歐盟執委會同意德國全面開放寬頻市場

　　美國聯邦貿易委員會(Federal Trade Commission，以下簡稱FTC)在2016年2月針對一款宣稱能矯正視力之Ultimeyes App處罰。此款App由Carrot Neurotechnology公司研發，以美金9.99元於平台上販售供民眾下載。App宣稱具有提升及改善視力功能，透過App使用即可在日常生活中的各種活動中，感受視力恢復而不需使用眼鏡。然而，FTC起訴認為，App所稱之使用療效，缺乏充分的文獻資料佐證說明。其必須具備完整及可信賴的科學證據來證明，包含臨床試驗或盲測等方式，且該科學證明必須符合相同領域專家所認定之標準，否則，該款App內容所標榜之效果即屬不實陳述，將造成民眾誤認。為此，Carrot Neurotechnology公司最終以美金15萬達成和解，並且經FTC要求，若將App說明當中未經科學證明的療效部份予以刪除，即可繼續再繼續販售此款App。此案並非美國FTC首度針對mHealth App處罰之案例，然而，可能造成mHealth App發展業者對FTC與FDA角色之間之混淆，後續兩者主管機關之間之角色如何調和將是未來關注之重點。反觀我國，目前雖無相關案例發生，然在鼓勵發展之際，亦應考量是否有違反消費者保護之情形。

　　繼美國最高法院於Microsoft Corp. v. AT&T Corp. 做出與專利法治外法權有關的判決後，美國聯邦巡迴上訴法院於2009年8月19日再次做出限縮解釋專利法第271條(f)項於美國境外的效力。 　　美國專利法第271條(f)項規定未經許可提供或使人提供專利產品之元件，將之由美國供應(“supply”)至美國境外完成組合，亦視為侵害該專利產品之專利權。此項規定為美國國會為防範企業藉由在美國境內製造非專利保護之零組件後再運送之海外進行組合以規避專利侵權責任而制定。之後，在實物案例中，關於第271條(f)項之解釋與適用範圍產生諸多爭議。美國最高法院於其在2007年Microsoft Corp. v. AT&T Corp. 中強調不應擴張解釋第271條（f）項之文字。 　　於Cardiac Pacemakers Inv. V. St. Jude Medical Inc. 一案中，原告Cardiac Pacemakers控告被告St. Jude Medical所販賣的植入式心臟整流去顫器 (implantable cardioverter defibrillator)之使用會侵犯原告所擁有的一個利用植入式心臟刺激器治療心律不整的方法專利 (a method of heart stimulation using an implantable heart stimulator)。本案的爭點在於被告銷售可實施原告美國專利方法的產品或裝置讓該專利方法於美國境外被實施的行為是否構成第271條(f)項之侵害。美國聯邦巡迴上訴法院推翻其於2005年之判決(Union Carbide Chemicals Plastics Technology Corp. V. Shell Oil Co.)，判定專利法第271條(f)項不適用於方法專利。亦即，被告銷售可實施原告美國專利方法的產品至海外的行為不構成第271條(f)項所規定之侵權行為。 　　此判決對原告Cardiac Pacemakers之衝擊可能較小，因其專利範圍除方法請求項外，亦包含物品請求項，原告還可藉由其物品請求項獲得侵權損害賠償。但此案可能對僅能以方法申請專利的產業如生技藥業(某些診斷及檢驗僅能以方法申請專利)及軟體業造成較大的影響。

　　愛爾蘭最大的ISP業者Ericom因其使用者利用Ericom提供之網路服務傳輸音樂檔案，而遭EMI、Sony BMG、Universal及Warner提起訴訟，控告其涉嫌侵害著作權，要求Ericom應過濾其內容可能涉及侵害著作權之檔案。對此，Ericom向愛爾蘭高等法院表示，Ericom在法律上並無義務監督在其網路上所承載的檔案內容。 　　愛爾蘭數位權利壓力團體「愛爾蘭數位權利」(Digital Rights Ireland，簡稱DRI)聲稱，上述音樂出版業者對於Ericom的指控及要求於法無據，因為ISP業者不過是資料來源的媒介，並無法律義務對於網路上使用者的行為負責；歐盟也無法律特別要求業者應監督其所提供網路服務傳遞的資訊內容。DRI亦表示，若立法要求業者應監督傳輸之檔案，除將侵犯網路使用者的隱私權外，更意味著要求使用者付費讓業者監督其使用網路之行為，但目前過濾篩選技術仍不夠完善，反而會影響合法使用網路服務之用戶。 　　雖然如此，ISP業者仍面臨了越來越多的國際壓力，要求應即時阻攔使用者非法分享之檔案。如2008年夏季，法國將提出一套測試系統以協助ISP業者封鎖涉及侵權之資訊；比利時法院於2007年判決要求某個ISP業者應過濾其傳輸之資訊；日本ISP業者之代表組織亦強調，若發現使用者使用軟體違法分享音樂及遊戲檔案，將即時切斷網路服務，以防止使用者透過網路分享檔案侵害著作權。對於違法分享檔案之行為，若英國網路服務業者與音樂工業之意見仍未能達成一致，英國政府將立法要求，ISP業者應對違法分享檔案之使用者發出警告，而使用者仍堅持從事該違法行為，則其所使用之網路服務將會中斷。 　　目前，對於使用者利用ISP業者所提供之服務從事侵害著作權之行為，該業者是否應為使用者之違法行為負責已成為各國專家廣泛討論之議題，未來有關該議題之立法仍有待持續關注。

