歐盟會員國要求分享DNA資料庫

為促進歐洲的數位轉型，歐盟執委會（European Commission）在2023年3月24日於通過數位歐洲計畫（Digital Europe programme, DEP）下的2023~2024年工作計畫，預計投入12.84億歐元於「主要數位歐洲計畫工作計畫」（Main DEP programme）（下稱「主要工作計畫」）及「網路安全工作計畫」（Cybersecurity Work Programme），以延續之前投入之成果，並加強歐盟對抗網路威脅的集體韌性。 實際上歐盟於2018年即提出第一個數位歐洲計畫，並透過數位單一市場策略（Digital Single Market strategy）嘗試建立符合數位特性的監管框架，藉以提高歐盟的國際競爭力，發展及加強歐洲的數位能力。數位歐洲計畫包括五個重點領域：超級電腦（Supercomputers）、人工智慧（Artificial intelligence, AI）、網路安全及信任（Cybersecurity and trust）、數位技能（Digital skills），以及確保數位技術在經濟及社會中被廣泛使用。 前述所說的主要工作計畫，其投入資金為9.095億歐元，重要工作有三。首先，藉由關注氣候和環境保護技術、數據資料、人工智慧、雲端、網路安全、先進數位技能及部署此些技術之最佳方法，並加強歐盟的關鍵數位能力。第二，關注數位公共服務，強調具跨境互操作性（cross-border interoperability）的公部門解決方案（例如歐洲數位身份）。此外，也將透過歐洲數位媒體觀測站（European Digital Media Observatory, EDMO）打擊假訊息，並以InvestEU計畫下的策略數位技術投資平台，重點支持中小及新創企業關注網路安全。 其次，網路安全工作計畫的投入資金為3.75億歐元，由歐洲網路安全能力中心（European Cybersecurity Competence Centre）負責執行，將支援建立國家和跨境安全操作中心的能力，以打造最先進的威脅檢測及網路事件分析生態系統。網路安全工作計畫還將資助產業（特別是中小及新創企業）遵守網路安全法規要求的項目，特別是網路及資訊系統安全指令（Directive on Security of Network and Information Systems, NIS2）或網路韌性法案（Cyber Resilience Act）所要求的內容。 歐盟已在加強數位公共服務、數位技能及網路安全等方面投入許多資源，其中網路安全、資安威脅和打擊假消息等議題因其不受地區限制而更受到注目，未來仍待持續關注此些議題之發展。

從智慧財產法院104年度民暫抗字第7號民事裁定看營業秘密案件聲請定暫時狀態處分 資策會科技法律研究所 法律研究員　蔡怡萱 105年04月29日 壹、案件摘要 　　智慧財產法院於去（104）年10月2日針對新世紀光電對於103 年度民暫字第21號第一審裁定提起抗告，做出裁准暫時狀態處分之 104 年度民暫抗字第 7 號民事裁定，以下概述智慧財產法院於本案中所採取的法律判斷依據。 　　本案事實為李允立（下稱相對人）於102年離職後自行成立公司（下稱相對人公司），隨即新世紀光電（下稱抗告人）之關鍵研發團隊重要成員及各部門重要員工多名先後離職，部分至相對人公司任職。相對人公司現有經營方式為無廠半導體公司，專門研發及販售發光二極體磊晶圓及晶粒技術與產品規劃，透過租賃機台之方式製造相關產品，與抗告人業務相同。相對人為公司負責人，抗告人主張相對人不可避免的會使用抗告人公司的機密資訊及營業秘密，而造成抗告人重大損失，而抗告人為避免發生重大難以回復之損害，依營業秘密法第11條第1 項[1]、兩造間的服務契約書、民事訴訟法第538 條第1 項[2]、智慧財產案件審理法第22條第2 項[3]規定，聲請撤回原審裁定並定暫時狀態處分。 　　