歐盟議會對於電信改革法案並無達成任何協議

日本獨立行政法人情報處理推進機構（Information-technology Promotion Agency，下稱IPA）於2026年1月29日發布「2026年10大資訊安全威脅」，呼籲企業應留意自身資訊安全防護對策。 IPA將2026年10大資訊安全威脅區分為「組織」與「個人」兩大面向。在組織面向的威脅中，前三位依序為勒索病毒攻擊、針對供應鏈或委託方的攻擊，以及AI應用所帶來的網路風險。其中，「AI應用所帶來的網路風險」是自2016年IPA開始進行資訊安全威脅調查以來，首度入選前10大威脅，其風險內容主要為使用者對AI技術缺乏充分了解而導致的資訊外洩，或是由於AI遭惡意濫用，進而降低網路攻擊的門檻等風險。 此外，2026年10大資訊安全威脅第四至第十名依序分別為，針對系統漏洞的攻擊、竊取機密資訊的攻擊、由地緣政治風險引起的網路攻擊（包含資訊戰）、內部違規行為導致的資訊外洩、針對遠距工作環境的攻擊、分散式阻斷服務攻擊，以及商務電子郵件詐欺。從10大資訊安全威脅之內涵可知，多數資安威脅均與資訊外洩或惡意攻擊相關，顯見資訊的價值與重要度在現代數位化社會中日益提升。 臺灣企業如欲強化資訊安全防護對策，並針對資料本身進行妥善管理，建議參考資訊工業策進會科技法律研究所創意智財中心（資策會科法所創智中心）發布之《重要數位資料治理暨管理制度規範》，建立涵蓋數位資料生命週期之資料治理機制，同時參考該中心發布之《營業秘密保護管理規範》、《營業秘密管理指針2.0》，建立營業秘密管理措施或相關機制，避免具備機敏性或屬於營業秘密之資訊外洩。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　事前承認制為日本基於科研成果廣泛運用之目的，透過產業技術力強化法第19條的增修正式引入拜杜法制度後，針對政府資助研發成果移轉或授權予計畫外第三人的情形賦予委託機關與執行單位的義務。在日本拜杜法制度下，政府資助研發成果的相關專利權原則上得歸屬於執行單位，但考量到這些研發成果若移轉給未預備活用該些成果之人，將會造成由國家資金所衍生的科研成果難以被運用，從而無法達成促進成果運用的法目的，因此在該法第19條第4項增訂事前承認制。 　　依該制度，執行單位若欲讓與歸屬於執行單位之政府資助研發成果所涉及專利權給第三人，或將使用該些專利權的權利設定或移轉予第三人時，除了符合政令所定不妨礙專利權運用之情形外，委託機關須和執行單位約定為上開移轉等行為前，須先取得委託機關的同意。

