暫行準則的第三部份中,美國專利商標局為認定抽象概念提供了進一步資訊,其係有關最高法院及聯邦巡迴上訴法院對於抽象概念適格性判定的司法見解,包括人類活動的特定方法、基本經濟行為、概念本身及數學關係式/公式。 在更新的暫行準則的第五部分中,美國專利商標局解釋說,適格性的初步證據要求審查人員明確清楚地解釋為什麼無法對所提出的專利申請專利範圍授予專利(unpatentable),以便專利申請人獲得足夠的通知並可以有效地作出回應。 對於專利適格性,審查人有義務清楚地闡明所提出的專利申請不具有適格性的理由或原因,例如藉由提供判定申請專利範圍中所敘述的法定不予專利(judicial exception)與為什麼它被認定為例外的理由,以及在申請專利範圍中識別其他元件(additional element)的理由(若有的話),及解釋為何未與法定不予專利標的顯著不同。這裡由可以依據在該技術領域之人一般可得之知識、判例法之先例、申請人所揭露之資訊或證據。 美國專利商標辦公室表示,本次暫行準則歡迎各界給予意見,並至2015年10月28日止。
科技部產學合作企業資格認定釋疑科技部產學合作企業資格認定釋疑 資策會科技法律研究所 法律研究員 林思妤 105年02月15日 壹、前言 產學合作,顧名思義,是指產業界與學界合作的模式,為的是讓產業界能有來自學界源源不絕的創新想法以及研發能量;相對地,學界人員自身的知識亦可與產業界作連結,甚至進一步於產業界獲取實務經驗。透過產學合作,雙方得以人才流通、資源共享,以創造更多雙贏局面,促進產業發展,提升國家競爭力。 日前我國產學合作有由科技部補助或是由經濟部、教育部建立產學合作資訊平台供相關單位申請利用,各有不同的運作方式。而隨著申請者增加,申請者類型也更多元,些許問題漸漸浮上檯面,尤以「科技部補助產學合作研究計劃作業要點」(以下簡稱作業要點)中合作企業的認定備受關注。 故本文將就該作業要點的合作企業認定作一討論。首先,分析合作企業組織型態的適用範圍,再由其組織形態進一步探討合作企業是否應以營利為目的;並就近期部分申請者如補習班、醫療機構、公益性社團法人等,是否符合要點中合作企業的要件一一進行說明。 貳、科技部產學合作要點合作企業認定 作業要點第二點第三項中對於「合作企業」定義如下:「係指依我國相關法律設立之獨資事業、合夥事業及公司,或以營利為目的,依照外國法律組織登記,並經中華民國政府認許,在中華民國境內營業之公司,並以全程參與本部產學合作研究計畫(以下簡稱產學合作計畫)為原則」。 一、合作企業應以營利為目的 作業要點第二點第三項規範,合作企業為獨資、合夥事業及公司,亦即:一人出資經營、獨掌主權、獨享利益、獨負虧損責任的獨資事業;兩人以上互約出資,以經營共同事業之契約(民法第667條):共同從事商業經營、共享營利、共負虧損的合夥組織;以營利為目的,依照公司法組織、登記成立之社團法人(含無限公司、兩合公司、有限公司、股份有限公司、閉鎖性股份有限公司等)。申言之,上述各項組織型態皆以營利為目的,故本作業要點合作企業對象應以營利為必要,僅法無明示而已。 至於該點後段特明訂以營利為目的之外國公司在我國政府認許之下亦得為合作企業,便再次顯示了以營利為目的之重要性。該項之所以會在外國公司部分特別說明,應是為了避免我國與他國之間對於組織型態在是否以營利為目的的要件上有所不同而強調。 故國內補習班、診所為獨資、合夥事業或公司組織,並依相關法規進行設立登記後,應符合作業要點中合作企業之資格。另外,像是各式醫療機構、財團法人、公益性社團法人,則不符合現行合作要點合作企業的要件。 二、補習班及診所適用現行作業要點之合作企業 (一)、補習班組織形態以獨資、公司為主 根據經濟部商業司商業登記資料查詢系統[1],目前我國補習班有獨資、公司的組織型態,像是一般的文理補習班多為獨資[2],而以公司組織形態設立者,如沈赫哲文教事業股份有限公司等。 而在現今強調知識經濟的環境下,數位教育,知識庫的建立是不可或缺的。相關學術單位與補習班可藉由產學合作,達到師資、教材資源的共享、流通,相信多元化的學習方式對於學子必有幫助;同時,這樣的資源分享,亦可降低雙方教學成本。但學校教師是否會因此有被認為是在補習班兼任,以及產學合作產出之教學產品是否需要在行銷方面作限制,以免有學校教師利用產學合作圖利等疑慮皆是隱憂,必須注意。 (二)、診所組織形態以獨資為主 診所組織型態則多為獨資,尤以一般常見診所為主[3]。一般而言,各式醫療機構與學界的合作,不外乎是讓醫學體系學生能有機會實習,與實務界共同研究醫療議題,期待醫療技術之進步。然而,在業界的醫護人員,不管是醫院或是診所,都有由醫師公會與學校一起合辦的強制進修課程[4],課程時數多寡類別,則依醫護人員所持有之專業執照有所不同。姑且不論醫護人員進修效果如何,但診所成為合作企業對象之實益可能有限。 (三)、有限合夥應納入作業要點合作企業範圍 2015年6月24日增訂公告有限合夥法所規定之有限合夥組織[5],亦屬以營利為目的之事業,科技部應可將其納入作業要點合作企業對象範圍。