美國加州議會於2019年9月12日通過《加州法案AB 824,商業:保持人們對負擔得起的藥物之近用(California AB 824 - Business: preserving access to affordable drugs)》(下稱AB 824法案),其主要規範藥品專利侵權和解協議中之「遲延給付(pay for delay)」條款,推定其具有反競爭性,為美國第一部規範製藥公司之間簽訂遲延給付條款之州法。 於AB 824法案中,其規範對象為學名藥與生物相似性藥物之藥證申請人,統稱為「非參照藥物申請者(Nonreference drug filer)」。其規定若用來解決專利侵權之協議為「非參照藥物申請者」從主張專利被侵害的公司處接受任何有價值之物,且同意於一段期間內限制或放棄學名藥或生物相似性藥品的研究、開發、製造、上市、銷售,則該協議推定具有反競爭效果。惟例外若能證明「非參照藥物申請者」所獲得之價值僅對其他商品或服務是公平合理的補償、協議直接產生了競爭優勢,協議的競爭優勢大於協議的反競爭效果,則反競爭性之推定可舉上述事由為證而推翻。每次違規行為可處以高達2000萬美元或「非參照藥物申請者」收到的價值三倍的罰款,以數額高者為準。 AB 824法案減輕政府舉證責任的負擔,將主張和解協議不具反競爭效果之舉證責任轉移至和解協議當事人身上,且因此種推定,當事人必須向政府揭露更多和解協議之資訊,而增加協議之透明度。
歐盟發布未成年網路安全指引歐盟執委會於2025年7月發布《確保未成年網路高度隱私、安全和保障的措施指引》(Guidelines on measures to ensure a high level of privacy, safety and security for minors online,下稱指引),依據《數位服務法》(Digital Services Act)第28條未成年網路保護規定,未成年人可存取的網路平臺提供者應採取適當措施確保未成年人享有高度隱私及安全保障,且不應迫使數位平臺提供者為評估使用者是否為未成年人而處理額外的個人資料,前述指引目的即為協助數位平臺提供者遵守《數位服務法》第28條之規定。 數位平臺的條款及條件允許未成年人使用該服務,及其服務面向包含未成年人或主要由未成年人使用,或其提供者知曉部分接收者為未成年人,則該數位平臺可被視為提供未成年人存取,數位平臺提供者即應符合比例適當性、保護兒童權利、隱私安全保障設計、年齡適宜設計等一般性原則。指引要求數位平臺提供者需要以準確、可靠和穩定的方式確認使用者的年齡,常見的年齡確認方式有三種:自我聲明、年齡估測、年齡驗證,數位平臺提供者應評估所採方式之必要性及適當性,以最小侵害措施達成高度安全性,並以準確性、可靠性、韌性、低侵害、不歧視為原則。 但指引也引發對於其技術可行性及執法的疑慮,歐洲數位權利組織(European Digital Rights, EDRi)認為政府忽略數位平臺設計與商業模式的根本性問題,依賴年齡認證可能限制未成年人的權利,且對於誤判、規避風險、互通性、與會員國身分系統的整合等問題仍有諸多疑問。雖然指引非法規不具強制性,但歐盟執委會已將指引作為合規評估標準,使數位平臺提供者面臨實施成本及合規證明的壓力。面對日新月異的網路世界,該如何避免未成年人接觸不良網路內容成為許多國家關心的議題,值得持續追蹤相關動態作為我國未成年網路安全政策之參考。
當員工將個資輸入AI工具:Community Bank事件帶來的法遵警訊2026年5月5日,美國賓州地區銀行 Community Bank 發現一名員工於未獲授權之情形下,將客戶非公開個人資料利用於外部人工智慧應用程式。遭不當利用之資料涵蓋客戶姓名、社會安全號碼及出生日期等高度敏感個人資料。事件發現後,Community Bank 隨即採取資料安全控管措施,並委託外部專家展開調查。 同年5月7日,Community Bank 之母公司 CB Financial Services, Inc. 判定本事件具有重大性,並於同月11日依《1934年證券交易法》(Securities Exchange Act of 1934)向美國證券交易委員會(U.S. Securities and Exchange Commission, SEC)申報 Form 8-K(第1.05條)。值得注意者,CB Financial Services, Inc. 同時聲明本事件預計不致對其財務狀況或日常營運造成重大影響,申報之理由係單純基於所涉非公開資訊之數量與敏感程度。 蓋依 SEC 於2023年發布之《網路安全風險管理、策略、治理及事件揭露規則》,網路安全事件之重大性應依美國證券法下之一般標準判斷,即資訊是否具有「理性投資人在作成投資決策時認為重要之實質可能性」;該規則進一步指出,重大性之判斷不以財務損失為必要條件,應綜合考量量化與質化因素,包括事件對客戶或其他相關人士所造成損害之範圍與性質。 本案引發金融業及上市公司廣泛關注。過去依第1.05條申報之案例幾乎均涉及外部駭客入侵或惡意攻擊,而本案係因內部人員之行為所引發,成為美國史上首件因員工未經授權使用人工智慧工具(即「Shadow AI」,又稱「影子AI」)而觸發第1.05條揭露義務之案例。因此,企業於積極導入人工智慧工具提升營運效率之際,亦應建立明確之人工智慧工具使用政策與內部控管機制,將Shadow AI之風險納入整體資料安全與法遵管理架構,以符合相關法遵義務之要求。