加州通過美國第一個限制溫室氣體排放法案

  加州是全球第十二大製造二氧化碳排放量的地區,也是美國最重視環境立法的一個州。今年八月底,加州通過全美第一個限制人為溫室效應氣體排放法案- 2006 年全球溫室效應對策法( Global Warming Solutions Act of 2006 ),希望透過該法在 2020 年以前,將溫室氣體排放量減至 1990 年的水準(約減少 25% ),而諸如發電廠、水泥工廠等溫室效應氣體最大的來源,則將被要求報告它們的排放量。


  雖然全球溫室效應對策法中並未規定特別的機制(例如歐盟所採取的排放量交易機制)以達到前述目標,不過加州政府仍希望藉由其率先立法的舉動,能引起全美各地效法,進而「由下而上」(
bottom-up )促使聯邦政府採取必要措施。


  目前美國聯邦政府以強制減少溫室氣體排放可能損及經濟,並不應將開發中國家排除在外為由,在
2001 年決定退出有 160 國簽署的京都議定書。不過隨著加州通過 2006 年全球溫室效應對策法,加入歐盟置身於對抗氣候變化的最前線,毋寧也將對華府增加壓力,未來聯邦政府仍須審慎考量是否以強制之立法手段,而非布希政府所偏好的自願性手段,來解決全球暖化的問題。

相關連結
※ 加州通過美國第一個限制溫室氣體排放法案, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=478&no=55&tp=1 (最後瀏覽日:2026/07/12)
引註此篇文章
你可能還會想看
美國參議院通過CISA網路安全資訊共享法案

  美國參議院於2015年10月27號通過網路安全資訊共享法(Cybersecurity Information Sharing Act; CISA)。本案以74票對21票通過,今年稍早眾議院通過類似法案,預計接下來幾周送眾議院表決。歐巴馬政府及兩院議員已就資訊共享法案研議多年,目前可望兩院就立法版本達成一致而立法成功。   主導本案的參議院情報委員會(Intelligence Committee)主席Richard Burr於法案通過後發表聲明表示,「這個作為里程碑的法案最終會更周全地保護美國人的個資不受外國駭客侵害。美國商業與政府機構遭受以日計的網路攻擊。我們不能坐以待斃」。副主席Sen. Feinstein於肯定法案對網路安全的助益之外,認為「我們在杜絕隱私憂慮的方面上盡了所有努力」。   CISA授權私人機構於遭受網路攻擊,或攻擊之徵兆(threat indicators)時,基於網路安全的目的,立即將網路威脅的資訊分享給聯邦政府,並且取得洩漏客戶個資的責任豁免權。基於同樣的目的,私人機構也被授權得以監視其網路系統,甚至是其客戶或第三人的網路。但僅以防禦性措施為限,並且不得採取可能嚴重危害他人網路之行動。相對於此,聯邦政府所取得該等私人機構自發性提供的網路威脅資訊,係以具體且透明的條款規制。此外,國土安全部(Department of Homeland Security)於符合隱私義務方針的方式下,管理電子網路資訊得以共享給其他合適的聯邦機構。檢察總長及國土安全部門秘書並建立聯邦政府接收、共享、保留及使用該等網路資訊的要件,以保護隱私。   相對於此,許多科技公司對此持反對態度,例如蘋果與微軟。隱私支持者更是於法案通過前後呼籲抵制,稱其為監視法。主要的論點圍繞在企業洩漏個資訊的寬鬆免責條款,這將會促使隱私憂慮。另一方面,法案反對者也不信任聯邦政府機構將會落實隱私保護,FBI、國家安全局(National Security Agency, NSA)及國家安全部則樂於輕易地取得、共享敏感的個資而不刪除之。   這些憂慮或許可以由法案投票前,網路法及網路安全學者共同發出的公開信窺知。「整體來說,(CISA)對有缺陷的網路安全中非常根本但真切的問題一無所助,毋寧僅是為濫權製造成熟的條件」。信中提到,該法案使聯邦機構得近用迄今為止公眾的所有資訊,並且對公司授權的範圍無明確界線,使公司對判斷錯誤的可能性毫無畏懼。這對於網路安全沒有幫助,方向應該是引導各機構提高自身的資訊安全及良好管理。

從北京知識產權局裁定iPhone6停售看中國大陸外觀設計專利

