延長專利保護對產業研發創新的效應思考－兼談專利法修正草案第54條

馬來西亞個人資料保護委員會（Personal Data Protection commissioner，下稱個資保護委員會）於2023年度收受與個人資料（下稱個資）濫用、外洩相關申訴案件數量達779件，成長數量令人憂心。為確保對於個資保護規範能與國際標準發展同步，並加強個資遭洩漏時即時採取應變措施等相關政策，以解決前述憂心狀況，數位部（Ministry of Digital）於2024年7月10日提出《個人資料保護法》（Personal Data Protection Act 2010, PDPA）修正案，並於同年7月16日經下議院（Dewan Rakyat，馬來語直譯）表決通過。 本次PDPA修正重點包含： 1.設立個資保護官（data protection officer, DPO）制度：強制要求蒐集、處理、利用個資之資料控管者（data controller），及受資料控管者委託而實質處理個資之資料處理者（data processor），均需指派個資保護官。 2.擴張對於敏感性個資（sensitive personal data）定義：與個人身體、生理或行為特徵相關之技術處理所生個資（即生物辨識資料），皆屬之。 3.制訂個資外洩通報制度：強制要求發生個資外洩時須通報個資保護委員會，以及可能受到任何重大損害之個資當事人，惟對於「重大損害」尚未有明確定義。 4.導入資料可攜性：在遵守技術可行性（technical feasibility）與資料格式相容性（data format compatibility）之情境下，允許資料控管者之間在當事人要求下進行資料傳輸。 5.資料處理者的合規遵循義務：舊法僅要求資料控管者須遵守PDPA所規定的安全原則（security principle）；新法則擴及要求資料處理者亦有安全原則之合規遵循義務。 6.提高罰則：舊法對於違反個資保護原則者，最高僅得處300,000馬幣和/或2年監禁；新法提高罰則最高得處1,000,000馬幣和/或最高3年監禁。 7.跨境傳輸規範修正：原則允許資料控管者將個資傳輸至馬來西亞以外，惟應採取適當措施確認及確保資料接收方保護個資之水準與馬來西亞個資法程度相當；並將跨境白名單制度調整為黑名單制度，不得傳輸至政府公布黑名單所列地區。 馬來西亞數位部本次修正PDPA，彰顯該國政府對個資保護之重視，惟關於任命個資保護官資格要求、個資外洩通報重大程度標準等細部規範，則仍須待修正案通過後，經個資保護委員會發布相關指引再行釐清。

2024年3月27日，美國商務部國家電信和資訊管理局（National Telecommunications and Information Administration, NTIA）發布「人工智慧問責政策報告」（AI Accountability Policy Report），該報告呼籲對人工智慧系統進行獨立評估（Independent Evaluations）或是第三方評測，期待藉此提高人工智慧系統的透明度。 人工智慧問責政策報告就如何對人工智慧系統進行第三方評測提出八項建議作法，分別如下： 1.人工智慧稽核指引：聯邦政府應為稽核人員制定適合的人工智慧稽核指引，該指引須包含評估標準與合適的稽核員證書。 2.改善資訊揭露：人工智慧系統雖然已經應用在許多領域，但其運作模式尚缺乏透明度。NTIA認為未來可以透過類似營養標籤（Nutrition Label）的方式，使人工智慧模型的架構、訓練資料、限制與偏差等重要資訊更加透明。 3.責任標準（Liability Standards）：聯邦政府應盡快訂定相關責任歸屬標準，以解決現行制度下，人工智慧系統造成損害的法律責任問題。 4.增加第三方評測所需資源：聯邦政府應投入必要的資源，以滿足國家對人工智慧系統獨立評估的需求。相關必要資源如： (1)資助美國人工智慧安全研究所（U.S. Artificial Intelligence Safety Institute）； (2)嚴格評估所需的運算資源與雲端基礎設施（Cloud Infrastructure）； (3)提供獎金和研究資源，以鼓勵參與紅隊測試的個人或團隊； (4)培養第三方評測機構的專家人才。 5.開發及使用驗證工具：NTIA呼籲聯邦機關開發及使用可靠的評測工具，以評估人工智慧系統之使用情況，例如透明度工具（Transparency Tools）、認驗證工具（Verification and Validation Tools）等。 6.獨立評估：NTIA建議聯邦機關應針對高風險的人工智慧類別進行第三方評測與監管，特別是可能侵害權利或安全的模型，應在其發布或應用前進行評測。 7.提升聯邦機關風險管控能力：NTIA建議各機關應記錄人工智慧的不良事件、建立人工智慧系統稽核的登記冊，並根據需求提供評測、認證與文件紀錄。 8.契約：透過採購契約要求政府之供應商、承包商採用符合標準的人工智慧治理方式與實踐。 NTIA將持續與利害關係各方合作，以建立人工智慧風險的問責機制，並確保該問責報告之建議得以落實。

