資通安全法律案例宣導彙編 第3輯

　　為了有效管理歐洲食品安全局（European Food Safety Authority, EFSA）內部各項活動間之利益管控與監督，EFSA日前於3月5日公布利益申報（Declarations of Interest, DOIs）施行規則（Implementing Rules），並計畫於2012年7月1日正式實施，且同時搭配一個為期4個月的過渡（Transition Period）配套措施方案。該利益申報施行規則，乃為EFSA於今年初所核准之「獨立性與科學決策過程」（Independence and Scientific Decision-Making Processes）政策的基礎規範項目之一。 　　本次EFSA所頒布之利益申報施行規則，其訂定之理由係因，原任職於EFSA旗下基因工程植物之首席風險評估專家，轉任至一家專門研發及生產該種植物之生物科技公司；為避免並且釐清相關因該事件所衍生之利益衝突問題，乃制定本規範。故此，為具體有效管理EFSA內部人員與其他涉及EFSA各項活動之機構間的利益監督事宜，EFSA遂進一步於今年初開始著手進行相關措施之規劃。目前該利益申報施行規則除了主要針對EFSA旗下之各層級人員訂定各項利益類型之規範準則外，更重要的是，其亦提供其旗下之專業科學研究人員，各項能有效具體確認其利益界線之劃分的保護措施。由於該利益申報施行規則授與EFSA選取與管理利益申報議題若干彈性，因此EFSA能具體且有效的利用相關規範延攬頂尖研究人員，進而協助EFSA提升其內部研發人員之創新研發能力。 　　政府機關成員之利益申報與迴避問題，乃為全球各國政府需面對之問題，而對於如何有效且彈性的進行相關議題之管控，更是相關政策制訂時需加以考量之點。EFSA之利益申報施行規則不僅有效管理內部人員之利益衝突與申報問題，同時亦藉由彈性的管理規範方式，延攬優秀頂尖人才，達到具體提升研發水準之功效；對此，EFSA之規範方式與運作成效，實值得加以觀察與效仿。

2025年8月6日，行動支付技術開發公司Fintiv向喬治亞州北區聯邦地方法院亞特蘭大分院控訴Apple科技公司以詐欺手段竊取Fintiv公司的前身公司CorFire的專屬行動支付技術，違反《保護營業秘密法》（Defend Trade Secrets Act，DTSA）及《喬治亞州營業秘密法》（Georgia Trade Secrets Act，GTSA）等規定，向法院尋求賠償。 Fintiv公司主張Apple公司在2011年至2012年間，以行動支付技術之業務合作為由，與CorFire公司進行多次技術性洽談。Apple公司利用雙方簽訂之保密契約，取得CorFire公司的行動支付技術的詳細實施方案之接觸權限，並要求CorFire公司上傳部分機密資料至Apple公司管理的共享平臺，以促進合作交流關係，最終Apple公司放棄與CorFire公司的合作計畫，Apple公司卻將協商期間所獲技術內容整合，並應用於其在2014年推出的Apple Pay行動支付服務。Fintiv公司進一步主張Apple公司為將Apple Pay商業化，與信用卡處理商及銀行組成企業聯盟，並隱瞞其非法取得技術的真相，宣稱Apple公司自主研發Apple Pay。Fintiv公司指出，Apple公司此舉不僅損害Fintiv公司的合法權益，也嚴重破壞市場競爭秩序。此外，Fintiv公司表示，Apple公司多年來有系統地採取類似策略，如以合作名義獲取其他企業之機密，進而不當使用多項機密以進行商業化使用。 觀察前述實務案例可得知，即使雙方基於保密契約交換機密資料，仍存在終止合作衍生的機密外洩糾紛，如：機密資料歸屬不清、逾越授權範圍使用機密資料等風險。建議企業在「資料提供前」，應先透過「盤點」營業秘密與機密「分級」，確認合適揭露的機密資料，再藉由「審查」機制確認必要揭露的內容；在「資料提供後」，要求他方提供機密資料之「收受證明」以明確歸屬，並在合作關係結束後，要求他方「聲明返還或銷毀機密資料」，以降低他方不當使用機密資料的風險。 前述建議之管理作法已為資策會科法所創意智財中心於2023年發布之「營業秘密保護管理規範」所涵蓋，企業如欲精進系統化的營業秘密管理作法，可以參考此規範。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