從北京知識產權局裁定iPhone6停售看中國大陸外觀設計專利 資策會科技法律研究所 法律研究員 翁竹霆 106年01月17日   中國大陸北京市知識產權局於2016年5月10日作成京知執字(2016)854-16號《專利侵權糾紛處理決定書》,依中國大陸佰利公司之請求,認定美國蘋果公司與中國大陸中復電訊設備公司在市面上銷售之iPhone6、iPhone6 plus侵害了佰利公司的外觀設計專利(專利號:ZL201430009113.9),北京市知識產權局依中國大陸專利法第60條:「未經專利權人許可,實施其專利,即侵犯其專利權,引起糾紛的,由當事人協商解決;不願協商或者協商不成的,專利權人或者利害關係人可以向人民法院起訴,也可以請求管理專利工作的部門處理。管理專利工作的部門處理時,認定侵權行為成立的,可以責令侵權人立即停止侵權行為…」,爰責令蘋果公司立即停止侵權行為,即停止銷售系爭兩款手機。   蘋果公司、中復公司對此停售決定不服,爰以北京市知識產權局為被告,佰利公司為有利害關係之第三人,依行政訴訟法向北京知識產權法院提起行政訴訟,要求法院撤銷該裁定,並宣告iPhone6系列手機之外觀設計並未落入佰利公司系爭專利之保護範圍。北京知識產權法院於2016年6月15日受理本案,並由三名法官、二名學者組成五人合議庭,於2016年12月7日進行公開審理,擇日宣判本案。 壹、外觀設計專利要件   中國大陸之外觀設計專利制度,目的在於鼓勵工業品外觀設計的創作。而據大陸專利法第2條第4項,所謂外觀設計乃指對產品的形狀、圖案或者其結合以及色彩與形狀、圖案的結合所作出的富有美感並適於工業應用的新設計。條文所揭「富有美感」,所體現的是ㄧ種美學設計,而非功能性或技術性的考慮[1] ,「適於工業應用」,亦即可供工業上大量生產之需要[2]。同法第59條第2項:「外觀設計專利的保護範圍以表示在圖片或者照片中的該產品的外觀設計為準,簡要說明可以用於解釋圖片或者照片所表示的該產品的外觀設計。」,意即外觀設計專利係對產品的外觀進行保護,故外觀專利之審查重點應在於整體外觀是否構成相同或近似。揆諸中國大陸專利法條文,外觀設計須滿足下列要件方可獲得專利法之保護: 一、適於工業應用   按中國大陸專利法第2條,外觀設計必須適於工業應用,此意義為外觀設計所對應之產品「能應用於產業上並形成批量生產」,且外觀設計必須應用於特定載體,如脫離特定載體之外觀設計,其專利將失其附麗,無法取得專利法之保護,又據中國大陸《專利審查指南》第1部分第3章:「不能重複生產的手工藝品、農產品、畜產品、自然物不能作為外觀設計的載體」,所謂載體,反面解釋上,應指可重複生產的產品。此要件限縮了外觀設計專利之保護範圍,如將相同的外觀設計移植到不相同、不近似的的產品上,並不侵害外觀設計專利[3]。 二、新穎性   此新穎性依中國大陸專利法第23條第1項,應指不屬於現有設計,亦沒有任何單位或個人就同樣的外觀設計在申請日之前向專利行政部門提出申請,並記載於申請日之後公告之專利文件。 三、區別性   中國大陸專利法第23條第2項:「授與專利權的外觀設計與現有設計或者現有設計特徵的組合相比,應當具有明顯區別」。此與台灣設計專利所採之創作性要件不同,創作性係以該設計所屬技藝領域中具有通常知識者為標準,區別性則是以一般消費者為標準,旨在使該設計市場上可被消費者有效區分,以符外觀設計保護之目的。 四、不予專利之消極要件   中國大陸專利法定有不予專利之消極要件,外觀設計如違反第5條有關公序良俗之規定,或符合第26條第1項第6款「對平面印刷品的圖案、色彩或者二者的結合作出的主要起標識作用的設計」,將無法通過審查,依法不授予專利。 貳、外觀設計專利侵權審查   從近年中國大陸在外觀設計專利的司法解釋和侵權實務認定上,可歸納出三個面向:一般消費者標準、整體觀察綜合判斷、整體視覺效果之影響。 一、「一般消費者標準」視產品種類而定   在發明專利、新型專利中,判斷一技術是否為現有技術、是否相同近似之審查是採該技術領域之熟練技術人員為標準,惟參中國大陸最高人民法院《關於審理侵犯專利權糾紛案件應用法律若干問題的解釋》第10條,人民法院在判斷系爭外觀設計專利是否相同或者近似時,是以一般消費者的知識水平和認知能力,亦即採一般消費者標準進行審查。