歐盟於2024年4月26日通過重型車輛二氧化碳排放性能標準（Regulation （EU）2019/1242）修正案，加速交通運輸部門的脫碳進程，以實現2050年淨零排放目標。修法重點如下： （1）擴大適用範圍：除了現有的卡車外，亦納入市區公車、長途巴士（7.5噸以上）、拖車等車型，如垃圾車等特種車輛也將從2035年起納入管制。而歐盟執委會將於2027年評估是否將5噸以下小型貨車也納入規範。 （2）明確減排目標：要重型車輛的二氧化碳排放量在2030年、2035年和2040年分別較2019年減少45%、65%和90%。求2030年起，90%的新售市區公車必須為零排放車輛，並在2035年達到100%零排放。 （3）技術中立原則：允許製造商選擇電動化、氫燃料電池或氫內燃機等不同技術路線來達成減排目標。 （4）豁免及彈性條款：針對礦業、林業和農業用車，以及軍用、緊急救災和醫療用途車輛等特殊用途車輛，或年產量低於100輛的小型製造商，新法將不強制納管。且為確保產業公正轉型，歐盟也提供相關培訓和資金援助，協助產業轉型和勞工技能提升。 歐盟執委會將於2027年評估這項規範的實施成效，並考慮納入更多車型、制定全生命週期碳排放計算方法，以及評估可再生燃料在交通運輸部門脫碳進程中的作用。

　　位於美國紐約州的一家知名藥廠2007年9月初宣佈其已確認大約有34000名員工的個人資料從某位員工的電腦外洩並遭人非法下載。 　　整起事件係導因於一位藥廠的員工自行於公司配發的筆記型電腦上安裝未經授權的檔案分享軟體，導致大約有34000名員工的個人資料在網路上被人下載流傳。至於因這起事件遭到外洩的個人機密資料包括員工姓名、社會福利號碼、出生日期、電話號碼和銀行信用狀況等等。 　　美國司法部門目前已針對這起資料外洩事件展開調查，並要求這家藥廠針對他們用來防止資料外洩的處理方式以及事件發生時的所有相關應變措施提出報告。根據調查，事實上早在今年7月10日這家藥廠即已發現這起大量個人資料外洩事件，卻遲至8月24日才以電子郵件通知資料外洩的被害人，反應時間長達六個星期之久，導致損害持續擴大。 　　由這起藥廠員工個人資料外洩事件正可顯示點對點(P2P)網路分享軟體確實潛藏著嚴重的資訊安全風險。透過此類軟體，網路駭客得以完整地掃描他人電腦硬碟中的檔案，讓不知情使用者的機密資料隨時處於高度的風險當中。 　　點對點檔案分享軟體(P2P)，當初開發的目的在於集合眾人電腦之力，增加網路的連結數量，進而快速傳輸檔案。但以此作為入侵他人電腦的工具，甚至未經允許盜取他人的電腦中檔案資料等之新電腦犯罪型態，值得相關主管機關注意。