電腦製造大廠HP 於得知其競爭對手Oracle 公司聘用其離職總裁Mark V. Hurd後隨即於加洲法院提起違約(breach of contract)及即將發生盜用營業秘密(threatened misappropriation of trade secrets)之訴訟，但又在短短兩周內雙方達成和解。 HP前總裁Mark V. Hurdy 於八月因被HP董事會指控違反該公司之企業行為規範（code of business conduct）而閃電辭職，隨即受邀接受擔任Oracle 公司共同總裁(Co president) 一職。HP於獲知消息後隨即對Mark V. Hurd提起違約及即將發生盜用營業秘密之訴訟。HP表示其前總裁簽署過保密合約對HP之營業秘密及機密資訊負有保密之義務。HP認為若Mark V. Hurdy任職於其競爭對手Oracle 公司，將對HP造成威脅且將會違反其所負擔之保密義務，因為了於Oracle 公司執行其職務，Mark V. Hurdy必然會使用且洩漏HP之營業秘密及機密資訊。 然於在不到兩周的時間，雙方隨即達成和解。Mark V. Hurdy承諾不會洩漏HP的營業秘密給他的新雇主同時必須放棄346,030 units 的限制性股權(restricted stock units)，總價值高達美金4千萬元。 多數觀察家認為HP提起此訴訟案之目的不在阻止其前總裁前往競爭對手工作而主要是在企圖追回Mark V. Hurdy因離職而取得的大量股票權益。

　　根據美國公共電視台在2016年1月6日的新聞，指出生物支付將可能成為新興支付工具。生物支付之定義為利用生物辨識(biometric)技術驗證個人生物特徵，諸如：指紋、虹膜等進行支付。採用生物支付技術，未來將無須使用信用卡或行動裝置，僅需要個人生物特徵之辨識即可完成交易。此轉變將使未來交易更加快速、便利，但同時，生物支付的安全性卻也不無疑義。 　　即便生物辨識屬於高層級的資訊安全保護機制，但水能載舟，亦能覆舟。生物辨識利用生物不可變之特性進行身分識別，涉及高度個人隱私，為妥善保護個人資訊安全，需訂立生物辨識相關規範加以管制，否則將衍生許多法律問題。 　　例如：在2015年6月，美國線上出版商Shutterfly公司被控訴違法蒐集個人資料。原告稱其並非Shutterfly公司之註冊使用者，也從未同意其生物辨識資訊被該公司蒐集，但其面紋(Face print)卻被上傳至該公司網站，並標註姓名，儲存在自動針對相片標記臉部辨識系統之資料庫。 依據BIPA針對生物辨識定義及蒐集規範： 1.第10條： 生物辨識之態樣，包含視網膜、虹膜掃描、指紋或是手部、臉部外觀之掃描，但不包括簽名、照片、用於科學檢測之人體樣本、頭髮顏色等。 2.第15條(a)： 規定公司蒐集個人生物特徵資訊應有相關規範供公眾查閱，並應提供生物辨識資訊之保管及銷毀日期及相關資訊。 3.第15條(b)(1)： 蒐集生物辨識資訊應告知當事人。 　　Shutterfly公司提出要求法院不受理之抗辯，主張BIPA規定之臉部外觀，其文意解釋應為物理上個人親自接受掃描所得之資訊，並非原告所主張以照片辨識之臉部外觀，但法院認為Shutterfly之主張並不合理，因此同意受理此案。 　　觀察該案可發現，儘管生物辨識提高資訊安全之保護，但相關法規範解釋仍待實務完備。另一方面，生物特徵資訊極易被他人蒐集，因此，如何建置蒐集個人辨識資訊及完善相關措施，也是推行生物支付措施所需突破的關口。