學者更具體指出,ㄧ般消費者之知識水平和認知能力應與系爭外觀設計產品相關聯[4],換言之,係指該類產品領域之一般消費者,故所謂「一般消費者標準」應隨產品種類不同,而有所不同。 二、棄「要部判斷」,採「整體觀察、綜合判斷」   過去《專利審查指南》曾採「要部判斷」的方法,判斷外觀設計是否相同或近似,然於2006年修改《專利審查指南》時,放棄此法。理由在於,「要部判斷」過度強調局部設計,可能不適當的放大外觀設計專利保護範圍,且所謂「要部」是指容易引起ㄧ般消費者注意的部位,在選擇認定何為要部上充滿不確定性,使保護邊界更難清楚界定,使實務判斷者區別對待一項設計中的不同設計特徵[5],而流於恣意。目前判斷標準與方法,可見於中國大陸《專利審查指南》第4部分第5章:「外觀設計相同,是指涉案專利與對比設計是相同種類產品的外觀設計,並且涉案專利的全部外觀設計要素與對比設計的相應設計要素相同,其中外觀設計要素是指形狀、圖案以及色彩。」。所謂相同種類,依最高人民法院《關於審理侵犯專利權糾紛案件應用法律若干問題的解釋》第9條,可參考外觀設計的簡要說明、國際外觀設計分類表、產品功能及銷售等實際情況認定。是否相同或近似之判斷方法則採取「整體觀察、綜合判斷」,而不可從外觀設計的部分或局部得出判斷結論,此與發明專利中,需就系爭發明專利權利請求項之全部技術特徵一一比對有明顯不同。《專利審查指南》以冷暖空調扇為例,若冷暖空調扇的底面和背面設計不足以對產品整體視覺效果產生影響,則不對其進行整體觀察、綜合判斷,意即對於一般消費者不關注的設計特徵,審查時可以選擇性忽視。 三、整體視覺效果之影響   中國大陸最高人民法院《關於審理侵犯專利權糾紛案件應用法律若干問題的解釋》第11條第1項規定「人民法院認定外觀設計專利是否相同或者近似時,應當根據授權外觀設計、被訴侵權設計的設計特徵,以外觀設計的整體視覺效果進行綜合判斷;對於主要由技術功能決定的設計特徵以及對整體視覺效果不產生影響的產品的材料、內部結構等特徵,應當不予考慮。」,此與審查指南之判斷標準應為一致,僅是最高人民法院採用略有不同之表述[6]。法院實務中亦透過判決說明外觀設計專利侵權認定與ㄧ般專利侵權認定之不同,如成都雄峰家具有限公司訴黃興貴案:「本案中,被控侵權產品與原告的專利產品均為鞋櫃,屬於相同產品,從二者的外觀形狀特徵比較A、B、C、E、F、G分別與a、b、c、e、f、g相同,D與d相似,H與h雖然存在較大差異,但上述差異並不會影響鞋櫃整體的設計風格和樣式,對ㄧ般消費者的整體視覺效果不產生影響,因此,普通消費者對被控侵權產品與原告的外觀設計專利容易相互混淆。」[7],本案法院肯認設計特徵H和h存在較大差異,如依照ㄧ般專利侵權判斷方法,將無法認定專利侵權,惟依外觀設計專利所採之「整體觀察、綜合判斷」方法,在整體視覺效果無影響的情況下,依然可認定為專利侵權。 叄、本案認定   蘋果公司主張其產品與系爭專利存有極大差異,於六面視圖中均有體現。而北京市知產局則認為,經比對分析,蘋果公司系爭兩款手機與佰利公司推出之手機100C,雖然有一系列的差別,但其中圓形「home」鍵設計、側面按鍵形狀與布局、揚聲器孔與耳機插孔之排列方式等五個區別均為功能性設計,而從正面到背面的過度設計之區別屬一般消費者難以辨識之微小差異,應認二者無顯著區別,故iPhone6、iPhone6 plus落入佰利公司之專利權範圍。   北京市知產局主張外觀設計是ㄧ種美學設計,而非功能性之考慮,此原則經最高人民法院透過《關於審理侵犯專利權糾紛案件應用法律若干問題的解釋》第11條予以肯認,即侵權判斷過程中,對於功能性技術特徵,應不予考慮。且北京市知產局之侵權判斷方法與成都雄峰家具有限公司訴黃興貴案一致,係採「整體觀察、綜合判斷」,縱被控侵權產品之設計與系爭專利間存有局部的巨大差異,惟無影響整體視覺效果時,仍可認定為侵害系爭專利,構成侵權。 肆、結語   我國專利法第121條第1項對設計之定義指對物品之全部或部分之形狀、花紋、色彩或其結合,透過視覺訴求之創作。