本案法院於此次裁定將原裁定廢棄，在兩造間侵害營業秘密爭議之本案訴訟判決確定前：（1）禁止相對人利用、發表或洩漏任職抗告人公司期間所知悉抗告人公司有關於LED 產品及製程相關之營業秘密及機密資訊，包括：非一般涉及該類資訊所知之一切製程、程式、專門技術、技術資料、經營資料、材料、設計、參數及配方、客戶明細、銷售資料等；（2）相對人不得為自己或第三人之利益，唆使或利誘抗告人員工離職。 貳、重點說明 一、營業秘密具體認定爭執及以定暫時狀態之處分為手段 　　綜合以上兩造爭執點在於，（1）在相對人離職後所持有於抗告人公司任職時所知悉的營業秘密及機密資訊的具體內容該如何認定，相對人爭執於離職時原公司並未明確界定，抗告人卻反駁確有保護營業秘密及機密資訊之說明。（2）透過兩造簽署之服務契約書，是否可以透過定暫時狀態處分為手段，達到確認或重申請求裁定禁止相對人唆使或利誘抗告人之員工離職。 二、定暫時狀態之處分需符合的要件 　　聲請定暫時狀態之處分需符合下列要件：（1）兩造有爭執之法律關係，且以本案訴訟能確定該爭執之法律關係者為限；以及（2）為防止聲請人發生重大損害或避免急迫危險或有其他相類之必要性情形。因此在符合法定要件的前提下，可以請求法院針對侵權爭議的本案訴訟判決確定前，禁止侵害人為特定行為 [4]。 　　另依本案法院的釋明，所謂爭執的法律關係，應不以法律關係已經訴訟繫屬為限，凡金錢請求以外，有繼續性且適於為民事訴訟之標的者，於事人間發生爭執或被侵害等情形，均屬之。更尤，所爭執之法律關係雖尚未有訴訟之繫屬，只要債權人因避免重大之損害或因其他情事，而有定暫時狀態之必要者，即得依聲請定暫時狀態之處分，故法院據以得心證的理由為下列幾項判斷依據。 三、法院判斷依據及裁定結果 （一）兩造有爭執之法律關係 　　以兩造間爭執的法律關係來說，抗告人因發現相對人離職後，有多位員工相繼離職到相對人所成立之公司任職，因此依與相對人任職時所簽署服務契約書中約定離職後的保密義務，向法院聲請禁止相對人不得利用或洩漏先前任職期間所取得公司的營業秘密，法院認為是抗告人就相對人離職後涉及有無違反上述服務契約書約定之保密義務與誘使抗告人員工離職爭議，為雙方所爭執之法律關係。 （二）營業秘密保全的必要性 　　抗告人就可能被相對人利用或洩漏之「營業秘密」所主張，雖然相對人堅稱該內容為業界習知技術，但抗告人提出細部結構設計及製程方式等資訊，經法院認定該等資訊有助於提升產品效率，而且可以減少不必要的錯誤實驗，抗告人也另外提出專利佈局及業務與生產資訊之相關報告及資料，因此法院認為該相關事證使法院大致心證認為其主張該等資訊為其所欲保護之營業秘密事實之存在，而認為為正當之心證。另外就兩造所簽訂的服務契約書中所稱「營業秘密是指具有財產利益或經濟價值的任何口頭及書面機密資訊（料），包括但不限於圖樣、規格、原型、製程..專門技術、客戶明細、晶片、及其他銷售資料..」，也足以證明相對人於原公司任職時已清楚知悉何謂營業秘密，也負有保守其營業秘密的義務。 　　另外相對人所設立之公司其股東及董事皆為抗告人的競爭對手，因此法院認為相對人於原任職期間所知悉上述的營業秘密，推認有可能揭露予他人，而此為抗告人所欲防止的危險，而有保全的必要性。 （四）相對人應遵守禁止挖角義務 　　針對相對人挖角抗告人員工使其離職，而抗告人依兩造的服務契約書中禁止挖角義務條款，請求禁止相對人為挖角行為，法院亦肯定相對人應遵守禁止挖角義務。抗告人公司其他員工於短期內相繼離職，法院雖認為離職為個人選擇，但皆於相對人離職後才相繼離職，且半年即有多人加入相對人所設立公司，故可推認多名離職員工與相對人有關，且為了避免再有員工從抗告人公司繼續離職加入相對人設立之公司，法院相信抗告人的主張大致可採，故就此部分亦准許抗告人請求禁止挖角行為。 （五）相對人應遵守不作為義務 　　定暫時狀態之處分，雖非以保全執行為主要目的，惟仍屬保全權利之方法，原係法院為防止發生重大損害或避免急迫危險或有其他相類之情形認有必要時，為平衡兩造間之權利義務或利益而為之裁定 [5]；又聲請為定暫時狀態之處分，不論係單純不作為處分，或容忍不作為處分，法院為裁定時，對於當事人雙方因准否處分所受利益及可能發生之損害，應依利益權衡原則予以審酌而為准駁 [6]。