「智慧財產報告書」：開啟企業與市場之間的對話工具

　　中國大陸商務部於2021年1月9日公布《阻斷外國法律與措施不當域外適用辦法》（商務部令2021年第1號，簡稱《辦法》），以保護中國大陸公民、法人或其他組織的合法權益，不受他國法律與措施的不當侵害。過去，美國等國家透過出口管制推行單邊主義，限制中國大陸企業的國際經貿活動空間，顯示外國法律與措施的不當域外適用，對中國大陸經濟發展造成不利影響。《辦法》因此借鑒歐盟於1996年制定《抵制第三國立法域外適用效果及行動條例》（Council Regulation (EC) No 2271/96）的立法經驗，拒絕承認外國法律和措施的域外效力，以維護國際經貿發展權益。《辦法》由國務院商務部負責評估和確認外國法律與措施是否存在不當域外適用情形，發布「不得承認、不得執行、不得遵守有關外國法律與措施禁令」；中國公民、法人或者其他組織若因外國法律與措施的域外適用遭受重大損害，得向中國法院提起訴訟，要求獲益當事人賠償損失，以此作為中國大陸對外貿易之必要反制措施。《辦法》所建立的阻斷工作機制架構說明如下： 及時報告：依據第5條，中國大陸公民、法人或其他組織遇到外國法律與措施不當域外適用，即禁止或限制其與第三國（地區）開展正常經貿及相關活動者，應在30日內報告。 評估確認：依據第6條，關於外國法律與措施是否存在不當域外適用情形，商務部應結合各種因素進行評估確認。 發布禁令：依據第7條，經評估確認外國法律與措施存在不當域外適用情形，商務部得發布「不得承認、不得執行、不得遵守有關外國法律與措施的禁令」。第8條，亦由商務部負責「豁免遵守禁令」申請案之否准。 司法救濟：依據第9條，因外國法律與措施的不當域外適用遭受損失，中國大陸公民、法人或其他組織可在中國大陸國內法院起訴並請求損害賠償。 處罰制度：依據第13條，對違反如實報告義務和不遵守禁令之行為，給予相應警告、責令限期改正，並根據情節輕重處以罰款。

　　美國國家標準暨技術研究院（National Institute of Standard and Technology, NIST）2024年7月26日發布「人工智慧風險管理框架：生成式AI概況」（Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile），補充2023年1月發布的AI風險管理框架，協助組織識別生成式AI（Generative AI, GAI）可能引發的風險，並提出風險管理行動。GAI特有或加劇的12項主要風險包括： 1.化學、生物、放射性物質或核武器（chemical, biological, radiological and nuclear materials and agents, CBRN）之資訊或能力：GAI可能使惡意行為者更容易取得CBRN相關資訊、知識、材料或技術，以設計、開發、生產、使用CBRN。 2.虛假內容：GAI在回應輸入內容時，常自信地呈現錯誤或虛假內容，包括在同一情境下產出自相矛盾的內容。 3.危險、暴力或仇恨內容：GAI比其他技術能更輕易產生大規模煽動性、激進或威脅性內容，或美化暴力內容。 4.資料隱私：GAI訓練時需要大量資料，包括個人資料，可能產生透明度、個人資料自主權、資料違法目的外利用等風險。 5.環境影響：訓練、維護和運行GAI系統需使用大量能源而影響碳排放。 6.偏見或同質化（homogenization）：GAI可能加劇對個人、群體或社會的偏見或刻板印象，例如要求生成醫生、律師或CEO圖像時，產出女性、少數族群或身障人士的比例較低。 7.人機互動：可能涉及系統與人類互動不良的風險，包括過度依賴GAI系統，或誤認GAI內容品質比其他來源內容品質更佳。 8.資訊完整性：GAI可能無意間擴大傳播虛假、不準確或誤導性內容，從而破壞資訊完整性，降低公眾對真實或有效資訊的信任。 9.資訊安全：可能降低攻擊門檻、更輕易實現自動化攻擊，或幫助發現新的資安風險，擴大可攻擊範圍。 10.智慧財產權：若GAI訓練資料中含有受著作權保護的資料，可能導致侵權，或在未經授權的情況下使用或假冒個人身分、肖像或聲音。 11.淫穢、貶低或虐待性內容：可能導致非法或非自願性的成人私密影像或兒童性虐待素材增加，進而造成隱私、心理、情感，甚至身體上傷害。 12.價值鏈和組件整合（component integration）：購買資料集、訓練模型和軟體庫等第三方零組件時，若零組件未從適當途徑取得或未經妥善審查，可能導致下游使用者資訊不透明或難以問責。 　　為解決前述12項風險，本報告亦從「治理、映射、量測、管理」四大面向提出約200項行動建議，期能有助組織緩解並降低GAI的潛在危害。

　　為釐清自駕車事故發生時，該如何適用日本《汽車賠償法》相關規定，國土交通省於2016年11月設置「自動駕駛損害賠償責任研究會」，檢討︰(1)自動駕駛是否適用《汽車賠償法》上運用供用者概念？(2)汽車製造商在自動駕駛事故損害中應負何種責任？(3)因資料謬誤、通訊不良、被駭等原因導致事故發生時應如何處理？(4)利用自動駕駛系統時發生之自損事故，是否屬於《汽車賠償法》保護範圍等議題，並於2018年3月公布研究報告。針對上述各點，研究會認為目前仍宜維持現行法上「運行供用者」責任，由具有支配行駛地位及行駛利益者負損害賠償責任，故自駕車製造商或因系統被駭導致失去以及支配行駛之地位及行駛利益者，不負運行供用者責任。此外，研究報告亦指出，從《汽車賠償法》立法意旨在於保護和汽車行駛無關之被害者，以及迅速使被害者得到救濟觀之，自動駕駛系統下之自損事故，應仍為《汽車賠償法》保護範圍所及。

日本獨立行政法人情報處理推進機構（Information-technology Promotion Agency，下稱IPA）於2026年1月29日發布「2026年10大資訊安全威脅」，呼籲企業應留意自身資訊安全防護對策。 IPA將2026年10大資訊安全威脅區分為「組織」與「個人」兩大面向。在組織面向的威脅中，前三位依序為勒索病毒攻擊、針對供應鏈或委託方的攻擊，以及AI應用所帶來的網路風險。其中，「AI應用所帶來的網路風險」是自2016年IPA開始進行資訊安全威脅調查以來，首度入選前10大威脅，其風險內容主要為使用者對AI技術缺乏充分了解而導致的資訊外洩，或是由於AI遭惡意濫用，進而降低網路攻擊的門檻等風險。 此外，2026年10大資訊安全威脅第四至第十名依序分別為，針對系統漏洞的攻擊、竊取機密資訊的攻擊、由地緣政治風險引起的網路攻擊（包含資訊戰）、內部違規行為導致的資訊外洩、針對遠距工作環境的攻擊、分散式阻斷服務攻擊，以及商務電子郵件詐欺。從10大資訊安全威脅之內涵可知，多數資安威脅均與資訊外洩或惡意攻擊相關，顯見資訊的價值與重要度在現代數位化社會中日益提升。 臺灣企業如欲強化資訊安全防護對策，並針對資料本身進行妥善管理，建議參考資訊工業策進會科技法律研究所創意智財中心（資策會科法所創智中心）發布之《重要數位資料治理暨管理制度規範》，建立涵蓋數位資料生命週期之資料治理機制，同時參考該中心發布之《營業秘密保護管理規範》、《營業秘密管理指針2.0》，建立營業秘密管理措施或相關機制，避免具備機敏性或屬於營業秘密之資訊外洩。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）