法學新論：從產業全球化佈局觀點論我國研發成果管理之法制政策

　　為建構政府雲發展的妥適環境，美國於今年度啟動「聯邦風險與認可管理計畫」（Federal Risk and Authorization Management Program, FedRAMP），由國家技術標準局（National Institute of Standards and Technology, NIST）、公共服務行政部(General Service Administration)、資訊長聯席會(CIO Council)及其他關連私部門團體、NGO及學者代表共同組成的跨部會團隊，針對外部服務提供者提供政府部門IT共享的情形，建構一個共同授權與持續監督機制。在歷經18個月的討論後，於今（2010）年11月提出「政府雲端資訊安全與認可評估」提案（Proposed Security Assessment & Authorization for U.S Government Cloud Computing），現正公開徵詢公眾意見。 　　在FedRAMP計畫中，首欲解決公部門應用雲端運算所衍伸的安全性認可問題，因此，其將研議出一套跨部門共通性風險管理程序。尤其是公部門導入雲端應用服務，終究會歸結到委外服務的管理，因此本計劃的進行，是希望能夠讓各部門透過一個機制，無論在雲端運算的應用及外部服務提供之衡量上，皆能依循跨機關的共通資訊安全評定流程，使聯邦資訊安全要求能夠協調應用，並強化風險管理及逐步達成效率化以節省管理成本。 　　而在上述「政府雲端資訊安全與認可評估」文件中，可分為三個重要範疇。在雲端運算安全資訊安全基準的部份，主要是以NIST Special Publication 800-535中的資訊安全控制項作為基礎；並依據資訊系統所處理、儲存與傳輸的聯邦資訊的敏感性與重要性，區分影響等級。另一部份，則著重在持續性的系統監控，主要是判定所部署的資訊安全控制，能否在不斷變動的環境中持續有效運作。最後，則是針對聯邦資訊共享架構，出示模範管理模式、方策與責任分配體系。

　　德國聯邦及各邦獨立資料保護監督機關（unabhängige Datenschutzaufsichtsbehörden）共同於2019年4月3日，召開第97屆資料保護會議通過哈姆巴爾宣言（Hambacher Erklärung，以下簡稱「Hambacher宣言」）。該宣言指出人工智慧雖然為人類帶來福祉，但同時對法律秩序內自由及民主體制造成巨大的威脅，特別是人工智慧系統可以透過自主學習不斷蒐集、處理與利用大量個人資料，並且透過自動化的演算系統，干預個人的權利與自由。 　　諸如人工智慧系統被運用於判讀應徵者履歷，其篩選結果給予女性較不利的評價時，則暴露出人工智慧處理大量資料時所產生的性別歧視，且該歧視結果無法藉由修正資料予以去除，否則將無法呈現原始資料之真實性。由於保護人民基本權利屬於國家之重要任務，國家有義務使人工智慧的發展與應用，符合民主法治國之制度框架。Hambacher宣言認為透過人工智慧系統運用個人資料時，應符合歐盟一般資料保護規則（The General Data Protection Regulation，以下簡稱GDPR）第5條個人資料蒐集、處理與利用之原則，並基於該原則針對人工智慧提出以下七點個資保護之要求： （1）人工智慧不應使個人成為客體：依據德國基本法第1條第1項人性尊嚴之保障，資料主體得不受自動化利用後所做成，具有法律效果或類似重大不利影響之決策拘束。 （2）人工智慧應符合目的限制原則：透過人工智慧系統蒐集、處理與利用個人資料時，即使後續擴張利用亦應與原始目的具有一致性。 （3）人工智慧運用處理須透明、易於理解及具有可解釋性：人工智慧在蒐集、處理與利用個人資料時，其過程應保持透明且決策結果易於理解及可解釋，以利於追溯及識別決策流程與結果。 （4）人工智慧應避免產生歧視結果：人工智慧應避免蒐集資料不足或錯誤資料等原因，而產生具有歧視性之決策結果，控管者或處理者使用人工智慧前，應評估對人的權利或自由之風險並控管之。 （5）應遵循資料最少蒐集原則：人工智慧系統通常會蒐集大量資料，蒐集或處理個人資料應於必要範圍內為之，且不得逾越特定目的之必要範圍，並應檢查個人資料是否完全匿名化。 （6）人工智慧須設置問責機關進行監督：依據GDPR第12條、第32條及第35條規定，人工智慧系統內的控管者或處理者應識別風險、溝通責任及採取必要防範措施，以確保蒐集、處理與利用個人資料之安全性。 （7）人工智慧應採取適當技術與組織上的措施管理之：為了符合GDPR第24條及第25條規定，聯邦資料保護監督機關應確認，控管者或處理者採用適當的現有技術及組織措施予以保障個人資料。 　　綜上所述，Hambacher宣言內容旨在要求，人工智慧在蒐集、處理及利用個人資料時，除遵守歐盟一般資料保護規則之規範外，亦應遵守上述提出之七點原則，以避免其運用結果干預資料主體之基本權利。

