下一個要控告的是…其它所有公司?

　　近年來許多先進國家的藥廠或是生技公司紛紛到生物資源豐富的國家從事生物探勘活動，希望可以尋找合適的生技產品候選者 (candidate) ，也因此產生許多不當佔有的生物盜竊 (biopiracy) 事件。 　　由於印度本身在 2002 年專利法修正時，特別規定生技發明之專利申請者若使用生物物質 (biological material) ，應揭露其地理來源 (source of geographical origin) ，未揭露其來源地或提供錯誤資訊者，則構成專利撤銷之理由； 2005 年的專利法修正的重點之一為「加強專利授予前異議 (pre-grant opposition) 機制」，意即未揭露生物物質之來源地或提供錯誤資訊者，或者申請專利之權利內容含有傳統知識者，可提出異議之事由。 　　目前國際間針對是否應強制規定申請人應揭示其來源地等仍無共識。從 2001 年的杜哈發展議程的談判會議結果即可知，由於該談判採取 「單一承諾（ Single Undertaking ）」模式且可從不同議題間相互掛勾，加上開發中及低度開發會員採取結盟方式來壯大談判立場，在某些關鍵議題與美國、歐盟等主要會員國形成抗衡局面。 開發中國家對於 TRIPs 第 27 條第 3 項 b 款的審議特別在乎，認為 TRIPs 協定應該修訂應納入上述的揭露需求外，還必須提供事先告知且同意 (prior informed consent) ，以及因該專利而獲取的利益與來源地分享之證明。 　　因此，印度提出修正 TRIPs 協定的建議，強制會員國必須改變內國法律，規定專利申請者必須揭露其發明所使用的生物物質來源，並希望能在今年 12 月香港部長會議裡討論。

英國政府於2025年1月31日發布「人工智慧網路資安實務守則」（Code of Practice for the Cyber Security of AI，以下簡稱「實務守則」），目的是提供人工智慧（AI）系統的網路資安指引。該實務守則為英國參考國際上主要標準、規範後所訂定之自願性指引，以期降低人工智慧所面臨的網路資安風險，並促使人工智慧系統開發者與供應商落實基本的資安措施，以確保人工智慧系統的安性和可靠性。 由於人工智慧系統在功能與運作模式上與傳統網路架構及軟體有明顯的不同，因此產生新的資安風險，主要包含以下： 1. 資料投毒（Data Poisoning）：在AI系統的訓練資料中蓄意加入有害或錯誤的資料，影響模型訓練結果，導致人工智慧系統產出錯誤推論或決策。 2. 模型混淆（Model Obfuscation）：攻擊者有意識地隱藏或掩飾AI模型的內部運作特徵與行為，以增加系統漏洞、引發混亂或防礙資安管理，可能導致AI系統的安全性與穩定性受損。 3. 輸入間接指令（Indirect Prompt Injection）：藉由輸入經精心設計的指令，使人工智慧系統的產出未預期、錯誤或是有害的結果。 為了提升實務守則可操作性，實務守則涵蓋了人工智慧生命週期的各階段，並針對相關角色提出指導。角色界定如下： 1. 人工智慧系統開發者（Developers）：負責設計和建立人工智慧系統的個人或組織。 2. 人工智慧系統供應鏈（Supply chain）：涵蓋人工智慧系統開發、部署、營運過程中的的所有相關個人和組織。 實務守則希望上述角色能夠參考以下資安原則，以確保人工智慧系統的安全性與可靠性： 1. 風險評估（Risk Assessment）：識別、分析和減輕人工智慧系統安全性或功能的潛在威脅的過程。 2. 資料管理（Data management）：確保AI系統整個資料生命週期中的資料安全及有效利用，並採取完善管理措施。 3. 模型安全（Model Security）：在模型訓練、部署和使用階段，均應符合當時的技術安全標準。 4. 供應鏈安全（Supply chain security）：確保AI系統供應鏈中所有利益相關方落實適當的安全措施。 「人工智慧網路資安實務守則」藉由清晰且全面的指導方針，期望各角色能有效落實AI系統安全管控，促進人工智慧技術在網路環境中的安全性與穩健發展。

