美國州隱私法要求企業揭露資訊 企業應如何平衡隱私法與營業秘密的衝突

美國目前沒有聯邦的隱私法,由各州訂定州隱私法、產業隱私法,要求企業應揭露資訊以提升資訊透明度,然而隱私法要求企業揭露的資訊多涵蓋了企業的營業秘密。美國華盛頓州州長於2023年4月27日簽署《我的健康資料法(My Health My Data Act)》的州隱私法,其將消費者的健康資料廣義定義為「與消費者有關或具合理關聯的個人資料,可用於識別消費者過去、現在或未來的物理或心理健康狀況」,例如醫療相關資料、患者接受醫療服務的精確地理位置、透過非健康資料可推斷得出的資料。「非健康資料可推斷得出的資料」,如零售業者蒐集消費者近期採購的訂單內容(非健康資訊),並透過AI機器學習分析得出消費者可能懷孕的比例及預產期,藉此對該消費者投放零售業者的嬰幼產品的個人化廣告。

於《我的健康資料法》廣義定義「健康資料」下,導致消費者可要求企業提供的資料可能涵蓋了「企業長期累積之消費者使用資料、經演算法分析運用之消費者使用資料、共享消費者資料的第三方企業名單」等企業認為屬於其營業秘密的資料。

為平衡隱私法的資訊透明度及企業想保護其營業秘密,建議企業可先採取: 

1.使公司的智財部門與資料保護部門合作,確保公司人員對公司營業秘密標的及範圍的認知一致,並盤點企業所有的營業秘密以製作、持續更新營業秘密清單。
2.企業在揭露受營業秘密保護的資料給消費者前,先與消費者簽訂保密契約,並參考前述營業秘密清單約定契約之保密範圍。

如企業欲採取更完備的營業秘密管理措施,建議參考資策會科法所創意智財中心發布的《營業秘密保護管理規範》。

本文同步刊登於TIPS網站(https://www.tips.org.tw)。

相關連結
你可能會想參加
※ 美國州隱私法要求企業揭露資訊 企業應如何平衡隱私法與營業秘密的衝突, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=9030&no=64&tp=1 (最後瀏覽日:2026/07/06)
引註此篇文章
你可能還會想看
歐盟個資保護委員會對英國個資傳輸適足性認定之意見

  英國自2020年1月31日正式脫離歐盟後,即成為歐盟跨境傳輸的「第三國」。能否持續和歐盟國家進行個資傳輸,就須視歐盟對英國跨境資料保護方式和《一般資料保護規範》(General Data Protection Regulation,GDPR)有無認定雙方具有本質上相同的保護程度,又稱為「適足性」(adequacy)的認定。目前,歐盟給予英國跨境傳輸過渡期到2021年7月,在此之後若希望持續不受限制的交流,就須經歐盟執委會(European Commission, EC)通過適足性認定後才得以進行。   2021年2月19日,歐盟執委會提出草案,認為英國的個資保護標準與歐盟的「GDPR」、「執法機關資料保護指令」(Law Enforcement Directive,LED)有適足性之適用。又在4月14日,歐盟個資保護委員會(European Data Protection Board, EDPB)針對歐盟執委會於2月19日所做的認定草案提出兩項意見: 一、肯認英國現行國內資料保護的核心架構中有關個資保護、處理及控制者的要件及處理方式和GDPR的保護程度並駕其驅。另,肯定英國「2018年資料保護法」(Data Protection Act 2018)中有關GDPR及LED的適用及對「英國資訊委員辦公室」(Information Commissioner’s Office, ICO)所賦予的權利及義務。   但同時,EDPB也向歐盟執委會提出以下幾點注意事項: 英國政府若發展獨立的個資保護政策,將可能與歐盟的保護架構分歧,造成個資保護程度降低。 「2018年資料保護法」中的「移民豁免」政策,讓資料控制者在處理移民相關資料時有廣泛的例外,得免於遵循GDPR之義務。 從英國將歐盟成員的資料傳給「第三國」時,該「第三國」本身需要具有基本上等同於GDPR的資料保護程度,才得允許傳輸。 針對英國政府出於國家安全目的,將個人資料傳輸到英國境內,而有義務免除或特殊情狀時,歐盟執委會應進一步了解或審核。 二、 認為英國法律框架中的核心要件實質上與LED的基礎原則具有高度一致性。因此建議歐盟執委會引入四年的日落條款(four-year sunset clause)方式,並密切觀察英國資料保護的發展,在必要時得以要求修改或終止LED適足性的決定。   針對以上問題,歐盟執委會希望能在6月底前廣納各國意見並做出決定。屆時,若通過適足性認定,其效期將延續4年,之後再進行適足性評估。並可能在英國開始制定相關的適足性及資料保護架構時,歐盟執委會得將其納入定期審查的項目中,以確保歐盟的個資跨境傳輸進入英國後,仍受適當的保護。