另於同條第2項將電腦圖像設計納入設計專利保護範圍,而中國大陸專利法並無直接規定圖像設計,而係於2014年規定在其《專利審查指南》第1部分第3章中,此為台灣設計專利與大陸外觀設計專利之規範差異,二者雖有不同,但在設計定義之概念相似,使兩岸之設計專利制度有趨向一同之趨勢。   在產品外觀設計的保護上,專利法與著作權法可能發生重疊適用的雙重保護,二者區別在於外觀設計專利有著產品載體的限制,而著作權著眼於思想創作的保護,具體附著於何種產品載體在所不問。中國大陸法院在樂高玩具案[8[中表示:作品雖已申請外觀設計專利,但並不妨礙同時或繼續得到著作權保護。此對於創作者之智慧財產可謂多重保障。   惟目前中、台在外觀設計專利之申請審查要件仍容有差異,除產業利用性、新穎性外,中國大陸外觀設計專利採區別性,台灣設計專利則採創作性,二者標準不同。由於中國大陸政府輔導當地公司專利申請的同時,會傾向做出有利於當地供應商的決定,期望可透過本文就中國大陸之外觀專利申請要件與侵權判定進行之介紹,提供我國業者在兩岸進行專利布局時參考之用。 [1] 崔國斌,《專利法:原理與案例》,北京大學出版社,頁898(2016)。 [2] 曾陳明汝、蔡明誠,《兩岸暨歐美專利法》,新學林出版股份有限公司,頁71(2009)。 [3] 同註1,頁899。 [4] 羅霞,《外觀設計專利相近似的司法判斷》,人民司法第13期,頁9(2012)。 [5] 崔國斌,《專利法:原理與案例》,北京大學出版社,頁933(2016)。 [6] 崔國斌,《專利法:原理與案例》,北京大學出版社,頁939(2016)。 [7] 成都雄峰家具有限公司訴黃興貴案,四川成都中院(2010)成民初字第191號。 [8] 英特萊格公司訴可高(天津)玩具有限公司案,北京高院(2002)高民終字第279號。

雲端時代資料保險機制之解析

雲端時代資料保險機制之解析 科技法律研究所 2013年12月05日 壹、前言   資訊時代,資訊應用所帶來的風險幾乎無可迴避,且往往帶來莫大衝擊;尤其在網路應用普及之後,大量資料透過網路傳輸、流通而暴露於資訊安全的風險當中,縱有再有高層級的防護,也無法使資料受損或漏失的風險機率降至零,因此有論者以為,對於無法藉由資訊安全措施加以避免的「殘餘風險」(Residual Risk),應由「保險機制」予以移轉。本研究特探討本議題,以呼應目前日益進展的保險產品發展趨勢。   此類的保險機制,一般稱為資料保險,專門填補網路應用所造成的風險,諸如網路安全(Network security)之欠缺所造成的損失,或者隱私(Privacy)被害所造成的損失。依據產業觀察者意見,此類保險產品的市場正有逐漸擴張的趨勢,尤其是對於健康照護服務(Health care)以及中小型的業者而言,此類保險對於風險管理服務可以發揮長足的作用,其能夠填補資料被害的通知成本、信用監控以及加強資料防護的成本[1]。   本文以雲端運算應用的興起為背景,觀察相應保險機制的演進及發展;以及其對於產業發展而言,為何被視為不可或缺的配套機制,進一步檢視我國推動資料保險的可行性與條件。 貳、資料保險機制的發展 一、資料保險的種類   用來填補資料受害之損害的保險,一般被稱為「資料保險」,尚可見以「網路保險」或「隱私保險」稱之。與其直接定義何謂「資料保險」,不如分析此保險的涵蓋範圍。此類保險早在十幾年前出現,當時其保險範圍,是填補資料被害所引發的損害賠償責任[2]。   財產保險可分成兩大類型,一類是一般的財產損害,即保險事故發生導致被保險人的財產減損或喪失,承保此類財產損失之保險,即英美法系所稱之「第一方保險」(First-party coverage)。另一類則是責任保險,即保險事故發生導致被保險人應負擔法律上責任或契約上損害賠償責任,承保因被保險人應負擔責任之財產損失,即所稱之「第三方保險」(Third-party coverage)。   在資料應用環境中,因資料受害導致損害大抵可依上述區分。當遭遇網路犯罪的損害、毀壞(Destroys)或是剝奪被保險人對於資料的使用權限,則屬於第一方財產損失。另一方面,當被保險人所保護、監管(Custody)或控制的第三人資料或資訊,遭遇網路犯罪損害、毀壞或竊取時,將使被保險人必須承受對第三方負擔損害賠償責任、並支付相關費用,此屬於第三方財產損失,例如入侵資訊系統而竊取信用卡資訊、受保護的個人資料、及銀行的帳戶號碼,又如妨礙有合法權限的第三人近用系統,以及違反法規所要求而未向第三人通知資料侵害等…[3]。 