2024年7月1日，美國實務界律師撰文針對使用生成式AI（Generative AI）工具可能導致的營業秘密外洩風險提出營業秘密保護管理的強化建議，其表示有研究指出約56%的工作者已經嘗試將生成式AI工具用於工作中，而員工輸入該工具的資訊中約有11%可能包含公司具有競爭力的敏感性資訊或客戶的敏感資訊，以Chat GPT為例，原始碼（Source Code）可能是第二多被提供給Chat GPT的機密資訊類型。系爭機密資訊可能被生成式AI工具提供者（AI Provider）用於訓練生成式AI模型等，進而導致洩漏；或生成式AI工具提供者可能會監控和存取公司輸入之資訊以檢查是否有不當使用，此時營業秘密可能在人工審查階段洩漏。 該篇文章提到，以法律要件而論，生成式AI有產生營業秘密之可能，因為營業秘密與著作權和專利不同之處在於「發明者不必是人類」；因此，由生成式 AI 工具協助產出的內容可能被視為營業秘密，其範圍可能包括：公司的內部 AI 平台、基礎的訓練算法和模型、輸入參數和輸出結果等。惟基於目前實務上尚未有相關案例，故生成式AI輸出結果在法律上受保護的範圍與條件仍需待後續的判例來加以明確。 實務專家提出，即使訴訟上尚未明確，企業仍可透過事前的管理措施來保護或避免營業秘密洩露，以下綜整成「人員」與「技術」兩個面向分述之： 一、人員面： 1.員工（教育訓練、合約） 在員工管理上，建議透過教育訓練使員工了解到營業秘密之定義及保護措施，並告知向生成式AI工具提供敏感資訊的風險與潛在後果；培訓後，亦可進一步限制能夠使用AI工具的員工範圍，如只有經過培訓及授權之員工才能夠存取這些AI工具。 在合約方面，建議公司可與員工簽訂或更新保密契約，納入使用生成式AI的指導方針，例如：明確規定禁止向生成式AI工具輸入公司營業秘密、客戶數據、財務信息、未公開的產品計劃等機密資訊；亦可增加相關限制或聲明條款，如「在生成式AI工具中揭露之資訊只屬於公司」、「限制公司資訊僅能存儲於公司的私有雲上」等條款。 2.生成式AI工具提供者（合約） 針對外部管理時，公司亦可透過「終端使用者授權合約（End User License Agreement，簡稱EULA）」來限制生成式AI工具提供者對於公司在該工具上「輸入內容」之使用，如輸入內容不可以被用於訓練基礎模型，或者該訓練之模型只能用在資訊提供的公司。 二、技術方面： 建議公司購買或開發自有的生成式AI工具，並將一切使用行為限縮在公司的私有雲或私有伺服器中；或透過加密、防火牆或多種編碼指令（Programmed）來避免揭露特定類型的資訊或限制上傳文件的大小或類型，防止機密資訊被誤輸入，其舉出三星公司（Samsung）公司為例，三星已限制使用Chat GPT的用戶的上傳容量為1024位元組（Bytes），以防止輸入大型文件。 綜上所述，實務界對於使用生成式AI工具可能的營業秘密風險，相對於尚未可知的訴訟攻防，律師更推薦企業透過訴訟前積極的管理來避免風險。本文建議企業可將前述建議之作法融入資策會科法所創意智財中心於2023年發布「營業秘密保護管理規範」中，換言之，企業可透過「營業秘密保護管理規範」十個單元（包括從最高管理階層角色開始的整體規劃建議、營業秘密範圍確定、營業秘密使用行為管理、員工管理、網路與環境設備管理、外部活動管理，甚至是後端的爭議處理機制，如何監督與改善等）的PDCA管理循環建立基礎的營業秘密管理，更可以透過上述建議的做法（對單元5.使用管理、單元6.1保密約定、單元6.4教育訓練、單元7.網路與環境設備管理等單元）加強針對生成式AI工具之管理。 本文同步刊登於TIPS網站（https://www.tips.org.tw）