美國智慧財產律師於2026年4月撰文說明兩件聯邦地方法院之判決揭示將機密資訊分享於生成式AI平台上的重大風險。 在Trinidad v. OpenAI 案中(Trinidad使用ChatGPT開發出AI框架，並將其框架申請美國專利，其主張OpenAI 後續申請專利之產品係基於使用其成果所開發，惟法院駁回原告依據美國營業秘密保護法(即DTSA)提出使用ChatGPT的產出物”專有AI開發框架(proprietary AI development frameworks，簡稱框架)為其營業秘密之主張，理由是原告在使用ChatGPT創建這些框架時，是自願向OpenAI 揭露其框架相關資訊。本案中，法院認為，原告使用ChatGPT創建框架時未有採取保密措施，且基於接受OpenAI的使用條款，也就是同意於未建立任何保護下揭露資訊，而不屬於DTSA保護的營業秘密。 在United States v. Heppner案中(被告Heppner 因涉及金融詐騙案件遭起訴，其收到法院傳票後使用Claude AI，將該案件的案件事實、可能的抗辯事由、法律分析和防禦策略輸入至Claude AI，使用AI產出法律分析報告)，則是強調使用公開可得的生成式AI平台所建立之文件不受律師與當事人間之秘匿特權( attorney-client privilege)保護，因為在AI平台記錄的對話內容，在沒有與平台合約約定保密義務時，這些內容並不具保密性。本案主要探討於被告與Claude AI之間之對話紀錄是否符合律師與當事人間之秘匿特權之範圍，法院認為Claude AI並非律師，兩位非律師之人的法律討論並不享有特權，且成立律師與當事人間之秘匿特權需建立於當事人與有委託關係之律師(或其代理人：實習律師、法務助理等)因為法律諮詢目的之通訊內容。此外，被告與Claude AI之間的通訊並非機密，因為Claude AI的用戶須同意「Anthropic (Claude AI之開發商)收集用戶輸入與輸出資料，利用這些資料訓練 Claude，並保留向第三方(包括政府監管機構)揭露此類資料的權利」，故法院未將律師與當事人間之秘匿特權延伸至AI平台產出的資訊。 在如今生成式AI已被普遍使用之時代，AI工具可提高生產力及工作效率，而對企業而言，開放員工使用AI時應留意公司是否有對使用AI工具提供相應的管理措施。可參考的管理方式有二： 作法其一是：建立企業內部的生成式AI平台 在此狀況下與AI共享的資訊只會留在公司的環境中，並且員工會受到聘用條件中所簽署過的保密協議拘束，此種做法可提供強而有力的保護，但也需要公司投入大量財務資源，惟許多企業未有足夠資源採取此做法。 作法其二：企業從商業生成式AI供應商取得企業授權 企業可跟AI供應商簽定特殊的授權模式，例如約定除了為遵守法律規範或防止濫用之情況外均不儲存輸入或輸出之資訊、約定不會使用其資料進行AI模型訓練、不向第三方揭露客戶所提供之資訊等保密條款，此類保密條款約定會被視為合理保密措施。 企業亦須留意法院在檢視是否成立合理保密措施時，通常只有簽訂相關保密條款並不足夠，法院通常會審查是否有其他保護措施，例如哪些員工有權使用AI平台、是否規範哪些資訊可用/不可用於AI平台、員工是否簽署對其使用AI平台應遵守之義務的確認書等。此外，企業還須避免員工以個人消費者帳號(非企業用戶權限)於AI平台輸入公司機密資訊，而使公司在不知情狀況下同意AI供應商使用其公司機密資訊。因此，企業應建立明確政策，限制員工將公司機密資訊輸入任何AI平台，並留存管理存取紀錄。 由前面兩個案件我們可了解，在未有適當合約與相關保密措施的情況下，於公開的生成式 AI 平台分享機密或專有資訊，法律上等同於向全世界揭露該資訊。法院於營業秘密、律師與當事人間之秘匿特權不太可能對 AI 相關揭露行為做出特別豁免。因此，對於AI工具的使用，企業至少需確保使用的是在具備適當合約保護的商業或企業級 AI 平台，制定明確的內部政策規範可輸入 AI 平台的資訊，提供員工相關訓練，並審核現有的營業秘密保護計畫找出因應AI工具使用的相關風險並予以補強。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://keid.nat.gov.tw/tips/）

　　南非共和國議會在2013年8月22日通過了個人資料保護法修正案（PROTECTION OF PERSONAL INFORMATION BILL），該法案已由總統Jacob Zuma簽署正式成為法律，這也是南非首次全面性的個人資料保護立法 。 　　該部立法目的在於為促進個人資料的保護，建立全面性的個人資料保護原則。此次提出多項修正，包括 ： 1. 設立獨立法人監察機構作為獨立且公正的執行個人資料保護法上職務及權力。 2. 公、私部門僅在特定情形時方可處理個人資料。 3. 蒐集個人資料必須提交予前述獨立法人監察機構。 4. 限制蒐集兒童個人資料，並將哲學、信仰、宗教，種族、民族血統，工會會員，政治觀點，健康，性生活或犯罪前科列為特種個人資料，並加以限制蒐集。 5. 需要處理個人資料者，必須落實保護措施，以保護個人資料為完整之狀態。 6. 發生個人資料外洩情形時，必須通知受影響的當事人以及前述獨立法人監察機構。 7. 要求公、私部門均需指定專責個人資料保護人員。 8. 透過自動傳呼裝置行銷需受到一定程度之限制。 9. 限制跨境傳輸時，限制傳輸收受方必須是至少具備與南非相同個人資料保護水準之區域。 　　南非之個人資料保護法通過後，對於消費者保障係又提升至另一層次，然該法之施行會對企業造成的衝擊，以及消費者是否可以在修法後獲得實質上的保障，仍待觀察。