數位證據之刑事證據能力相關議題研究

　　美國國會於2022年12月22日通過《2022年保護美國智慧財產法》（Protecting American Intellectual Property Act of 2022），經美國總統拜登（Joe Biden）於2023年1月5日簽署後正式生效。鑒於近年來美國營業秘密外洩事件頻傳，中國大陸和駭客透過各類方式竊取美國的智慧財產，對美國的經濟和國家安全產生重大危害。因此，共和黨參議員Ben Sasse與民主黨參議員Chris Van Hollen於2020年6月共同提出本法，並於2021年4月提出修正版本，期待美國政府進一步採取保護美國營業秘密的具體措施。 　　本法授權美國政府對涉及營業秘密重大竊盜的外國人及外國實體（foreign entity）實施制裁。重點包含： 　　1.要求美國總統每年應向國會提出報告，且第一份報告應於本法正式施行後6個月內提出，報告應列出符合以下條件之外國人、外國實體名稱及外國實體的執行長或董事會成員： 　　(1)故意竊取美國營業秘密，且其行為很可能或已經對美國國家安全、外交、經濟、金融構成重大威脅者； 　　(2)對上述故意竊取美國營業秘密之行為提供重要的財務、物質、技術、商品、服務等支援，或從中獲得利益者。 　　2.實施制裁 　　(1)針對外國實體，本法授權美國政府得實施的制裁手段有12項，包含根據國際緊急經濟權力法（International Emergency Economic Powers Act）凍結其資產、將該實體列入美國商務部的出口管制名單（Entity List）、禁止美國金融機構對該實體提供貸款、拒絕向該實體採購、禁止該實體的外匯交易、禁止美國人投資該實體的股票或債券、限制該實體成員入境、將該實體成員驅逐出境等。美國總統應針對名單中的對象實施至少5項制裁，並可對該外國實體之高層實施上述制裁。 　　(2)針對外國人，制裁手段包含凍結資產、拒絕入境、撤銷簽證等 　　3.豁免 　　總統若認為符合美國國家利益，得豁免對外國人及外國實體之制裁，但應於15天內向國會提交豁免的理由。 　　本法施行後，美國除了既有的《保護營業秘密法》（Defend Trade Secrets Act of 2016）外，將透過上述的制裁手段強化營業秘密的保護力道。 　　本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　三月上旬甫於美國新奧爾良舉行的毒物學學會研討會，多數的論文將重點放在肺部暴露於奈米微粒的影響。例如來自美國太空總署休士頓太空中心的John T. James與其同僚，將奈米微粒噴入老鼠的呼吸道，於一週與三個月後再進行檢驗，結果發現儘管類似煤煙的碳奈米球狀物不會造成傷害，可是相當質量的商品化碳奈米管卻會顯著的損及肺部組織，甚至殺死幾隻老鼠。研究人員發現巨噬細胞(macrophages)會困住奈米管，不過隨之死亡。James認為研究小組所使用的劑量並不是非常不切實際，他估計在目前的美國聯邦碳吸入量法規限制下，相對於人體重量，工作人員在17天之內會吸入相等的劑量。 　　 美國西維吉尼亞州國家職業安全與健康協會的Petia Simeonova與其同事，也觀察到接受類似劑量碳奈米管的老鼠會產生富含微粒的肺肉芽腫(granulomas)，研究人員也對心臟與主動脈的粒線體DNA進行損害檢查，粒線體傷害為發生動脈硬化(atherosclerosis)的先兆。 　　 日本鳥取大學 (Tottori University )Akinori Shimada報告了首例奈米微粒從肺部移動到血液的系列圖像，碳奈米管一接觸到老鼠肺部極細小的氣管，即湧入穿過表面細胞的微小間隙，並且鑽入毛細血管，Shimada推測此會造成凝集甚至血栓。 　　 羅徹斯特大學Alison Elder報告兔子吸入碳奈米球之後，增大了血液凝塊的敏感性。為了模擬糟糕的都市空氣污染，研究人員給予兔子每立方米包含70微克奈米球體微粒的空氣超過三小時，再觀察發生血液凝塊的時間，結果呼吸奈米微粒的兔子，一天之內即發生血液凝塊現象。因為發生的很快，所以Alison Elder認為奈米微粒是從肺部移動進入血流，而非從肺部送出凝血劑(clotting agents )。