最後法院衡量抗告人與相對人的權益，營業秘密的洩漏將對抗告人產生損害，但禁止相對人洩漏營業秘密及不得挖角，僅是請求相對人遵守不作為義務而不致有損害，故不對抗告人命供擔保。 參、案件評析 一、由上述案件內容可知，透過具體管理機制所產出之事證可為法院判斷是否為營業秘密遭受侵害的正當之心證，如下述： (一)公司於離職員工任職時所簽訂的服務契約之詳盡程度，包括:於契約文件中定義營業秘密的具體範圍；於契約規範在任職中不得交付或洩漏於任何第三人；於契約規範離職後仍負有保密義務等。 (二)各紀錄文件應完整留存以作為日後法院裁判的事證依據，包括研發紀錄簿中實驗參數文之成敗紀錄或研發例行月會報告，或技術發展計畫等相關資料；專利佈局的規劃，業務與生產資訊（包括可知之銷貨成本、銷貨毛利、人事資料以及研發專案等資訊，他人即可從該等資訊得知銷售狀況）。 (三)制定相關管理辦法並予以區分文件機密等級及管控，如本案中抗告人提出「文件與資料管制辦法」及「門禁管理辦法」，供法院參考以證明抗告人對其生產、營運訊有採取保密措施。 　　由上述提出之事證就可以使法院大致相信所主張之資訊為其所欲保護的營業秘密，並得到大致為正當之心證。 二、如何判斷是否有挖角行為，法院除了以經驗法則及一般人可推知來判斷，雖然於何處任職是個人權利，但不尋常的大量員工於同時間或先後離職，甚至離職後都到同一家公司任職，很難不推認和挖角行為的直接關連；而法院也認為相對人縱使離職後也應該要遵守當時兩造的服務契約中禁止唆使或利誘他人離職。於現今一直苦於受到人才大量流失，甚至競爭對手惡性挖角的國內企業來說，於員工的任職契約約定禁止唆使或利誘挖角原公司員工，也不失為遏止的方法。 三、為了因應智慧財產權相較其他財產權市場上跟策略上的急迫性和時效性，在相較於其他智慧財產假處分案件而言，法院在此案中呈現出考量營業秘密保護相關案件具有緊急性及難以進一步舉證之特性，對於權利人應為釋明之程度較為放寬[7]，是否會形成通案慣例，值得追蹤觀察。 本文同步刊登於TIPS網站(http://www.tips.org.tw) [1]營業秘密受侵害時，被害人得請求排除之，有侵害之虞者，得請求防止之。 [2]於爭執之法律關係，為防止發生重大之損害或避免急迫之危險或有其他相類之情形而有必要時，得聲請為定暫時狀態之處分。 [3]聲請定暫時狀態之處分時，聲請人就其爭執之法律關係，為防止發生重大之損害或避免急迫之危險或有其他相類之情形而有必要之事實，應釋明之；其釋明有不足者，法院應駁回聲請。 [4]洪陸麟，以專利案件為中心論智慧財產案件審理法，國立政治大學法律學系碩士班論文，99-100頁，2009年。 [5]最高法院94年度台抗字第743 號民事裁定。 [6]最高法院94年度台抗字第380 號民事裁定。 [7]莊郁沁，智慧財產法院就營業秘密保護案件裁准定暫時狀態處分聲請之案例介紹，理律法律雙月刊，9-10頁，105年1月號。

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

日本數位廳發布資料治理指引，協助企業運用資料提升企業價值 資訊工業策進會科技法律研究所 2025年09月05日 隨著AI迅速普及已成為不可逆轉的趨勢，經濟與社會產生重大變革，手機、家電及各種智慧裝置大量蒐集資料，似已成為維持經濟與社會運作不可或缺的重要要素，在國際上已出現如歐洲共同資料空間（Common European Data Space）等先進的資料運用案例，日本亦開始推動企業跨領域資料運用，藉此提升企業生產力與附加價值[1]。 壹、事件摘要 日本數位廳（デジタル庁）於2025年6月20日發布資料治理指引（データガバナンス・ガイドライン），以企業經營者為適用對象，歸納總結資料治理之必要性、應採取之做法，與實踐治理過程中應留意之要點，協助企業推動數位轉型，發揮資料最大效用，持續提升企業價值，並進一步實現超智慧社會[2]（Society 5.0）願景[3]。 貳、指引重點 本指引歸納總結實踐資料治理的四大支柱，概述如下： 一、設計符合跨境傳輸資料實際狀況之業務流程 資料共享與協作的主要目的是推動數位轉型與提升企業價值，因此，運用跨境資料時，需要調查當地國家或地區法規，釐清國際規範，並預測後續法規動向，克服法規限制。