二、資料受害所致損害是否得請求保險賠償過往有很大爭議   傳統的財產保險,由於未指明承保因資料被害所致損失,往往會在被保險人因資料被害導致財產損失而請求保險賠償時,發生很大的爭議。主要的原因是,傳統的財產保險其設計原則,是以被保險人對於有形財產的「保險利益」作為「保險標的」,並以有形財產受損來估算保險損害,並未考量到資料等無形財產。因此,起因於資料或類似形態的程式、軟體之缺損所致的損害,是否可能在傳統財產的保險範圍內,頗有疑義,且司法實務上的意見相當分歧,茲整理如下。 (一)有利於被保險人的實務見解   在America Guarantee & Liability Insurance Co. v. Ingram-Micro[4].中,Ingram-Micro因幾分鐘的電力中斷,導致電腦資產與資料的喪失而嚴重影響正常的業務運作,遂依業務中斷保險(Business-interruption insurance)請求保險賠償,但遭受保險公司拒絕,保險公司提起訴訟並宣稱承保範圍未包含電腦與其他資產。地方法院認為,被保險人客製軟體程式的喪失,構成「具體損害」,具體損害不限於電腦迴路的被有形損毀或傷害,也會包含無法近用(Loss of access)、無法使用(Loss of use)以及功能喪失。   另一案Lambrecht & Associates, Inc. v. State Farm Lloyds[5],保險公司認為電腦病毒感染所造成的損失,非有形損失,因而拒絕保險給付。法院認為,本案之電腦系統以及儲存的資料皆因病毒感染而毀壞、被置換(Replaced),此種結果,等於電腦系統完全無法接收、發送或回復任何形態的資訊,而完全失去作為電腦系統的效用;因此未接受保險公司的主張。   近期一例為責任保險爭議。Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co.[6]中,Retail Venture是DSW鞋子盤商,2005年時它的電腦系統遭駭客入侵,共有百萬筆的客戶資料遭不當下載且許多資料夾也被翻閱過。由於DSW向Nat'l Union購買商業竊盜險,在其承保項目中包括電腦與資金移轉詐欺(Computer & Fund transfer fraud coverage),DSW遂向保險公司請求保險賠償,主張此次駭客入侵所造成的損失有530萬元之多,但保險公司拒絕給付賠償金。於是DSW對保險公司提起訴訟,地方法院認定保險公司應支付保險賠償,保險公司不服,提起上訴至巡迴法院,巡迴法院認為,條款規定雖是限於該損失是由保險事故「直接造成」(Resulting directly from),但這不代表該保險事故必須是造成損失的「唯一」(Solely)與「立即」(Immediately)的原因[7],因此維持地方法院的判決。 (二)有利於保險人的實務見解   在America Online, Inc. v. St. Paul Mercury Insurance Co.中,由於America Online(AOL)所生產的網路接取軟體AOL 5.0據稱會毀壞用戶的電腦系統,因而被客戶訴訟求償,AOL依責任保險內容,轉而請求保險公司應替其進行訴訟防禦,遭保險公司拒絕。為此,AOL對保險公司提起訴訟,法院遂檢視保險契約中是否載明保險公司有進行訴訟防禦的義務。契約中將情境限於「有形」財產損失,法院解釋,從字義上一般不會認為電腦資料、軟體及系統是「有形」財產,因為有形財產應是指可以觸摸(Be touched),但電腦資料、軟體及系統無法被感官感知,因此是無形財產。此外契約中亦有「功能降低除外條款」,意即,不良品或者危險產品所造成的損害非有形,故被排除在承保範圍內。法院據此否認AOL的主張[8]。 三、「新」資料保險產品應運而生   從上述實務案例的觀察,作成不利於被保險人判決結果的法院,是直接認定電腦資料、軟體與系統為無形財產。