美國眾議院法制委員會全體一致通過專利法2007年改革法案

　　區塊鏈技術具有去中心化、透明性、開放性、自治性、訊息不可篡改、匿名性等六大特徵，可加密記錄該系統上所有使用者之行為資訊，並使該資訊不易篡改。其最初被運用在虛擬貨幣比特幣（Bitcoin）的建構，發展至今應用已拓展至諸多領域，包括對智慧財產權的保護。美國的blockai網站即是將區塊鏈技術運用於智財保護的實例之一，美國過去由國會圖書館負責著作權之管理之作法，在程序上曠日費時且效率不彰，故blockai於2015年創立於美國舊金山，旨在提供著作人更簡單有效的選擇。其作法係由著作人於blockai註冊帳號後進行作品之註冊並取得一相應之著作權證書，並由blockai以區塊鏈技術建立公眾資料庫，透過區塊鏈不可篡改、透明開放等技術特徵來證明作品確由著作人創作，利於後續舉證維權。現階段blockai開立之證書雖未被授與法律上地位，但依區塊鏈的技術特徵，可望成為法庭攻防上著作人有力之科學證據。 　　揆諸我國相關法律，我國非採著作登記制，著作人為維護自身權利需先證明系爭著作為自己所創作，惟訴訟實務上著作人多半舉證不易。若參考美國作法導入區塊鏈技術落實著作權保障，或可作為科技整合法律之新標竿。 「本文同步刊登於TIPS網站（https://www.tips.org.tw）」

　　美國國家標準暨技術研究院（National Institute of Standard and Technology, NIST）2024年7月26日發布「人工智慧風險管理框架：生成式AI概況」（Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile），補充2023年1月發布的AI風險管理框架，協助組織識別生成式AI（Generative AI, GAI）可能引發的風險，並提出風險管理行動。GAI特有或加劇的12項主要風險包括： 1.化學、生物、放射性物質或核武器（chemical, biological, radiological and nuclear materials and agents, CBRN）之資訊或能力：GAI可能使惡意行為者更容易取得CBRN相關資訊、知識、材料或技術，以設計、開發、生產、使用CBRN。 2.虛假內容：GAI在回應輸入內容時，常自信地呈現錯誤或虛假內容，包括在同一情境下產出自相矛盾的內容。 3.危險、暴力或仇恨內容：GAI比其他技術能更輕易產生大規模煽動性、激進或威脅性內容，或美化暴力內容。 4.資料隱私：GAI訓練時需要大量資料，包括個人資料，可能產生透明度、個人資料自主權、資料違法目的外利用等風險。 5.環境影響：訓練、維護和運行GAI系統需使用大量能源而影響碳排放。 6.偏見或同質化（homogenization）：GAI可能加劇對個人、群體或社會的偏見或刻板印象，例如要求生成醫生、律師或CEO圖像時，產出女性、少數族群或身障人士的比例較低。 7.人機互動：可能涉及系統與人類互動不良的風險，包括過度依賴GAI系統，或誤認GAI內容品質比其他來源內容品質更佳。 8.資訊完整性：GAI可能無意間擴大傳播虛假、不準確或誤導性內容，從而破壞資訊完整性，降低公眾對真實或有效資訊的信任。 9.資訊安全：可能降低攻擊門檻、更輕易實現自動化攻擊，或幫助發現新的資安風險，擴大可攻擊範圍。 10.智慧財產權：若GAI訓練資料中含有受著作權保護的資料，可能導致侵權，或在未經授權的情況下使用或假冒個人身分、肖像或聲音。 11.淫穢、貶低或虐待性內容：可能導致非法或非自願性的成人私密影像或兒童性虐待素材增加，進而造成隱私、心理、情感，甚至身體上傷害。 12.價值鏈和組件整合（component integration）：購買資料集、訓練模型和軟體庫等第三方零組件時，若零組件未從適當途徑取得或未經妥善審查，可能導致下游使用者資訊不透明或難以問責。 　　為解決前述12項風險，本報告亦從「治理、映射、量測、管理」四大面向提出約200項行動建議，期能有助組織緩解並降低GAI的潛在危害。

