生命科學領域的企業應透過營業秘密保護其部分創新
近期由於營業秘密議題受到重視,引起廣泛討論,美國實務界律師於彭博社法律專欄(Bloomberg Law Practical Guidance)指出生命科學領域的企業不應僅尋求專利的保護,而應考慮透過營業秘密來保護其部分創新,比如:製造技術、分析工具及方法、配方等,並指出保護營業秘密所應採取的具體措施。
在Mayo Collaborative Servs. v. Prometheus Labs一案中,美國最高法院認為診斷方法並非真正的應用,因此不符合可取得專利的資格;在Ass'n for Molecular Pathology v. Myriad Genetics一案中,美國最高法院認為將天然基因分離的技術不符合可取得專利的資格。由上述判決可以發現,生命科學領域的公司能取得專利的範圍被限縮了,因此該領域的企業應考慮透過營業秘密來保護其創新。
營業秘密相對於專利的優勢在於,專利有保護期限,但營業秘密若未公開揭露則能持續受到保護。另外,根據美國專利法(Patent Act),專利保護之客體限於有用且新穎的發明,但營業秘密保護之客體不僅限於此。不過,以營業秘密保護創新同樣存在風險,比如可能面臨前員工、現任員工將其洩露或是由於合作案導致其被竊取的情況等。
為避免上述情況之發生,企業應採取下列措施,包括:
1. 要求員工簽署保密協議,並於協議中具體說明營業秘密之範圍、保密期限,同時確保員工離職時歸還與營業秘密有關的資訊及設備;
2. 將涉及營業秘密的文件標示為機密;
3. 將機密文件及檔案儲存於上鎖的櫃子或受密碼保護的電腦中;
4. 根據員工的職責,僅允許必要的員工存取營業秘密資訊;
5. 對員工進行教育訓練,使其了解哪些資訊被視為營業秘密而不應洩露;
6. 透過監視設備監控保存營業秘密的位置;
7. 與合作單位簽署合作協議時,確保協議中有明確規定哪些資訊被視為營業秘密、分享營業秘密的方式、保密期限、授權的範圍等。
綜上所述,由於可取得專利的範圍被限縮,生命科學領域的企業應考慮透過營業秘密來保護其部分創新。在以營業秘密保護其創新時,應確保有採取與員工簽署保密協議、識別機密、權限控管、教育訓練、與合作單位簽署合作協議等措施。關於前述營業秘密管理措施之重要內容,企業可以參考資策會科法所創意智財中心發布的「營業秘密保護管理規範」,並進一步了解該如何管理,以降低自身營業秘密外洩之風險,並提升其競爭優勢。
本文同步刊登於TIPS網站(https://www.tips.org.tw)
葉承偉
副法律研究員 編譯整理
Eric J. Marandett & Sophie F. Wang, Trade Secrets in the Life Sciences Industry (Sep. 19, 2023), https://www.bloomberglaw.com/external/document/XD9RBMAK000000/health-care-operations-compliance-checklist-trade-secrets-in-the (last visited Sep. 22, 2023).
財團法人資訊工業策進會科技法律研究所,《營業秘密保護管理規範》,https://stli.iii.org.tw/publish-detail.aspx?no=72&d=7212(最後瀏覽日:2023/10/11)。
中國大陸國家新聞出版廣電總局於日前公告「國家新聞出版廣電總局貫徹落實國務院全面督查整改落實進展情況」,提出將針對移動網絡遊戲(下稱行動遊戲)審批制度進行改革,改善目前審批時間過長、效率不高問題。 據公告內容顯示,未來審批制度將朝向雙軌制方向發展,對於未涉及民族、宗教、歷史、政治、疆域等議題,且無故事情節或故事情節單純(如棋盤類等休閒益智遊戲)之陸製行動遊戲,將採取簡易審批制度,以提高審查效率。另外,將增倍審查專家員額至20名,以維持審查品質。在上述改革推動下,目標將縮短審查時間,由現行30天初審、15天複審期限,分別壓縮至15天及5天。其進一步具體做法,中國大陸國家新聞出版廣電總局現正研擬「關於規範移動網絡遊戲出版審批管理的通知」,預計於2014年12月下旬發布施行。 面對近幾年行動遊戲的興起,中國大陸政府不斷重申行動遊戲須符合網路遊戲審批相關規定。然現實是,在行動遊戲數量呈現爆炸性成長,以及生命週期短暫之特色下,遊戲業者未依規定送審情形,並不少見。此次改革的推動,加上先前其他部會針對行動遊戲已提出之配套管制方案(如工信部之APP黑名單數據庫、文化部之企業自審作法),可預期行動遊戲的內容管制將日趨落實。對此,我方行動遊戲開發業者宜留意相關發展,納入後續遊戲開發方向與市場策略布局之評估要素一環。
歐盟執委會(EC)因根據社群網站使用者的政治觀點投放精準廣告,遭歐盟資料保護監督機關(EDPS)訓誡歐盟資料保護監督機關(European Data Protection Supervisor, EDPS)於2024年12月13日,就歐洲數位權利中心(Noyb - The European Center for Digital Rights,下稱noyb)之申訴做成決定,認定歐盟執委會(European Commission, EC)於社群媒體上依據使用者的政治傾向投放精準廣告,違反歐盟機構資料保護規則(Data Protection Regulation for EU institutions, bodies, offices and agencies, EUDPR),對EC作成訓誡處分。 本案背景事實:EC在2023年9月15日至28日間,於社群網站X上投放了精準廣告,旨在向公眾傳達EC當時正在推動的兒少性剝削防治法(Child Sexual Abuse Regulation, CSAR)草案。