歐盟將對微軟反托辣斯法進行聽證

　　美國國家標準與技術研究院（NIST）於2020年1月16日發布「隱私框架1.0版」（NIST Privacy Framework Version 1.0），為促進資料的有效利用並兼顧對隱私權的保障，以風險管理（risk management）的概念為基礎建構企業組織隱私權管理框架。本隱私框架依循NIST於2018年所提出的「健全關鍵基礎設施資安框架1.1版」（Framework for Improving Critical Infrastructure Cybersecurity Version 1.1）架構，包含框架核心（Core）、狀態評估（Profile）與實施層級（Implementation Tier），以利組織能夠同時導入隱私與資安兩種框架。由隱私框架核心所建構的風險管理機制，透過狀態評估來判斷當前與設定目標的實施層級，進而完成組織在隱私保護上的具體流程與資源配置。 　　NIST基於透明、共識、兼顧公私利害關係人的程序訂定本隱私框架，用以促進開發者導入隱私設計思維（privacy by design），以及協助組織保護個人隱私，其目標包含透過支持產品或服務設計中的倫理決策（ethical decision-making）及最小化對隱私的侵害來建立客戶的信任；在當前與未來的產品或服務中，因應持續變化的技術與政策環境遵守對隱私的保護義務；以及促進個人、企業夥伴、稽核者（assessor）與監管者（regulator）在隱私權保護實踐上的溝通與合作。 　　本隱私框架並非法律或法規，亦不具備法律效果，而是做為數位時代下NIST協助企業導入隱私權管理制度的參考工具，企業或組織將能基於本隱私框架靈活應對多樣化的隱私需求，掌握其產品或服務所隱含的隱私權侵害風險，並識別隱私權相關法律規範，包含加州消費者隱私法（California Consumer Privacy Act）與歐盟一般資料保護規則（General Data Protection Regulation, GDPR）等，提出更具創新性與有效性的解決方案，並有效因應AI與物聯網技術的發展趨勢。

　　三位來自Massachusetts州的州民，以Apple Inc.（下稱Apple）為被告，於該州地方法院提起團體訴訟。其等主張在2012年至2013年間，透過信用卡於Massachusetts州Apple的零售商店購買該公司相關商品時，Apple有過度蒐集與不當利用個人資料之情形。據Apple網站指出，消費者得選擇透過信用卡的方式購買商品，然若選擇信用卡方式付費，必須提供個人相關識別訊息，包含完整的郵政編碼，如果提供不完整，Apple將不會允許使用消費者使用信用卡方式付費；且Apple亦在網站上聲稱保有允許提供該類訊息予提供產品和服務的合作夥伴，或得利用該類訊息幫助行銷的權利。故原告等透過信用卡消費後，收到不必要的市場行銷資訊；又Apple將原告等人可識別的個人資訊銷售第三方公司，並在未顧及原告等權益下，挪用了該具有經濟價值的個人可識別資訊。基於上述理由，原告等請求至少500萬元美金之損害賠償，其中不包含訴訟費用以及相關利息等其他費用。 　　依據Mass. Gen. Laws ch. 93 §105 規定，不論是個人、商號、合夥、公司或一切營業人，當接受信用卡交易模式時，並不能要求消費者填寫任何個人可識別的資訊。若法院同意原告們的訴求，Apple將因「不公平且欺騙之貿易行為」而被認定違反該州法律而必須負擔賠償責任，且Apple也將被要求停止蒐集全州的個人可識別資料。

　　2010年，美國聯邦政府展開「聯邦政府風險與授權管理計畫」（Federal Risk and Authorization Management Program，FedRAMP），在經過2年的研究與整備後，聯邦政府總務管理局於2012年06月06日宣佈FedRAMP正式運作。 FedRAMP是由國土安全部、聯邦政府總務管理局、國防部、國家安全局以及國家科技研究所共同撰寫及建置。該計畫的目的是建立一套全國政府機關可遵循依據，針對雲端服務的風險評估、授權管理的標準作業規範。 　　根據FedRAMP，雲端服務業者欲通過該計畫的評估，其評估程序可分為提出申請、檔案安全控管、進行安全測試、完成安全評估等四個階段。未來所有雲端產品與服務業者，都必須達到該計畫的標準規範，才能為美國政府機關提供雲端產品及服務。 　　對於雲端服務業者的評估，必須經由FedRAMP認證的第三方機構來進行審查，第三方評估機構欲通過認證，除了要符合FedRAMP的需求外，還必須具備雲端資訊系統的評估能力、備妥安全評估計畫、以及安全評估報告等，另外亦同時引進了ISO/IEC17020以及ISO/IEC17011之規定，來驗證檢驗機構的品質與技術能力。目前為止，聯邦政府總務管理局已經公佈十個獲得授權的機構。 　　聯邦政府總務管理局同時並期待在2012年的年底之前，能夠有三個雲端服務提供者通過審查，然而，由於制度才剛上路不久，是否能夠跟上產業變遷的腳步並順利達成目標，仍有待進一步觀察。

