WTO歐盟生技產品案解析（上）

據2024年1月5日IAM報導（下稱IAM報導）依據Deloitte 2023年的研究報告（Deloitte IP 360 Survey）指出大部分的企業雖然有認知到營業秘密對於企業而言承載重大的價值，但仍通常缺乏管理的意識和具體措施，然而對於企業來說營業秘密管理卻是具有重要性的。 IAM報導綜整了一篇Deloitte 2023年的研究報告（Deloitte IP 360 Survey，下稱系爭報告），其針對橫跨15個國家、5大產業共57間公司的智慧財產管理成熟度進行調查分析，系爭報告指出大部分的企業針對專利、商標等註冊取得之智慧財產權多擁有成熟且全面的管理措施，但針對其他難以發現的無形資產（“hard-to-find” intangibles），如營業秘密、資料、know-how等，通常缺乏管理的意識和措施，例如：大約有29%的受訪者表示企業「未積極地捕獲」（原文為actively capture，大意指識別、管理和保護）營業秘密；約14%的受訪者表示企業未建立標準化流程或方針以識別營業秘密。並且，針對營業秘密的具體管理作法，IAM報導特別著重以下三點： 1.主動監測：僅僅只有25%的受訪者表示，企業有主動監測營業秘密之產出，並具有相關管制措施。 2.教育訓練：有42%的受訪者表示未受過營業秘密意識的訓練（trade secret awareness training）。IAM報導特別指出，若員工對於營業秘密的範圍以及重要性沒有概念，則營業秘密管理機制的建立也會失去其意義。 3.離職面談：即使有相當大比例的營業秘密訴訟源於離職員工，但在既有離職面談中是否有納入營業秘密意識訓練的調查上，僅有不到一半（47%）的受訪企業表示有做，24%的企業表示沒有做，還有29%的企業不確定是否有做。 綜上所述，系爭報告提出，許多企業在營業秘密的管理上仍有很大的進步空間，並提醒，在訴訟上只有營業秘密擁有者採取「合理保密措施」（包括建立標準化機制）來保護營業秘密時，在法律上才能獲得更大的保護以及獲得損害賠償的機會。 針對營業秘密管理制度建置，企業可參考資策會科法所發布之「營業秘密保護管理規範」，該規範從識別營業秘密開始，到營業秘密使用管理、員工管理（包含人員進用離職時應採取措施、教育訓練）等均有相關要求，可協助企業透過PDCA循環建置系統性營業秘密規範，補足缺乏的營業秘密管理意識和具體保密措施。 本文同步刊登於TIPS網（https://www.tips.org.tw）

　　歐洲網路暨資訊安全局(European Union Agency for Network and Information Security, ENISA)於2017年11月20號發布了「重要資訊基礎設施下智慧聯網之安全基準建議」。該建議之主要目的乃為歐洲奠定物聯網安全基礎，並作為後續發展相關方案與措施之基準點。 　　由於廣泛應用於各個領域，智慧聯網設備所可能造成之威脅非常的廣泛且複雜。因此，了解該採取與落實何種措施以防範IOT系統所面臨之網路風險非常重要。ENISA運用其於各領域之研究成果，以橫向之方式確立不同垂直智慧聯網運用領域之特點與共通背景，並提出以下可以廣泛運用之智慧聯網安全措施與實作: 　　(一) 資訊系統安全治理與風險管理 　　包含了與資訊系統風險分析、相關政策、認證、指標與稽核以及人力資源相關之安全措施。 　　(二) 生態系管理 　　 包含生態系繪製以及各生態系的關聯。 　　(三) IT安全建築 　　 包含系統配置、資產管理、系統隔離、流量過濾與密碼學等資安措施。 　　(四) IT安全管理 　　帳戶管理與資訊系統管理之相關安全措施。 　　(五) 身分與存取管理 　　有關身分確認、授權以及存取權限之安全措施。 　　(六) IT安全維護 　　有關IT安全維護程序以及遠端存取之安全措施。 　　(七) 偵測 　　包含探測、紀錄日誌以及其間之關聯與分析之安全措施。 　　(八) 電腦安全事件管理 　　資訊系統安全事件分析與回應、報告之資安措施。

　　隨著越來越多學校使用線上教育技術產品發展教學課程，並透過第三方服務提供者之技術蒐集學生的學習進度等相關資訊，資訊洩漏、駭客入侵、敏感資訊誤用或濫用等問題也因應而生。於2014年9月30日，加州州長Jerry Brown宣布幾項對加州居民隱私保護具有重要突破的法案，其中最引人關注的便是編號SB1177號法案，又稱學生線上個人資料保護法案（the Student Online Personal Information Protection Act，簡稱SOPIPA）。 　　SOPIPA禁止K-12學生線上教育服務經營者(operator)為下列行為，包括：(一)禁止線上教育服務經營者利用因提供服務所得之個人資料為目標行為(targeted marketing)、(二)禁止線上教育服務經營者基於非教育目的，運用因提供服務所得之個人資料為學生資料之串檔、(三)販賣學生之資訊、以及(四)除另有規定，禁止披露涵蓋資訊（covered information）。所稱之涵蓋資訊係指由K-12教育機構之雇員或學生所提供或製作之個人化可識別資訊(personally identifiable information)，或是線上教育服務經營者因提供服務所得之描述性或可識別之資訊(descriptive or identifiable information)。 　　此外，SOPIPA線上教育服務經營者應採取適當安全的維護措施，以確保持有之涵蓋資訊的安全。同時，線上教育服務經營者應在有關教育機構的要求下，刪除學生之涵蓋資訊。 　　SOPIPA預計於2016年1月1日生效，將適用於與K-12學校簽有契約之大型教育技術與雲端服務提供者，同時也將適用於未與K-12學校簽署契約，但為該學校所使用之小型K-12技術網站、服務或APP等等。

　　CRADAs係研發合作契約（Cooperative Research and Development Agreements）之縮寫，為美國國家衛生研究院（National Institute of Health，NIH）與業界和學術界進行科學技術研究發展產學研合作時所簽訂之契約。基於美國國家衛生研究院投入相關領域技術發展之機關設置目的，其所屬之科學家們可以利用本身的科研資源，與業界或學術界共同合作促進保健藥品和原型（prototype）開發與產品進一步的商業化量產。此外，業界也可利用本身私部門的研發力量，介接在國家層級最先進的技術研究合作。 　　研發合作契約的目的是專為使政府設施、政府補助研發成果之智慧財產權，透過與私部門之產學研合作提供合作互動，以促進科學技術知識之發展轉化為具有市場價值之商業化用途。配合契約之簽署，針對研發合作之權利義務，美國國家衛生研究院另設置有科技發展合作中心（Technology Development Coordinator，TDC），作為研發合作早期階段進行磋商與諮詢之專業機構，以幫助瞭解和研擬適當內容的研發合作契約，並順利依法獲得相關主管機關之核准。