因應美國華盛頓州《我的健康我的資料法》施行,受監管對象隱私權政策應更新

美國華盛頓州《我的健康我的資料法》(My Health, My Data,以下簡稱該法)於2024年3月31日生效,該法係於2023年4月27日通過。目標在於保護華盛頓州消費者的健康資料,特別是生殖健康相關資料(data related to reproductive healthcare)。所拘束對象並不在HIPAA之監管範圍內,包括穿戴式裝置(wearables)、特定零售購物和非HIPAA 所規範之遠距醫療服務(telehealth services)所蒐集之資料。

該法最繁瑣合規要求之一為,受監管對象必須在其主頁上公佈消費者健康資料相關隱私權政策(下統稱隱私權政策)連結,連結必須為獨立、特定且不得包含該法所未要求之額外資訊。另針對小型企業,則設有三個月之緩衝時間,即應於 2024 年 6 月 30 日前遵循該要求。

隱私權政策必須清楚且醒目地揭露以下內容:

1. 所蒐集之健康資料類別和蒐集目的,包括將如何使用這些資料;
2. 所蒐集健康資料來源及類別;
3. 共享之健康資料類別;
4. 共享消費者健康資料的第三方或相關企業之類別;以及
5. 消費者如何行使該法所賦予之權利,包括撤銷同意和要求刪除之權利。

最重要的是,除特殊情形外(即1.已揭露其他特定目的2.取得消費者對其他特定目的所為蒐集、使用、揭露之明確同意),受監管對象不得基於隱私權政策中未明確揭露之任何其他目的,蒐集、使用或共享消費者健康資料。

若違反該法相關規定,即被視為違反《華盛頓州消費者保護法》(the Washington Consumer Protection Act),可由華盛頓州總檢察長提出強制執行。另該法為美國第一部保護大量健康資料之法律,顯現對消費者資料保護監管逐漸嚴格之趨勢。

相關連結
你可能會想參加
※ 因應美國華盛頓州《我的健康我的資料法》施行,受監管對象隱私權政策應更新, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=9206&no=55&tp=1 (最後瀏覽日:2025/12/31)
引註此篇文章
你可能還會想看
美國專利訴訟和解程序分析

美國專利訴訟和解程序分析 資策會科技法律研究所 法律研究員 徐維佑 104年11月2日 一、美國民事訴訟和解程序   通常民事訴訟當事人有自主權,可以在訴訟進行的任何時段在庭外或者法官面前達成和解,亦即可在證據開示程序開始前、在開示中或預審會議時、在審理庭甚至在審理後、上訴完成前隨時達成。 1.庭外和解   當事人在雙方律師的主持下達成庭外和解,根據美國聯邦民事訴訟規則第41條規定,向法院提出雙方當事人簽署的撤回訴訟的書面協定,從而終結訴訟程序;當事人雙方在和解協議中自行約定能否就同一事項再次提出訴訟。 2.訴訟上和解   美國聯邦民事訴訟規則第69條規定,在審理前或裁判責任金額前,任一方當事人可向法院申請合意判決,以協議金額為判決內容,與普通判決一樣具有強制執行力,禁止就合意判決標的重複起訴。 二、美國專利訴訟和解協議方式   美國專利侵權訴訟,為避免被告提出專利無效抗辯或提出反訴,亦即向法院請求宣告原告專利權無效、或是拿自己的專利反控原告。美國專利訴訟案件大多以和解收場;而和解方式多協議以專利授權並由被告支付授權金、原告被告以彼此專利交互授權、或簽署免訴條款(covenant not to sue),向法院提出雙方當事人簽署的撤回訴訟的書面協定,從而終結訴訟程序。   所謂免訴條款協議,常用於侵權訴訟中。根據該協議,訂約時有訴權的一造同意不行使訴權起訴對造。這種協議並不消滅訴因;而且即使當事人在協議中沒有作特別保留,他也可以繼續追究其他共同侵權人的責任。 三、免訴條款之範圍與效果   美國訴訟和解如前所述,雙方需達成書面協議,根據美國聯邦憲法第3條,司法體系不得在沒有法律紛爭的情況下決定法律問題或對於法律提出意見。根據該條規定,向法院提出救濟的當事人須證明其有「當事人適格」,而當免訴條款簽署證明紛爭已經消滅,或當事人對於判決的結果無法獲得實質利益時,法院認為該紛爭已經消滅使判決無實益(moot)不得受理。   2009年Nike公司於美國地方法院主張[1]Already公司侵害並稀釋其商標,Already公司拒絕停止銷售同時提出Nike公司商標無效之訴,2010年Nike公司發布免訴條款,載明Nike公司不再針對現在或未來近似的Already公司產品提出商標侵權訴訟,要求撤銷訴訟並撤銷Already公司的無效之訴,然而Already公司拒絕撤銷。地方法院與之後接受上訴的聯邦法院一致同意免訴條款表示紛爭已歸於消滅,駁回Already公司的無效之訴。   免訴條款雖非證明和解協議唯一方式,但美國司法判例上曾將拒絕簽署免訴條款,作為法院接受對造提起確認專利無效之訴的理由之一。美國聯邦巡迴上訴法院(CAFC)於Prasco案[2],認為專利權人拒絕簽署免訴條款協議,並配合其他客觀一切情狀,認定對造具備提起專利不侵權之確認訴訟,法院有司法管轄權。 四、結論   立約免訴條款並非美國訴訟和解協議要件,和解僅需證明雙方並無爭議事項,則法院判決已無實益。至於雙方無爭議事項之證明方式,包含和解書與合意判決,而專利訴訟和解書的協議方式,可能為授權金、交互授權、以及免訴條款等協議。   根據美國聯邦巡迴法院先例,針對訴訟和解方式,授權與免訴條款之效果並無二致[3](whether the language is couched in terms of a license or a covenant not to sue; effectively the two are equivalent.)。惟針對兩造日後得訴訟範圍,包括是否對於權利人再授權的第三人有約束力,於授權或免訴條款的協議中皆可議定。至於以免訴條款協議之好處,在於權利人得一次取得賠償金,可立即認列為權利人當年度獲利;授權協議則多以一定期間或符合一定條件後分階段取得權利金。 [1] Already, LLC d/b/a YUMS v. Nike, Inc., 105 U.S.P.Q.2d 1169 (2013). [2] Prasco, LLC, v. Medicis Pharmaceutical Corp., 537 F.3d 1329, 1341(Fed. Cir. 2008) [3] TransCore, LP v. Elec. Transaction Consultants Corp., 563 F.3d 1271 (Fed. Cir. 2009)