　　加拿大隱私專員表示，其國人在美國雖享有一些隱私保護，但該保護主要係依賴不具法律效力之行政協議，因而相當脆弱。 　　隱私專員Daniel Therrien在一封致加拿大司法部長、公共安全部長及國防部長的公開信中，請求加拿大政府官員們向其對口之美國政府部門，要求藉由將加拿大列入美國國會去（2016）年通過之「司法賠償法案（Judicial Redress Act of 2015）」指定國家清單，以強化對其國人之隱私保護。隱私專員並表示，國人關切並請加拿大隱私專員辦公室（OPC）針對美國總統唐納．川普（Donald John Trump）所發布之行政命令進行影響評估，因其將排除非美國公民及合法永久居民隱私權法中關於個人可資識別資料之保護。 　　倘若加拿大能如同歐洲聯盟（European Union）及26個歐洲國家一般，於今年初時被列入前述指定清單，則其公民即可透過美國法院之強制執行，獲得隱私保障。此外亦可同時強化行政協議，如：美加邊境安全行動計劃（Canada-U.S. Beyond the Border Action Plan）及其聯合隱私聲明原則（Joint Statement of Privacy Principles）給予加拿大人之保護。 　　聯合隱私聲明原則涵括12項，其重要者有： 1.善盡一切合理努力，確保個人資料之正確性，以及後續請求查閱及更正錯誤之權利。 2.個人資料適當安全維護措施。 3.蒐集個人資料之相關性及必要性。 4.當事人認為其隱私受侵害時，得受繼有國家當局之賠償。 5.公務機關之有效監督。 　　縱算美國隱私權法自始即從未適用於加拿大人，且前開行政命令亦未改變現況，該命令仍突顯出「在南邊境上對加拿大人個人資料保護的顯著差距」。 「作為一個長期盟友以及密切的貿易夥伴，加拿大應要求被給予和那些經指定列入清單之歐洲國家相同程度之保護。」

　　今（2022）年2月28日卡地亞（Cartier）控訴精品珠寶領域的競爭對手蒂芙尼（Tiffany & Co.），聲稱其在卡地亞前員工的幫助下，竊取獨家商品的營業秘密。 　　歷峰北美公司（Richemont North America Inc.）旗下的卡地亞今年2月28日於美國紐約州法院起訴蒂芙尼和卡地亞前襄理（Junior Manager）梅根瑪莉諾（Megan Marino），控訴瑪莉諾於跳槽前下載卡地亞的高級珠寶業務機密資訊， 並於去年11月加入蒂芙尼後將資訊傳送給新同事。蒂芙尼發言人發出否認聲明，卡地亞的指控毫無根據。 　　根據訴訟聲明，蒂芙尼聘請瑪莉諾負責包括單價高達1000萬美元（約新台幣2.8億）的高級珠寶系列，蒂芙尼法律部門從卡地亞獲得通報後，於今年2月份解僱瑪莉諾，但卡地亞聲稱，蒂芙尼的高階主管已經獲得大量的卡地亞機密和營業秘密資訊。 　　這並非卡地亞第一次指控跳槽至蒂芙尼的前員工試圖竊取營業機密。2014年，卡地亞起訴一名前廣告主管，據稱其試圖讓她的前助理隨身攜帶機密資訊一同加入蒂芙尼，該訴訟於次年和解。 　　本文同步刊登於TIPS網站（https://www.tips.org.tw）