GDPR跨國執法新程序帶來的變革 資訊工業策進會科技法律研究所 2025年12月10日 隨著2025年12月12日歐盟官方公報（Official Journal, OJ）正式發布《一般資料保護規則》（General Data Protection Regulation, GDPR）跨境執法補充程序規則[1]（Regulation (EU) 2025/2518），表彰歐盟立法者在協調GDPR跨境執法邁出關鍵的一步。新規則規範各成員國個資監管機關（Supervisory Authorities, SAs）於執行跨境GDPR投訴與進行案件調查的應遵守程序規則。 壹、立法背景 個資監管機關在其成員領土範圍享有管轄權，惟控制者或處理者於多成員國設立據點或處理資料時，各監管機關必須合作並共享決策，此種方式稱為一站式機制（one-stop-shop mechanism）。營運者主要據點的個資監管機關應負責協調監督任務，該主責之個資監管機關稱為主導監督機關（Lead Supervisory Authority, LSA），與此相對的個資監管機關被稱為相關監督機關（Supervisory Authorities Concerned, CSA），兩者需合作過程中交換相關資訊。此種合作模式偏向分散式執法，而導致個人救濟的遲延、如企業主要據點變更須移轉SA管轄權導致執法程序延宕等諸多功能性缺陷，減損GDPR希望達到的執法一致性[2]。 於此背景下，歐盟執委會（European Commission）便提出了一項補充性規則提案[3]，企圖提高各盟成員個資監管機關跨境執法效率與一致性。這項提案於2025年6月16日達成協議[4]，於2025年10月21日由歐盟議會（European Parliament）宣布通過最終文本，並後續於同年11月17日由歐盟理事會（Council of the European）正式宣布通過，於同年12月12日正式發布於歐盟官方公報（Official Journal, OJ）。 貳、重點概覽 一、 統一的申訴規則 新補充規範適用之前提涉及跨境執法，其具體適用範圍主要有兩類，其一是基於申訴之調查（complaint-based）；第二類是基於職權之調查（ex officio）。此外，涉及跨境處理之案件進行申訴處理與調查，亦包括判定該案件是否屬於跨境處理。 新補充規則進一步調整以往各國不協調的申訴受理標準，建構統一的跨國申訴受理標準。依據新補充規則，提起跨境資料處理的申訴案件，應包含： 1.申訴人之姓名與聯絡資訊； 2.有助於識別被申訴對象（資料控制者或處理者）的資訊； 3.涉及違反GDPR行為之描述。 除前述資訊外，不得要求提供其他額外資訊作為其可受理之要件。監管機關應於2周內評估申訴是否可受理，受理申訴之個資監管機關如認定該申訴未包含前述資訊，應於收到該申訴之兩週內，宣告其為不可受理，並將其理由告知申訴人。 二、程序保障－意見陳述與行政檔案的資訊近用 對於受調查的組織，新補充規則提供相對應的程序保障，以確保個資監管機關做出最終決定前，組織能有意見陳述的機會，也就是意見陳述權（The right to be heard）。 當主導監督機關（Lead Supervisory Authority, LSA）初步認為存在違反GDPR的行為時，必須先擬定「初步調查結果」（preliminary findings）給受調查組織。該初步調查結果必須包含事實、證據和法律評估，以及擬採取的糾正措施（例如罰款）。 初步調查結果通知後，受調查的組織有少至三週時間，至多有六週時間以書面回應或申請聽證。 陳述意見權的配套是對行政檔案之近用權，被調查當事人與申訴人均有權近用行政檔案，但須排除： 1.監管機關內部資訊； 2.商業機密或其他機密資訊。 三、提升案件決策效率的機制 目前對GDPR執法的常見批評之一是決策速度緩慢。新補充規引入較嚴格的決策期限限制和提高效率的機制。 （一） 決策期限 原則上，主導監管機關應於其管轄權獲確認之日起十五個月內提出決定草案；該期間僅得於例外情形下延長一次。 （二） 早期解決程序 引入一套機制來快速處理申訴。如果GDPR違法行為已得到糾正，且投申訴不成立，在申訴人不提出異議的情況下，個資監管機構得逕行結案。 （三） 簡化合作程序 對於「情節明確、無合理疑義」之案件，個資監管機關得選擇採行簡化之合作程序，以避免行政官僚程序所造成之延宕。 參、結語 跨境執法補充程序規則，旨在解決過去跨境個資案件中程序延宕、不一致等長期性問題。