反之,作成有利於被保險人判決結果的法院,是將「資料」(程式或軟體)與「電腦系統」合為觀之,而認定電腦系統為有形財產,把電腦系統無法發揮正常作用視為具體損害。即使判決結果可能有利於被保險人,但是解釋方式卻較為迂迴,也顯得被保險人相當艱辛。 參、外國資料保險機制之發展實例與推動   雲端運算發展日益普遍日後,可以透過網際網路提供資訊服務(例如儲存空間、應用程式等),「資料」已然不附載在特定或固定的載體(電腦系統)上。因應整體資訊應用形態的轉變,國內外市場上逐漸有相關資料保險產品推出的案例。 一、實例   第一個例子,MSPAlliance是一個資源管理服務業者暨認證聯盟,於2013年4月與保險經紀公司Lockton 合作,設計「雲端暨管理服務」保險(Cloud and Managed Services Insurance),讓其聯盟會員提供資訊服務時得以購買此保險;承保項目包括因網路攻擊、資料滅失或系統故障而導致應負擔損害賠償責任,以及因技術錯誤或無法作用(Tech Errors & Omissions)所導致的損害賠償責任,亦包含在內。至於被保險人的資格要求,則限定是聯盟會員,且必須通過Unified Certification Standard (UCS)驗證。事實上,要求被保險人取得一定的驗證,是保險風險管理很重要的ㄧ環。   第二個例子,雲端保險服務平台Cloudinsure於2013年2月宣布與保險經紀公司Lockton合作,擬設計適於雲端環境的隱私與安全責任保險方案。其保險產品內容主要在確保雲端服務提供者可履行在契約、或服務水準協議(Service Level Agreements)中的承諾,再者也能依據其客戶存放於雲端環境之資料的風險層級,給予金錢防護。 第三個例子,與前兩例不同,是針對一般的資訊服務使用者來設計。保險經紀公司達信(Marsh)於2012年6月針對雲端環境的企業使用者,開發新的保險方案CloudProtect。被保險人是採用雲端服務的中小型企業,承保項目包括:因雲端服務中斷所致的營運收入損失(Loss of income)、因採購新的雲端服務提供者所產生的相關費用支出、因資料轉換至新的雲端服務所產生的相關費用支出。 二、政府的參與及投入推動   美國的國家技術標準局(Institute of Standards and Technology, NIST)在規劃新網路時代藍圖時,把持續促進資料「保險」(Cyber Insurance),列為關鍵的一角。從這個角度而言,保險不僅具有轉移風險與填補損害的功能,更具有正面積極的意義,可作為新興技術發展的後盾。對於NIST這樣的主張,美國保險人協會(American Insurance Association)也予以呼應,認為針對網路應用環境而持續開發各種保險產品,是勢在必行的方向。 (一)政策推導   美國證券交易委員會指引(2011年),建議公司若為因應資安風險而購買保險產品,應列入資訊揭露範圍。此被認為是間接鼓勵企業購買相關保險產品的具體措施之一。 (二)政府機關作為被保險人購買資料保險之例   美國有以政府機關名義購買資料相關保險之例,蒙大拿(Montana State Government)購買「網路資料安全保險」(Cyber/Data Information Security Insurance),為期一年(2012年7月1日至2013年7月1日),保險項目包括:資訊安全責任(每次事故保險賠償上限200萬美元)、行政罰款(每次事故保險賠償上限200萬美元)、損害通知支出(每次事故保險賠償上限100萬美元)、網站媒體披露支出(每次事故保險賠償上限200萬美元)、每次保險事故發生以200萬美元為總保險賠償限額。此案之保險業者為Beazley,保險經紀人為Alliant Insurance Services。值得特別注意的是,保險項目當中包含損害通知支出,此是呼應了美國相關法令要求業者必須於獲悉資安事故時踐行通知相關的資料主體。   