為評估運用跨境資料之潛在風險，則須透過如顧問公司、諮詢公司等第三方外部機構進行調查與監控，採取適當風險因應措施。為明確責任，須事先與資料共享之利害關係人，將瑕疵擔保責任透過契約與相關規定明文化。在修改業務流程時，亦須與相關組織及利害關係人共享資訊，確保資料在生命週期中的可追溯性[4]。 二、確保資料安全（データセキュリティ） 以資料生命週期為基礎，掌握運用跨境資料可能產生之風險，並依照相關組織與利害關係人值得信賴之程度，進行風險分析制定因應策略。針對業務流程中取得的資料，應限制在資料產生者允許之範圍內，始得進行運用，以維護資料使用正當性。此外，亦須特別留意資料完整性，確保資料來源值得信賴且未受到偽冒，以及資料內容未遭到竄改或洩漏[5]。 三、提升資料成熟度（データマチュリティ） 制定並推動可提升資料成熟度[6]之方針，持續改善流程，將資料價值最大化，並將風險最小化，提升企業綜合能力。資料長（Chief Data Officer, CDO）須發揮領導能力，建立能迅速因應變化的體制，明確各組織相關負責人與其角色，並推動具備資料相關技能之人才培育招聘計畫。資料長亦須分析導入如AI等先進技術之費用效益，向經營者提出建議。除了公司自身狀況會影響資料成熟度外，亦可能受到資料共享與協作之利害關係人的資料成熟度水準影響。因此，公司亦須將採取之具體措施與相關資訊分享予利害關係人，並向社會公開公司目前資料成熟度水準，持續強化企業與利害關係人及社會之間的相互信賴程度[7]。 四、制定並定期檢討AI等先進技術運用行動方針 為使AI等先進技術發揮最大力量，並降低對社會與個人可能造成的負面影響，企業應參考經濟產業省（経済産業省）於2025年3月28日發布之AI業者指引第1.1版[8]（AI事業者ガイドライン第1.1版），並考量個人資料保護、機敏資料保護、透明度、可問責等重要因素，針對涉及資料運用的各種實務運用場景，由CDO主導制定運用AI等先進技術運用行動方針（AIなどの先端技術の利活用に関する行動指針），並適時檢討持續改善內容[9]。 參、事件評析 當資料留存在企業內部未被有效運用時，不僅會成為企業和產業發展之阻礙，也將導致社會整體效率低落。本指引歸納總結實踐資料治理的四大支柱。為達成協助企業運用資料推動數位轉型，提升企業價值之目標，除了需要企業管理階層主導，亦須獲得公司內部與利害關係人之理解與支持。企業應積極與其他企業、組織和機構進行資料共享與協作，積極參與資料治理，提高產品與服務價值及企業聲譽，進而促進社會永續性發展[10]。 隨著國際上已出現先進資料運用案例，我國亦須關注資料運用國際趨勢推動創新發展，日本推動企業跨領域運用資料之做法，亦可為我國未來實踐資料治理提供借鏡。 [1]〈データガバナンス・ガイドライン〉，デジタル庁，頁2-3，https://www.digital.go.jp/assets/contents/node/information/field_ref_resources/71bf19c2-f804-488e-ab32-e7a044dcac58/b1757d6f/20250620_news_data-governance-guideline_01.pdf （最後瀏覽日：2025/09/02）。 [2]〈Society 5.0〉，内閣府，https://www8.cao.go.jp/cstp/society5_0/index.html （最後瀏覽日：2025/09/02）。 [3]前揭註1。 [4]同前註，頁13。 [5]同前註，頁15-16。 [6]資料成熟度係指企業根據其戰略或經營需求，有效運用資料的能力。可參閱同前註，頁5。 [7]同前註，頁18-19。 [8]〈AI事業者ガイドライン〉，経済産業省，https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/20240419_report.html （最後瀏覽日：2025/09/02）。 [9]前揭註1，頁20-23。 [10]同前註，頁24-25。