該草案本身亦因涉及對數位通訊服務的管制而引發了隱私爭議。EC委託X依照其制定的受眾方針進行廣告投放,該投放方針定義了某些包含和排除關鍵字,和排除了與政治利益相關的帳戶。該政策顯示,包含的關鍵字多與「親歐盟」的立場與情緒相關,包含特定政黨如荷蘭自由民主人民黨(Dutch VVD);而排除的關鍵字則多與「疑歐論」的立場與情緒相關,如Viktor Orban。X並透過關鍵字定位和相似(look-alike)策略,根據關鍵字和與代表資料(proxy data)相比較下顯示出的相似性,篩選成年荷蘭公民進行精準廣告投放。 Noyb認為此類廣告投放操作已經涉及EUDPR第10條第1項的特種個資(政治立場),在同條第2項之許可性條件未獲滿足之情況下,已構成EUDPR第4條第1項(a)的合法性原則的違反。EC則主張其並未利用X使用者的個人資料,也未打算處理特種個資,只是使用X的服務。EC還主張,為了傳達立法草案,並基於EC依歐盟條約(Treaty of EU, TEU)的提案權,其行為也應該被認為是出於EUDPR第5條第1項(a)的公共利益,具備合法基礎。 EDPS經過調查後,認定: 1.EC透過委託投放廣告和制定受眾方針,決定了資料處理的目的(purpose determination),在此範圍內,也應被認為是資料控制者。 2.社群媒體供應商透過比較和關鍵字分析將使用者歸類為具有某些宗教、哲學或政治信仰,亦屬處理了使用者的特種個資。 3.雖然當事人若屬主動公開特種個資,會滿足EUDPR第10條第2項(e)的許可性條件,但依照歐盟法院判決先例,僅點讚某些貼文不當然等於當事人主動公開其這類動態個人活動資料,且即便當事人使用公開帳戶可能滿足許可性條件,該資料之處理仍須具備合法性基礎。 4.TEU中有關提案權之規定本質上非常籠統,難認包含EC的宣傳活動。因此EC進行的資料處理其實並不符合EUDPR第5條所謂的有明確法律依據要求,從而,難認具備執行符合公共利益的任務之合法基礎。 5.最後,雖然EDPS認為EC違反EUDPR,但也同時認為,廣告已經結束,並無罰款的必要,因此僅對EC做成訓誡處分。
英國資訊委員辦公室推出資料分析工具箱協助組織檢視資料保護情形英國資訊委員辦公室(Information Commissioner's Office, ICO)於今(2021)年2月17日推出資料分析工具箱(data analytics toolkit)供所有考慮對個人資料進行資料分析的組織使用,旨在幫助組織駕馭人工智慧(Artificial Intelligence, AI)系統對個人權利所可能帶來的挑戰。 ICO表示,越來越多的組織使用AI來完成特定任務,例如使用軟體自動發現資料集(data sets)的模式,並藉此進行預測(predictions)、分類(classifications)或風險評分(risk scores),組織在使用個人資料進行資料分析時,納入資料保護的概念是至關重要的,除符合法律要求外,也能增強民眾對技術的信任與信心。 使用ICO的資料分析工具箱時,首先會詢問組織所適用的法律,並引導至相對應的頁面,並透過合法性(lawfulness)、問責與治理(accountability and governance)、資料保護原則(data protection principles)以及資料主體權利(data subject rights)等一系列的問題瞭解組織的資料保護情形,在回答所有問題之後,工具箱將產生一份報告,提供組織關於資料保護的建議,提高組織資料保護的法令遵循程度。 ICO強調,組織應該要在個人資料處理的過程中考量報告中所提及的建議,並向組織的資料保護長(Data Protection Officer, DPO)徵詢其意見,在組織委託、設計與實施資料分析時落實個人權利與自由的保障。
新加坡個人資料保護委員會針對企業蒐集、使用、揭露永久居留證(NRIC)號碼提出新的諮詢指引考量各行各業的從業習慣及民眾對企業蒐集、使用、揭露永久居留證(National Registration Identification Card, NRIC)號碼之看法,新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於2017年11月提議修改個人資料保護法的諮詢指引(Advisory Guidelines on the Personal Data Protection Act ),明確界定企業蒐集、使用、揭露NRIC及其號碼之範圍。 依據舊的諮詢指引,新加坡個人資料保護法允許企業在基於合理特定目的並依法獲得當事人有效同意之情況下,蒐集、使用或揭露NRIC號碼。因此,不少企業活動習慣蒐集利用民眾的NRIC號碼,包括零售商店所舉辦的抽獎活動。然而,在PDPC提出新的諮詢指引後,企業可蒐集利用NRIC號碼的情況受到大幅限縮。 由於NRIC號碼與個人資訊息息相關且具不可取代性,無差別地蒐集利用將增加資料被用以從事非法活動之風險,故新的諮詢指引闡明,原則上企業不應蒐集、使用或揭露個人NRIC號碼或複印NRIC,除非有下列兩種例外情況之一:(一)法律要求;(二)為確實證明當事人身分所必要。第一種例外情況,雖因法律要求無須取得當事人同意,但企業仍應踐行告知義務,使當事人知悉NRIC號碼被蒐集、使用或揭露之目的,並確保企業內已採行適當安全措施,防止NRIC號碼被意外洩漏。第二種例外情況則仍須就NRIC號碼的蒐集、使用或揭露取得當事人同意,除非符合個人資料保護法規定下毋庸取得當事人同意之例外(如急救等緊急狀況)。 此外,PDPC針對得蒐集、使用或揭露NRIC號碼或複印NRIC的情況,以情境案例方式於諮詢指引中說明供企業參考,另給予12個月的審視期間,使企業得修正組織內部政策並尋找可行替代方案。