資安事故的確實可能使政府機關蒙受莫大損失,美國南卡羅萊納州稅務局(South Carolina Department of Revenue)2012年發生駭客攻擊事件,州政府花費約2000萬美元收拾殘局,其中1200萬美元用來作為市民身份被竊後的信用活動監控,其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 肆、結論-我國推動相關資料保險機制可行性之總合評析   現階段我國相關保險市場的現況,為因應我國個人資料保護法的通過與正式實施,也有推出資料相關保險產品,目標客群為企業,以協助企業因應觸及個人資料可能產生對他人的損害賠償責任、及填補其他附帶損害為主要訴求。至於,針對業者(被保險人)因提供資訊服務過程中的資料被害、毀損滅失所導致營業損失(營運中斷、負擔契約上損害賠償責任)之損害填補,似尚未有相關保險產品推出。考其原因,是保險業者對於此種因無形財產(資料)所導致損害的保險賠償模式,尚未累積足夠的經驗,也缺乏相關精算數據的掌握,因而不敢貿然承作,另一方面,保險業者本身也擔憂無足夠資力因應大規模的保險事故。 對此現象,我國主責資訊服務產業推動的有關政府部門,也思及政府投入參與資料保險機制,例如推動以機關為被保險人而購買相關的資料保險,藉以活絡資料保險市場;此種構想,在法律層面並無疑義,此乃保險賠償與國家賠償機制雖有各自目的,但未有所衝突[9]。然而,實際操作上,必須考量政府機關資訊系統是否能通過保險業者的保險風險查核、是否有足夠的預算足以支付保險費用、以及決策單位是否能有效與資訊業務單位溝通以評估購買此類保險的需求...等諸多問題。   事實上,我國相關資料保險市場要邁向成熟發展,尚待多方努力,除保險業者本身規劃並提出合適的保險產品之外,參酌國外經驗,保險經紀公司也能扮演一定角色,可針對客戶需求量身訂作風險評鑑、研提最符合的保險方案,並藉客戶共同需求而匯聚保險風險共同團體。政府所扮演之角色,除直接以政策推導之外,尚能在若干條件齊備之後實際參與保險機制,其後續方向值得關注。 [1]Collin J. Hite, Top lawyers on trends and key strategies for the upcoming year the ever-changing scope of insurance law, Aspatore Feb. 2013. [2]http://www.computerweekly.com/news/2240202703/An-introduction-to-cyber-liability-insurance-cover (last visited at Oct. 24, 2013) [3]Jack Montgomery, Cybercrime losses and insurance for property damage and third-party claims, Maine Bar Journal, Summer 2012, p. 159. [4]Civ. 99-185 TUC ACM, 2000 U.S. Dist. Lexis 7299 (D. Ariz., April 19, 2000). [5]Lambrecht & Associates, Inc. v. State Farm Lloyds, 119 S.W.3d 16, 25 (Tex. App. 2003). [6]Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co. of Pittsburgh, Pa., 691 F.3d 821 (6th Cir. 2012). [7]Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co. of Pittsburgh, Pa., 691 F.3d 821 (6th Cir. 2012), p.13. [8]America Online, Inc. v. St. Paul Mercury Ins. Co., 207 F. Supp. 2d 459 - Dist. Court, ED Virginia 2002, P.461-462. [9]請參考96年法務部法律字第0960003420號函。

因應生成式AI使用的營業秘密保護對策

