歐洲現正規劃研提「負責任奈米研究」執行規範

　　自2012年來，荷蘭政府鼓勵荷蘭科學研究機構(Netherlands Organization for Scientific Research, NWO) 隸屬教育文化科學部(Ministry of Education, Culture and Science, OCW)積極推動與9大重要領域(Top Sectors)與企業相關研究的合作，NWO同時是政策實施機構也是創新研發機構。OCW每年資助約275億歐元在重要領域，其中有超過100億歐元在協助公私協力機制 ( Public-Private Partnerships, PPP)。近年來，OCW增加編列給NWO的預算，2014年增加2千5百萬歐元；2015-2017年增加7千5百萬歐元；2018年預計增加1億歐元。PPP 參與者為研究機構（例如大學機構、公私立研究機構）及民間企業（國內國外企業皆可）。主要規範依據NWO-Framework for Public-Private Partnership，合作後以聯盟(consortium)形式運作，聯盟成員間可以契約個別約定合作內容，但相關權利義務仍須遵循NWO-Framework for Public-Private Partnership。關於既有智慧財產權之使用方式，聯盟成員間須另外約定非無償使用。為實現該聯盟之研發目的， NWO為主要出資者時，可成為該研發成果之所有人或共有人，待研發成果運用及收益可以獲得妥善安排時，得將研發成果轉讓予能將研發成果運用效益最大化之人。原則上，參與PPP的企業並不當然有優先權可將該研究成果運用於商業用途，除非參與企業出資額幾乎達到整個研發支出的百分之百，且已簽訂研發成果書面授權或轉讓契約後，始能將該研發成果運用於商業用途。

　　德國新營業秘密保護法(The new German Trade Secrets Act, TSA)其中一個亮點即為：除非有明確契約或其他法規要求，逆向工程是合法的，其規範於該法第3條第1款，德國以往舊法（不正競爭防止法）並未特別明文，我國營業秘密法亦同。現今企業應盡快透過調整契約內容、保密政策或保密技術來防止該類法所「允許」之情形發生[1]，以避免供應鏈間之風險。德國法律專家提出有關「制定合作契約」建議供參： 禁止條款應有期間明文：契約起草禁止逆向工程條款時需注意其法律效力。法明文允許進行逆向工程，也代表著可促進企業市場參與並能從現有技術中受益做進一步發展。如契約一律禁止形同限制經濟自由，無論該條款訂於平行契約（如研發契約）或於垂直契約（如授權契約），往後遇有爭議恐被法院認為條款無效。故可折衷於「期間」加以限制，禁止逆向工程直到產品或服務上市為止，基本上企業只有在確信可以收回成本情況下才會投資於新技術開發。合理而言應在產品或服務公開上市後，才可以對產品或服務進行逆向工程。 注意誠實信用原則並延長條款效力：現行法就禁止逆向工程與否可由締約雙方協議。該禁止條款並不當然有違德國民法第307條第2項誠實信用原則而不利益於締約雙方之情況。但為避免仍有違誠實信用原則疑慮，契約可明確約定於產品或服務上市前不限制締約人使用相對人產品或服務並從中發現技術或資訊，也確保該期間內營業秘密所有權人之營業秘密專有權。合作契約亦可約定禁止條款於契約提早終止一定期間內仍有效。 [1]Dr. Henrik Holzapfel，New german law on the protection of trade secrets, https://www.mwe.com/insights/new-german-law-protection-trade-secrets/ (last visisted Sep.25,2019).

日本獨立行政法人情報處理推進機構於2024年7月4日發布利用AI時的安全威脅、風險調查報告書。 隨著生成式AI的登場，日常生活以及執行業務上，利用AI的機會逐漸增加。另一方面，濫用或誤用AI等行為，可能造成網路攻擊、意外事件與資料外洩事件的發生。然而，利用AI時可能的潛在威脅或風險，尚未有充分的對應與討論。 本調查將AI區分為分辨式AI與生成式AI兩種類型，並對任職於企業、組織中的職員實施問卷調查，以掌握企業、組織於利用兩種類型之AI時，對於資料外洩風險的實際考量，並彙整如下： 1、已導入AI服務或預計導入AI服務的受調查者中，有61%的受調查者認為利用分辨式AI時，可能會導致營業秘密等資料外洩。顯示企業、組織已意識到利用分辨式AI可能帶來的資料外洩風險。 2、已導入AI利用或預計導入AI利用的受調查者中，有57%的受調查者認為錯誤利用生成式AI，或誤將資料輸入生成式AI中，有導致資料外洩之可能性。顯示企業、組織已意識到利用生成式AI可能造成之資料外洩風險。 日本調查報告顯示，在已導入AI利用或預計導入AI利用的受調查者中，過半數的受調查者已意識到兩種類型的AI可能造成的資料外洩風險。已導入AI服務，或未來預計導入AI服務之我國企業，如欲強化AI資料的可追溯性、透明性及可驗證性，可參考資策會科法所創意智財中心所發布之重要數位資料治理暨管理制度規範；如欲避免使用AI時導致營業秘密資料外洩，則可參考資策會科法所創意智財中心所發布之營業秘密保護管理規範，以降低AI利用可能導致之營業秘密資料外洩風險。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