2025年9月15日，韓國智慧財產局（Korean Intellectual Property Office，下稱KIPO）與韓國外交部轄下之海外僑胞廳 （Overseas Koreans Agency，下稱OKA）共同宣布：即日起，「營業秘密原本證明（Trade Secret Original Certificate）」無須經過公證人的公證程序，即可直接申請海牙認證（Apostille）。此項政策旨在簡化韓國企業在海外保護其營業秘密的程序，減輕企業的時間與金錢成本。 在KIPO與OKA尚未推出該新政策前，依據韓國《不正競爭防止法》第 9-2條第3款規定，推定註冊此營業秘密原本證明者在註冊的時點，已擁有該電子文件所記載的資訊。然而，海牙認證僅頒發給「官方文件」，非官方機構所核發的營業秘密原本證明在國際上不會被視為官方文件，即營業秘密原本證明僅在韓國國內生效。當韓國企業積極擴展海外市場或在海外面臨營業秘密侵權糾紛時，企業如欲將營業秘密原本證明申請海牙認證以作為跨國訴訟之證據，需經過以下3步驟： （1）將其含有營業秘密內容的電子文件，向KIPO指定的原本證明機構申請註冊「營業秘密原本證明」。 目前KIPO指定4家非官方\機構，如韓國智慧財產權保護院（한국지식재산보호원）、LG CNS、RedWitt、Onnuri 國際營業秘密保護中心。以韓國智慧財產權保護院之流程為例，該機構自電子文件生成獨一無二的數位指紋（Hash，或稱雜湊值），與時間戳技術結合，製作營業秘密原本證明，以確保在特定時間點，該文件確實存在，且之後未被變更。即使對文件的微小修改都會影響數位指紋，使營業秘密原本證明失效。 （2）將其營業秘密原本證明交由公證人公證。 （3）取得公證人公證後，方得依據《關於官方文件簽發海牙認證及領事認證規定》（總統令）（공문서에 대한 아포스티유 및 본부영사확인서 발급에 관한 규정」（대통령령））向主管機關（即OKA）申請海牙認證。 9月新政策將「營業秘密原本證明」納入「可直接申請海牙認證的文件範圍」，即企業在取得由 KIPO 指定機構所核發的原本證明後，不須經公證流程，可直接申請海牙認證。此舉簡化行政程序，且經海牙認證為韓國真實文件之營業秘密原本證明，在海外爭議中可作為官方文件，提升公信力。 綜上可得知，韓國營業秘密原本證明的服務僅留存電子文件的最終版本所生成之數位指紋，而非註冊當時的電子文件本身。因此，本文建議企業仍應先打好文件管理機制的地基，簡要說明如下： 1.第一步，選定有價值、有高度洩密風險或即將對外共享的數位資料（如研發紀錄、客戶名單、演算法等），明確該資料相關之權責人員與作業規範。 2.第二步，建立可行之重要數位資料的生命週期（自原始資料之生成、保護到維護，再延伸至存證資訊之取得、維護與驗證）流程化管理機制，確認具備與管理流程相應的資源（如人員面之保密契約、教育訓練以及環境面之系統備份等）。 3.第三步，檢視現行規範與實際執行之情況與分析落差原因。 4.第四步，因應管理機制落實之程度、內外部變動之需求，進而調整合適的管理作法。 前述建議之管理作法已為資策會科法所創意智財中心發布之《重要數位資料治理暨管理制度規範（EDGS）》所涵蓋，企業如欲強化數位資料管理機制，可以參考此規範。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）