有限合夥組織的增訂是為了提供單純投資者與積極經營者共同從事商業活動的新選擇樣態,賦予投資者與經營者不同權責,期能促進我國產業發展,提升國際競爭力。 三、其他合作企業組織型態認定疑義 (一)、社團法人醫療機構有解釋空間 就醫療機構的部分,根據醫療法第十二條,醫療機構設有病房收治病人者為醫院,僅門診者為診所;非以直接診治病人為目的而辦理醫療業務之機構為其他醫療機構。除診所以外,目前醫療機構有由政府機關、公營事業機構或公立學校所設立之公立醫療機構(醫療法第三條);由醫師或依有關法律規定辦理醫療業務之公益法人及事業單位所設立之私立醫療機構(醫療法第四條);由捐助人捐助一定財產,以從事醫療業務為目的,經許可設立為財團法人之醫療機構(醫療法第五條),以從事醫療事業辦理醫療機構為目的,經中央主管機關許可登記之社團法人醫療機構(醫療法第五條)[6]。 當中,就是否為營利事業的角度來看,社團法人醫療機構結餘可按出資比例分配予社員,具有營利性質,屬所得稅法第11條第2項所稱之其他組織方式成立之營利事業,卻非作業要點稱之獨資、合夥或公司之組織型態,故有其解釋空間,建議可修正作業要點納入之。 (二)、財團法人及公益性社團法人非現行作業要點合作企業 財團法人如基金會、協會,以及公益性社團法人等,非公司法及商業登記法所規範之獨資、合夥或公司等,且非以營利為目的之組織,不適用商業法令之相關規定,其是否得經營營利組織(事業)須依各主管法令規定辦理。又依商業登記法第9條第1項第6款及第7款之立法意旨,係指自然人始得經營商業,則政府機關、人民團體及財團法人均不得為獨資、合夥事業之負責人或合夥人,自無商業登記法之適用。老人安養院,依據老人福利法第37條,老人福利機構不得兼營營利行為,可能不符合本作業要點精神。 (三)、專門職業人員組織非作業要點合作企業組織 根據經濟部函釋[7],依法令規定應由專門職業人員辦理之業務,尚非公司或商業得登記經營之營業項目,自不得以組織公司或獨資、合夥之事業經營。故不符合作業要點合作企業資格。 1.查建築師係建築師法規定之專門職業人員。是以「○○○聯合建築師事務所」之名稱自無涉及商業登記法之適用[8]。 2.物理治療師、技師、護理師[9]亦同。 參、建議與結論 綜上所述,現行作業要點之合作企業組織型態唯獨資、合夥,以及公司,且由該組織型態觀之,合作企業對象應以營利為目的。補習班與診所的組織型態因多在規定之合作企業組織型態範圍內,其資格當無疑義。然就醫療機構、財團法人,以及公益性社團法人等組織型態並非現行作業要點合作企業組織型態範圍內,又非皆以營利為目的,是否得申請科技部產學合作相關補助,具有疑義。 儘管如此,若由產學合作的目的性為考量依據,放寬科技部產學合作企葉對象,似無不可。當中,建議科技部可隨現行組織型態的增加納入有限合夥,亦可補充非商業登記法範圍內之組織型態,甚至是否有可能於作業要點中納入「不以營利為必要條件」的相關字語,放寬合作企業的認定。如此放寬合作企業對象,必能使產學合作更加多元,促進產業提升。惟放寬資格之際,為了同時把守產學合作素質及效益,或可進行實質必要性檢視,如:合作企業資本額、內部人員持有專業證照類型及比例等,達到產學合作最高效益。 [1]經濟部商業司-商業登記資料查詢。 http://gcis.nat.gov.tw/moeadsBF/bms/bmsInfoListAction.do?method=first&agencyCode=allbf&showGcisLocation=true&showBusi=true&showFact=false (最後流覽日:2015/2/22) [2]以補習班為關鍵字輸入經濟部商業司商業資料查詢系統,點入之後,可看見多數診所為獨資。 http://gcis.nat.gov.tw/moeadsBF/bms/bmsInfoListAction.do [3]以診所為關鍵字輸入經濟部商業司商業資料查詢系統,點入之後,可看見多數診所為獨資。 http://gcis.nat.gov.tw/moeadsBF/bms/bmsInfoListAction.do (最後流覽日:2015/2/22) [4]中華民國醫師公會全國聯合會醫師繼續教育課程一覽表。 http://www.tma.tw/credit/credit_4.asp(最後流覽日:2015/2/22) [5]有限合夥法是有鑒於先前我國營利事業組織型態,大致上可分為具有法人格的公司,以及不具有法人格的獨資及合夥。在實務運作上,因合夥不具法人格,不僅對合夥的經營造成困擾,亦間接降低合夥的競爭力。此外,合夥人對於事業須負連帶無限清償責任,未實際參與合夥事業經營的合夥人承受過大的經營風險,也降低投資者選擇以合夥型態經營商業的誘因。 [6]醫療法人經中央主管機關及目的事業主管機關之許可,得附設下列機構:護理機構、精神復健機構、關於醫學研究之機構、以及老人福利法等社會福利法規規定之相關福利機構。 [7] 經濟部96.11.15經商字第09602149510號函。 [8] 同註3。 [9] 經濟部100.9.16經商字第10002120700號函。