歐盟對中小型生技公司提供藥政管理之費用優惠及專業協助

  中小型公司是生技產業發展的主力,然藥物研究發展模式風險及資金需求甚高,對資金不豐沛的中小型公司來說,無疑是一大負擔,因此,各國政府於促進生技醫藥產業發展之同時,相當重視如何減輕這些生技製藥公司的營運壓力,進而協助其順利茁壯。   現今歐盟境內至少有1500家中小型生技公司,為減輕這類研發導向的中小型製藥公司之財務負擔,並提供一些藥政管理上的專門協助,歐盟於去2005年12月15日通過了〝歐盟醫藥品管理局協助中小型公司發展規則(COMMISSION REGULATION (EC) No 2049/2005 laying down, pursuant to Regulation (EC) No 726/2004 of the European Parliament and of the Council, rules regarding the payment of fees to, and the receipt of administrative assistance from, the European Medicines Agency by micro, small and medium-sized enterprises,以下簡稱本規則)〞。   本規則主要是希望EMA(European Medicines Agency, 即歐盟醫藥品管理局)能透過相關規費之減免及提供科學諮詢的方式,降低中小型公司新藥上市申請費用(一般而言,人類用新藥於歐盟上市需支付14 萬歐元的申請費用),進而促進技術創新及新藥研發。另為協助中小型公司能更快速及方便地利用到這些優惠,本規則特要求EMA應於其內部建立〝中小企業辦公室(SME Office)〞,並製作詳細之使用者手冊(User Guide)供中小型公司參考。   台灣大部分的生技製藥公司亦屬中小型,故政府應思考如何幫助這些公司成長茁壯。雖然我國對生技製藥產業相關已提供投資抵減優惠,但卻無特別針對中小型生技製藥公司的藥政管理法規,歐盟前述立法及其精神值得我國借鏡。

歐盟個人資料保護委員會提出關於資料主體接近使用其個人資料權利之指引

  歐盟《一般資料保護規則》(General Data Protection Regulation, GDPR)第15條為「資料主體之接近使用權(Right of access)」,其第1項規定「資料主體有權向控管者確認其個人資料是否正被處理」,資料主體並得知悉其個資處理之目的、所涉及之類型等事項。該條係為使資料主體在獲得充分、透明且容易接近之資訊,使其得更輕易的行使如資料刪除或更正等權利。   因條文在文字上具抽象性,就具體內涵仍須有一定基準,故歐盟個人資料保護委員會(European Data Protection Board, EDPB)於2022年1月18日,針對GDPR中之接近使用權提出指引(Guidelines 01/2022 on data subject rights - Right of access),闡明在不同的情況中,資料主體應如何向資料控管者(Data Controller)主張接近使用權,並且說明資料控管者針對此項權利之義務內涵。   就具體內容,該指引包含:接近使用權之範圍、資料控管者應向資料主體提供之資訊內容、資料主體請求資訊之格式、資料控管者應如何提供資訊、GDPR第12條第5項所稱「資料主體之請求明顯無理由或過度者」之概念為何。指引並製作流程圖,以便利資料主體輕易的了解向資料控管者主張權利之步驟。   而對於資料控管者,指引亦說明其應如何解釋與評估資料主體之請求、應如何回覆特定請求、限制接近使用權之例子。該指引旨在從各方面分析接近使用權,經由舉例與設想特殊情形,以求為該權利提供更精確之指導。

法國政府考慮強制業者公布使用奈米材料之相關資訊

  茲因回應2008年針對環境議題所召開之國家諮詢會議,並考量整體環境變遷快速,有待解決之相關問題與過往相較已有所不同,法國政府於2009年1月7日公布新修正之環保法令草案,力求與時俱進;其新環境法規草案著重以下主題:建築與都市計畫、交通、能源與氣候、生物多樣性、風險、健康與廢棄物處理。   其中值得注意者,係針對可能導致危害環境或人體健康的奈米粒子材料,於新法中加以規範。依該新環保法草案第73條,除非個案內容有損國家安全因而為特例之外,現行製造、輸入與使用奈米粒子材料於產品之業者,必須就該奈米材料之性質、數量與使用方式加以揭露,使公眾周知;此外,於主管機關的要求下,業者應評估並呈報該奈米材料之暴露程度與所潛藏之風險。   之所以將奈米粒子納入規範當中,係參考「化學物質登記、評估、授權和管制法」(Registration, Evaluation, Authorisation and Restriction of Chemical substances,REACH),基於永續發展之目標,因而於產品製造及銷售的過程中,賦予製造商與進口商特定之責任與義務;亦即業者必須以負責任之態度製造、進口或使用化學物質,進而取得該化學物質之相關資訊,使之透明化,以確保人體健康和環境免於受到負面影響,促成風險管理措施之順利運行。   該等觀念彰顯了本次法國環境法規修改之特色,其六大主題之規範更需要諸多政府部門的通力合作;再者,法國於積極發展奈米科技的同時,以客觀之態度審視其優缺點,試圖掌握奈米粒子材料之特性,作為管理潛在風險之判斷基準。該法案於2009年2月10日送至議會待表決,後續發展仍值得注意。

TOP