美國智慧財產律師於2026年4月撰文說明兩件聯邦地方法院之判決揭示將機密資訊分享於生成式AI平台上的重大風險。 在Trinidad v. OpenAI 案中(Trinidad使用ChatGPT開發出AI框架,並將其框架申請美國專利,其主張OpenAI 後續申請專利之產品係基於使用其成果所開發,惟法院駁回原告依據美國營業秘密保護法(即DTSA)提出使用ChatGPT的產出物”專有AI開發框架(proprietary AI development frameworks,簡稱框架)為其營業秘密之主張,理由是原告在使用ChatGPT創建這些框架時,是自願向OpenAI 揭露其框架相關資訊。本案中,法院認為,原告使用ChatGPT創建框架時未有採取保密措施,且基於接受OpenAI的使用條款,也就是同意於未建立任何保護下揭露資訊,而不屬於DTSA保護的營業秘密。 在United States v. Heppner案中(被告Heppner 因涉及金融詐騙案件遭起訴,其收到法院傳票後使用Claude AI,將該案件的案件事實、可能的抗辯事由、法律分析和防禦策略輸入至Claude AI,使用AI產出法律分析報告),則是強調使用公開可得的生成式AI平台所建立之文件不受律師與當事人間之秘匿特權( attorney-client privilege)保護,因為在AI平台記錄的對話內容,在沒有與平台合約約定保密義務時,這些內容並不具保密性。本案主要探討於被告與Claude AI之間之對話紀錄是否符合律師與當事人間之秘匿特權之範圍,法院認為Claude AI並非律師,兩位非律師之人的法律討論並不享有特權,且成立律師與當事人間之秘匿特權需建立於當事人與有委託關係之律師(或其代理人:實習律師、法務助理等)因為法律諮詢目的之通訊內容。此外,被告與Claude AI之間的通訊並非機密,因為Claude AI的用戶須同意「Anthropic (Claude AI之開發商)收集用戶輸入與輸出資料,利用這些資料訓練 Claude,並保留向第三方(包括政府監管機構)揭露此類資料的權利」,故法院未將律師與當事人間之秘匿特權延伸至AI平台產出的資訊。 在如今生成式AI已被普遍使用之時代,AI工具可提高生產力及工作效率,而對企業而言,開放員工使用AI時應留意公司是否有對使用AI工具提供相應的管理措施。可參考的管理方式有二: 作法其一是:建立企業內部的生成式AI平台 在此狀況下與AI共享的資訊只會留在公司的環境中,並且員工會受到聘用條件中所簽署過的保密協議拘束,此種做法可提供強而有力的保護,但也需要公司投入大量財務資源,惟許多企業未有足夠資源採取此做法。 作法其二:企業從商業生成式AI供應商取得企業授權 企業可跟AI供應商簽定特殊的授權模式,例如約定除了為遵守法律規範或防止濫用之情況外均不儲存輸入或輸出之資訊、約定不會使用其資料進行AI模型訓練、不向第三方揭露客戶所提供之資訊等保密條款,此類保密條款約定會被視為合理保密措施。 企業亦須留意法院在檢視是否成立合理保密措施時,通常只有簽訂相關保密條款並不足夠,法院通常會審查是否有其他保護措施,例如哪些員工有權使用AI平台、是否規範哪些資訊可用/不可用於AI平台、員工是否簽署對其使用AI平台應遵守之義務的確認書等。此外,企業還須避免員工以個人消費者帳號(非企業用戶權限)於AI平台輸入公司機密資訊,而使公司在不知情狀況下同意AI供應商使用其公司機密資訊。因此,企業應建立明確政策,限制員工將公司機密資訊輸入任何AI平台,並留存管理存取紀錄。 由前面兩個案件我們可了解,在未有適當合約與相關保密措施的情況下,於公開的生成式 AI 平台分享機密或專有資訊,法律上等同於向全世界揭露該資訊。法院於營業秘密、律師與當事人間之秘匿特權不太可能對 AI 相關揭露行為做出特別豁免。因此,對於AI工具的使用,企業至少需確保使用的是在具備適當合約保護的商業或企業級 AI 平台,制定明確的內部政策規範可輸入 AI 平台的資訊,提供員工相關訓練,並審核現有的營業秘密保護計畫找出因應AI工具使用的相關風險並予以補強。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://keid.nat.gov.tw/tips/)

TOP