　　有關在網路販售仿冒品所透過之網路交易平台業者是否應負法律責任之問題，歐盟法院（Court of Justice of the European Union）於2011年7月12日針對L’oreal v. eBay案作出判決，認為如eBay之網路交易平台業者應為平台使用者之商標侵權行為負責。 　　國際知名化妝品品牌L’oreal 於2007年對eBay提出多項商標侵權之控訴，L’oreal認為eBay沒有適當的管控阻止其交易平台使用者之商標侵權行為，其包括在交易平台上販售仿冒品及非賣品，進行平行輸入販售非給歐盟市場流通之商品給位在歐盟會員國之人，以及購買網路關鍵字廣告協助交易平台使用者找到仿冒L’oreal品牌之商品，但eBay認為其適用歐盟電子商務指令（EU E-Commerce Directive）下之有關網路服務業者之免責條款。 　　歐盟法院之判決認為，網路交易平台業者若有扮演主動的角色，對仿冒商品之販售資料有掌控或知曉，則歐盟電子商務指令之免責條款應不適用，另外，若網路平台交易業者雖然沒有扮演主動的角色，但知道在其交易平台有商標侵權之販售行為但並沒有採取任何阻止行動，則網路平台業者也無法享有上述之免責權。同時，歐盟法院也認為各國法院應可以要求網路交易平台業者採取動作停止及防止交易平台使用者之侵權行為。

歐洲執委會（European Commission）根據2022年6月23日生效的資料治理法（Data Governance Act, DGA）第11條及第17條，於2023年8月9日公布資料治理法及實施規則（Commission Implementing Regulation (EU) 2023/1622 of 9 August 2023），該規則明定可用於識別「受認證的歐盟資料中介服務提供者（data intermediation services providers）及資料利他主義組織（data altruism organisations）」的通用標章（Common logos）之細節，且該通用標章已申請商標註冊，以保護其免於遭受不當利用。 經歐盟認證的「資料中介服務提供者」向服務利用者提供服務時，應確保服務利用者（個人及公司）可以有效的控制自己的資料，包含共享資料的對象及時間、可在不同裝置間共享資料等。經歐盟認證的「資料利他主義組織」則應以全歐盟通用之統一格式的歐洲利他主義同意書（data altruism consent form）在各成員國之間蒐集資料，並應確保資料主體（data subject）可以隨時撤回其同意。 識別受認證的「資料中介服務提供者」及「資料利他主義組織」是實施資料治理法的一環。受認證的「資料中介服務提供者」及「資料利他主義組織」選擇使用通用標章時，不僅須將通用標章清楚標示在所有線上的出版品上，亦須將通用標章清楚標示在所有線下的出版品。經歐盟認證的「資料利他主義組織」在標示通用標章時須附上可連結到「歐盟認證的『資料利他主義組織』之公開登記資料庫（public register of data-altruism organisations）」的QR code，歐盟將於2023年9月24日開始提供該公開登記資料庫。在歐盟層面，這些通用標章的利用可以易於識別被認證的「資料中介服務提供者」及「資料利他主義組織」與其他未經認證的服務提供者，有助於提高整體資料市場的透明度。 由於數位資料具有易於竄改、複製等特性，因此需要透過「可信任工具」來證明其來源正確、內容真實等，歐盟即以「通用標章」來識別「資料中介服務提供者」及「資料利他主義組織」。我國法務部、司法院、高等檢察署、法務部調查局和內政部警政署等機關共同推動司法聯盟鏈，並於2022年推出「b-JADE證明標章」，透過認證機制確保鏈下之數位資料於上鏈前具有可信任性。通過驗證並取得「b-JADE證明標章」的機關、機構或團體等組織，對外可證明其具備資料治理暨管理能力及保護數位資料之能力，且可取得申請加入「司法聯盟鏈」之機會。 本文同步刊登於TIPS網站（https://www.tips.org.tw）