南韓個資保護委員會（Personal Information Protection Commission, PIPC）於2024年7月18日發布《人工智慧（AI）開發與服務處理公開個人資料指引》（인공지능(AI) 개발·서비스를 위한 공개된 개인정보 처리 안내서）（以下簡稱指引）。該指引針對AI開發與服務處理的公開個人資料（下稱個資）制定了新的處理標準，以確保這些資料在法律上合規，且在使用過程中有效保護用戶隱私。 在AI開發及服務的過程中，會使用大量從網路上收集的公開資料，這些公開資料可能包含地址、唯一識別資訊（unique identifiable information, UII）、信用卡號等個資。這些公開的個資是指任意人可藉由網路抓取技術自公開來源合法存取的個資，內容不限於個資主體自行公開的資料，還包括法律規定公開的個資、出版物和廣播媒體中包含的個資等。由於公開資料眾多，在現實中很難在處理這些公開個資以進行AI訓練之前，取得每個個資主體的單獨同意及授權，同時，南韓對於處理這些公開個資的現行法律基礎並不明確。 為解決上述問題，PIPC制定了該指引，確認了蒐集及利用公開個資的法律基礎，並為AI開發者和服務提供者提供適用的安全措施，進而最小化隱私問題及消除法律不確定性。此外，在指引的制定過程中，PIPC更參考歐盟、美國和其他主要國家的做法，期以建立在全球趨勢下可國際互通的標準。 指引的核心內容主要可分為三大部分，第一部分：應用正當利益概念；第二部分：建議的安全措施及保障個資主體權利的方法；及第三部分：促進開發AI產品或服務的企業，在開發及使用AI技術時，注意可信任性。 針對第一部分，指引中指出，只有在符合個人資料保護法（Personal Information Protection Act, PIPA）的目的（第1條）、原則（第3條）及個資主體權利（第4條）規定範圍內，並滿足正當利益條款（第15條）的合法基礎下，才允許蒐集和使用公開個資，並且需滿足以下三個要求：1.目的正當性：確保資料處理者有正當的理由處理個資，例如開發AI模型以支持醫療診斷或進行信用評級等。2.資料處理的必要性：確保所蒐集和利用的公開資料是必要且適當的。3.相關利益評估：確保資料處理者的正當利益明顯超越個資主體的權利，並採取措施保障個資主體的權利不被侵犯。 而第二部分則可區分為技術防護措施、管理和組織防護措施及尊重個資主體權利規定，其中，技術防護措施包括：檢查訓練資料來源、預防個資洩露（例如刪除或去識別化）、安全存儲及管理個資等；管理和組織防護措施包括：制定蒐集和使用訓練資料的標準，進行隱私衝擊影響評估（PIA），運營AI隱私紅隊等；尊重個資主體權利規定包括：將公開資料蒐集情形及主要來源納入隱私政策，保障個資主體的權利。 最後，在第三部分中，指引建議AI企業組建專門的AI隱私團隊，並培養隱私長（Chief Privacy Officers, CPOs）來評估指引中的要求。此外，指引亦呼籲企業定期監控技術重大變化及資料外洩風險，並制定及實施補救措施。 該指引後續將根據PIPA法規修訂、AI技術發展及國際規範動向持續更新，並透過事前適當性審查制、監管沙盒等途徑與AI企業持續溝通，並密切關注技術進步及市場情況，進而推動PIPA的現代化。

　　根據美國公共電視台在2016年1月6日的新聞，指出生物支付將可能成為新興支付工具。生物支付之定義為利用生物辨識(biometric)技術驗證個人生物特徵，諸如：指紋、虹膜等進行支付。採用生物支付技術，未來將無須使用信用卡或行動裝置，僅需要個人生物特徵之辨識即可完成交易。此轉變將使未來交易更加快速、便利，但同時，生物支付的安全性卻也不無疑義。 　　即便生物辨識屬於高層級的資訊安全保護機制，但水能載舟，亦能覆舟。生物辨識利用生物不可變之特性進行身分識別，涉及高度個人隱私，為妥善保護個人資訊安全，需訂立生物辨識相關規範加以管制，否則將衍生許多法律問題。 　　例如：在2015年6月，美國線上出版商Shutterfly公司被控訴違法蒐集個人資料。原告稱其並非Shutterfly公司之註冊使用者，也從未同意其生物辨識資訊被該公司蒐集，但其面紋(Face print)卻被上傳至該公司網站，並標註姓名，儲存在自動針對相片標記臉部辨識系統之資料庫。 依據BIPA針對生物辨識定義及蒐集規範： 1.第10條： 生物辨識之態樣，包含視網膜、虹膜掃描、指紋或是手部、臉部外觀之掃描，但不包括簽名、照片、用於科學檢測之人體樣本、頭髮顏色等。 2.第15條(a)： 規定公司蒐集個人生物特徵資訊應有相關規範供公眾查閱，並應提供生物辨識資訊之保管及銷毀日期及相關資訊。 3.第15條(b)(1)： 蒐集生物辨識資訊應告知當事人。 　　Shutterfly公司提出要求法院不受理之抗辯，主張BIPA規定之臉部外觀，其文意解釋應為物理上個人親自接受掃描所得之資訊，並非原告所主張以照片辨識之臉部外觀，但法院認為Shutterfly之主張並不合理，因此同意受理此案。 　　觀察該案可發現，儘管生物辨識提高資訊安全之保護，但相關法規範解釋仍待實務完備。另一方面，生物特徵資訊極易被他人蒐集，因此，如何建置蒐集個人辨識資訊及完善相關措施，也是推行生物支付措施所需突破的關口。