2024年7月1日，美國實務界律師撰文針對使用生成式AI（Generative AI）工具可能導致的營業秘密外洩風險提出營業秘密保護管理的強化建議，其表示有研究指出約56%的工作者已經嘗試將生成式AI工具用於工作中，而員工輸入該工具的資訊中約有11%可能包含公司具有競爭力的敏感性資訊或客戶的敏感資訊，以Chat GPT為例，原始碼（Source Code）可能是第二多被提供給Chat GPT的機密資訊類型。系爭機密資訊可能被生成式AI工具提供者（AI Provider）用於訓練生成式AI模型等，進而導致洩漏；或生成式AI工具提供者可能會監控和存取公司輸入之資訊以檢查是否有不當使用，此時營業秘密可能在人工審查階段洩漏。 該篇文章提到，以法律要件而論，生成式AI有產生營業秘密之可能，因為營業秘密與著作權和專利不同之處在於「發明者不必是人類」；因此，由生成式 AI 工具協助產出的內容可能被視為營業秘密，其範圍可能包括：公司的內部 AI 平台、基礎的訓練算法和模型、輸入參數和輸出結果等。惟基於目前實務上尚未有相關案例，故生成式AI輸出結果在法律上受保護的範圍與條件仍需待後續的判例來加以明確。 實務專家提出，即使訴訟上尚未明確，企業仍可透過事前的管理措施來保護或避免營業秘密洩露，以下綜整成「人員」與「技術」兩個面向分述之： 一、人員面： 1.員工（教育訓練、合約） 在員工管理上，建議透過教育訓練使員工了解到營業秘密之定義及保護措施，並告知向生成式AI工具提供敏感資訊的風險與潛在後果；培訓後，亦可進一步限制能夠使用AI工具的員工範圍，如只有經過培訓及授權之員工才能夠存取這些AI工具。 在合約方面，建議公司可與員工簽訂或更新保密契約，納入使用生成式AI的指導方針，例如：明確規定禁止向生成式AI工具輸入公司營業秘密、客戶數據、財務信息、未公開的產品計劃等機密資訊；亦可增加相關限制或聲明條款，如「在生成式AI工具中揭露之資訊只屬於公司」、「限制公司資訊僅能存儲於公司的私有雲上」等條款。 2.生成式AI工具提供者（合約） 針對外部管理時，公司亦可透過「終端使用者授權合約（End User License Agreement，簡稱EULA）」來限制生成式AI工具提供者對於公司在該工具上「輸入內容」之使用，如輸入內容不可以被用於訓練基礎模型，或者該訓練之模型只能用在資訊提供的公司。 二、技術方面： 建議公司購買或開發自有的生成式AI工具，並將一切使用行為限縮在公司的私有雲或私有伺服器中；或透過加密、防火牆或多種編碼指令（Programmed）來避免揭露特定類型的資訊或限制上傳文件的大小或類型，防止機密資訊被誤輸入，其舉出三星公司（Samsung）公司為例，三星已限制使用Chat GPT的用戶的上傳容量為1024位元組（Bytes），以防止輸入大型文件。 綜上所述，實務界對於使用生成式AI工具可能的營業秘密風險，相對於尚未可知的訴訟攻防，律師更推薦企業透過訴訟前積極的管理來避免風險。本文建議企業可將前述建議之作法融入資策會科法所創意智財中心於2023年發布「營業秘密保護管理規範」中，換言之，企業可透過「營業秘密保護管理規範」十個單元（包括從最高管理階層角色開始的整體規劃建議、營業秘密範圍確定、營業秘密使用行為管理、員工管理、網路與環境設備管理、外部活動管理，甚至是後端的爭議處理機制，如何監督與改善等）的PDCA管理循環建立基礎的營業秘密管理，更可以透過上述建議的做法（對單元5.使用管理、單元6.1保密約定、單元6.4教育訓練、單元7.網路與環境設備管理等單元）加強針對生成式AI工具之管理。 本文同步刊登於TIPS網站（https://www.tips.org.tw）