具體而言，其措施包含進一步細化申訴可受理標準、明確化調查程序的陳述意見權、行政檔案近用與商業機密保護並提高決策效率。 這套補充規則透過更詳細的規範，補足既有一站式機制的不足，有機會使跨境資料處理申訴案件能更有效率且同時以兼顧透明度與正當程序之方式獲得解決。 [1] Regulation (EU) 2025/2518, O.J. L, 2025/2518, 12.12.2025, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L_202502518 [2] European Parliament [EP], Newly proposed GDPR procedural rules: Improving efficiency and consistency 4(2024). [3] COM(2023)0348 – C9-0231/2023 – 2023/0202(COD). [4] European Council [EC], Data protection: Council and European Parliament reach deal to make cross-border GDPR enforcement work better for citizens, https://www.consilium.europa.eu/en/press/press-releases/2025/06/16/data-protection-council-and-european-parliament-reach-deal-to-make-cross-border-gdpr-enforcement-work-better-for-citizens/ (last visited Dec.8, 2025)

　　歐盟最高法院（European Court of Justice, ECJ）於2011年03月08日發表裁定，認為歐盟會員國所提出有關設立單一歐洲專利法院來統一受理歐盟境內專利訴訟之草案協議係違反歐盟條約，此裁定對於推動歐洲單一專利制度（unitary patent）勢必為一大打擊。 　　在此草案協議中，歐盟會員國及歐洲專利公約（European Patent Convention）締約國屬意設立一個全新的歐洲專利法院，並賦予其歐洲專利及未來歐洲單一專利相關的法律訴訟之管轄權，其架構下將有初審法院（court of first instance）、上訴法院（court of appeals）及專利註冊處（registry）。歐盟會員國在2009年時就此草案協議是否符合歐盟條約提請歐盟最高法院出具意見。 　　而歐盟高法院認為協議所設立之歐洲專利法院係屬歐盟架構外之國際法庭，但仍有權受理歐盟境內之專利訴訟案件，並對歐盟法律提出解釋與應用，這會剝奪歐盟會員國司法機關對專利案件的管轄權及其向歐盟最高法院申請初步裁決（preliminary ruling）等權益，以上都會影響到賦予給歐盟機構和歐盟會員國之重要權力，此為歐盟條約最基本之要件，因此，若設立歐洲專利法院將不符合歐盟法律。歐洲目前的專利制度常被視為非常繁瑣及昂貴，雖然當事人可以向歐洲專利局（European Patent Office）統一申請專利，但仍需經過各國專利局一一承認後方有效力，這明顯增加在歐洲申請專利之成本。另外，專利訴訟均屬歐洲各國法院之管轄，因此若有需要，當事人必須逐一在各國法院提出告訴，以保障其在歐洲的專利權，另又各國法院針對同一個專利也有可能會做出不同的判決，亦會造成專利權在歐洲市場執行的不便。因此，歐盟國家近年來持續推動歐洲專利制度改革，除了希望能在歐洲能建立單一專利制度之外，歐洲專利法院的設立以統一專利訴訟制度也是推動的改革之一。 　　歐盟最高法院03月08日的裁決是否會影響歐洲單一專利制度的推動，仍有待觀察，而歐盟委員會（EU Commission）針對此裁定表示將謹慎分析歐盟最高法院的判決並進一步構想適當的解決方案。另一方面，歐盟理事會（EU Council）已於03月10日發表聲明，宣布啟動強化合作（enhanced cooperation）機制以繼續朝向單一歐洲專利制度邁進。