歐盟執委會就中國大陸法院頻發禁訴令情形,循WTO爭端解決機制向中國大陸提出諮商請求

  歐盟執委會(European Commission, EC)於2022年2月18日向中國大陸提起諮商請求(request for consultation),此係世界貿易組織(World Trade Organization, WTO)爭端解決機制(Dispute Settlement Mechanism, DSM)之一環,並依照「爭端解決程序與規則瞭解書」(Understanding on Rules and Procedures Governing the Settlement of Disputes, DSU)第4.4條之規定,副知WTO的爭端解決機構(Dispute Settlement Body, DSB)。   EU於此諮商請求中指出,自2020年8月中國大陸最高人民法院就Huawei對 Conversant案此一涉及標準必要專利(Standards-Essential Patents, SEP)之訴訟核發禁訴令(Anti-Suit Injunction, ASI),並裁定違反者將被處以每日100萬人民幣之罰款後,中國大陸各法院即頻以此方式禁止外國專利權人於中國大陸以外之法院提起或續行專利訴訟(例如:Xiaomi對Interdigital案、ZTE對Conversant案、OPPO對Sharp案、Samsung對Ericsson案等)。中國大陸法院此等措施(measures)限制歐盟會員國公司行使專利權,違反「與貿易有關的智慧財產權協定」(The Agreement on Trade-Related Aspects of Intellectual Property Rights, TRIPS);關於此,EU先前已多次與中國大陸政府交涉,例如曾在2021年7月依據TRIPS第63.3條(會員國法律文件透明化要求),發函請求中國大陸公開專利相關判決之進一步資訊,然均未果。故EU此次提出與中國大陸政府諮商之請求。   EU此諮商請求是DSM的第一步;如雙方未能於中國大陸政府收到諮商請求之60日内解決爭端,依照DSU第4.7條,EU得要求DSB組成一專門小組,就此事進行審理,以認定中國大陸多數法院頻發ASI一事是否違反TRIPS第1.1條、第28.1條、第28.2條及第41.1條、第44.1條及第63.1條等。

RFID電子式護照的應用與法律爭議

歐盟個資保護委員會公布GDPR裁罰金額計算指引

歐盟個人資料保護委員會 (European Data Protection Board, EDPB)在徵詢公眾意見後,於今(2023)年5月24日通過了「歐盟一般資料保護規則行政裁罰計算指引04/2022」(Guidelines 04/2022 on the calculation of administrative fines under the GDPR)。此一指引,旨在協調各國資料保護主管機關(Data Protection Authorities, DPAs)計算行政罰鍰的方法,以及建立計算《歐盟一般資料保護規則》(General Data Protection Regulation, GDPR )裁罰金額的「起點」(Starting Point)。 時值我國於今(2023)年5月29日甫通過《個人資料保護法》之修法,將違反安全措施義務的行為提高裁罰數額至最高1500萬,金額之提高更需要一個明確且透明的定裁罰基準,因此該指引所揭露的裁罰計算步驟值得我國參考。指引分為五個步驟,說明如下: 1.確定案件中違反GDPR行為的行為數以及各行為最高的裁罰數額。如控管者或處理者以數個行為違反GDPR時,應分別裁罰;而如以一行為因故意或過失違反數GDPR規定者,罰鍰總額不得超過最嚴重違規情事所定之數額(指引第三章)。 2.確定計算裁罰金額的起點。EDPB將違反GDPR行為嚴重程度分為低度、中度與高度三個不同的級別,並界定不同級別的起算金額範圍,個案依照違反GDPR行為嚴重程度決定金額範圍後,尚需考量企業的營業額度以定其確切金額作為裁罰數額起點(指引第四章)。 3.控管者/處理者行為對金額的加重或減輕。評估控管者/處理者過去或現在相關行為的作為加重或減輕的因素而相應調整罰鍰金額(指引第五章)。 4.針對各違反行為,參照GPDR第83條第4項至第6項確定行政裁罰上限。GDPR並沒有對具體的違反行為設定固定的罰款金額,而是對不同違反行為規範了裁罰最高額度上限,EDPB提醒,適用第三步驟或下述第五步驟所增加的額度不能超過GDPR第83條第4至第6項度對不同違反行為所訂的最高額度限制(指引第六章)。 5.有效性、嚇阻性與比例原則的考量。個資保護主管機關應針對具體個案情況量以裁罰,必須分析計算出的最終額度是否有效、是否發揮嚇阻以及是否符合比例原則,而予以相應調整裁罰額度,而如果有客觀證據表明裁罰金額可能危及企業的生存,可以考慮依據成員國法律減輕裁罰金額(指引第七章)。 EDPB重申其將不斷審查這些步驟與方法,其亦提醒上述所有步驟必須牢記,罰鍰並非簡單數學計算,裁罰金額的關鍵因素應取決具體個案實際情況。

TOP