Ofcom建議ISP之寬頻廣告應以平均速度為準

　　歐洲法院於2016年12月21日針對英國2014年數據保留及調查權力法案（Data Retention and Investigatory Powers Act 2014；簡稱DRIPA）作出裁決，其認為該法案授權政府機關得要求電信營運商「普遍性及無區別性」保留使用戶之流量及位置數據，並應政府機關指示提供，違反歐盟電子通訊隱私指令（2002/58/EC；E-Privacy Directive），與歐洲聯盟基本權利憲章第7條私生活與家庭生活受尊重之權利，及第8條個人資料受保護之權利。 　　詳言之，歐洲法院認為，歐盟電子通訊隱私指令15(1)，雖承認會員國在保障國家安全、國防、公共安全及預防、調查、偵查及起訴刑事犯罪或未經授權使用電子通信系統之行為下，可立法採取適當措施予以限制電子通訊之隱私權，但由於流量及位置數據是可以藉由保留數據精確得出個人私生活，並據以建立個人簡介，因此，倘允許「普遍性及無區別性」之要求保留數據，對於歐洲聯盟基本權利憲章是非常深遠與特別嚴重之侵害，將導致個人未受任何通知，政府即可要求電信營運商保留數據，使民眾之私生活處於不斷被監視之中。 　　據此，該裁決進一步指出，立法上須具備特定標準及客觀證據，足以證明個人或其數據可能與重大刑事犯罪或恐怖主義有關連性，且保留數據行為具有打擊重大犯罪或預防嚴重公共安全風險之利益，方可限縮歐洲聯盟基本權利憲章所規定之基本權利，且應採取適當保護措施，並確保保留數據於保存期間結束後能徹底且不可復原之銷毀。 　　然而，歐洲法院之此項裁決見解，在英國脫離歐盟已成定局之情形下，其遵循態度與影響力為何，尚不可知，甚且對於其國內於12月實行，以賦予政府更大權力監控民眾之調查權力法案（Investigatory Powers Act. 2016）之衝擊程度為何，亦值得後續觀察。

　　英國資訊專員辦公室(Information Commissioner's Office, ICO)表示不論是否仍為歐盟會員國，英國仍需要明確有效的資料保護法，而關於公投退出歐盟(Brexit)結果，ICO發言人表示：「資料保護法是屬地的，不問公投結果為何，若英國不再是歐盟的成員國，即將施行的一般資料保護規則(General Data Protection Regulation, GDPR)亦不會直接適用於英國。然若英國希望在平等條件下的歐盟單一市場進行交易，我們必須證明資料保護是充足的，亦即英國資料保護標準必須符合2018年即將施行的歐盟的資料保護監管框架。對於許多跨境經營的企業與服務而言，遵循資料保護法律與歐盟一致性規範，既是企業組織，亦是消費者和公民所關注重點。ICO致力於與其他國家的監管機構密切合作，而且未來亦是如此。目前明確的法律保護相當重要，且考量到經濟發展，ICO會向政府提出建議，英國相關法規之改革仍屬必要。」 　　Brexit後，英國企業資料仍需傳輸至第三國，因此英國可能需爭取類似於瑞士、加拿大等，由歐盟執委會認定資料保護符合充足保護水準之模式；或是尋求類似歐盟與美國針對資料傳輸協議模式。然而目前英國的資料保護法(Data Protection Act 1998)與當前的歐盟資料保護指令仍具一致性，而目前資料從英國傳輸至第三國仍然需依標準契約條款(Standard Contractual Clauses)，或英國授權有約束力的企業自我拘束規則(Binding Corporate rules)，然而目前英國退出歐盟程序進行中，相關資料保護傳輸之法規範，仍待後續密切觀察。

2024年7月1日，美國實務界律師撰文針對使用生成式AI（Generative AI）工具可能導致的營業秘密外洩風險提出營業秘密保護管理的強化建議，其表示有研究指出約56%的工作者已經嘗試將生成式AI工具用於工作中，而員工輸入該工具的資訊中約有11%可能包含公司具有競爭力的敏感性資訊或客戶的敏感資訊，以Chat GPT為例，原始碼（Source Code）可能是第二多被提供給Chat GPT的機密資訊類型。系爭機密資訊可能被生成式AI工具提供者（AI Provider）用於訓練生成式AI模型等，進而導致洩漏；或生成式AI工具提供者可能會監控和存取公司輸入之資訊以檢查是否有不當使用，此時營業秘密可能在人工審查階段洩漏。 該篇文章提到，以法律要件而論，生成式AI有產生營業秘密之可能，因為營業秘密與著作權和專利不同之處在於「發明者不必是人類」；因此，由生成式 AI 工具協助產出的內容可能被視為營業秘密，其範圍可能包括：公司的內部 AI 平台、基礎的訓練算法和模型、輸入參數和輸出結果等。惟基於目前實務上尚未有相關案例，故生成式AI輸出結果在法律上受保護的範圍與條件仍需待後續的判例來加以明確。 實務專家提出，即使訴訟上尚未明確，企業仍可透過事前的管理措施來保護或避免營業秘密洩露，以下綜整成「人員」與「技術」兩個面向分述之： 一、人員面： 1.員工（教育訓練、合約） 在員工管理上，建議透過教育訓練使員工了解到營業秘密之定義及保護措施，並告知向生成式AI工具提供敏感資訊的風險與潛在後果；培訓後，亦可進一步限制能夠使用AI工具的員工範圍，如只有經過培訓及授權之員工才能夠存取這些AI工具。 在合約方面，建議公司可與員工簽訂或更新保密契約，納入使用生成式AI的指導方針，例如：明確規定禁止向生成式AI工具輸入公司營業秘密、客戶數據、財務信息、未公開的產品計劃等機密資訊；亦可增加相關限制或聲明條款，如「在生成式AI工具中揭露之資訊只屬於公司」、「限制公司資訊僅能存儲於公司的私有雲上」等條款。 2.生成式AI工具提供者（合約） 針對外部管理時，公司亦可透過「終端使用者授權合約（End User License Agreement，簡稱EULA）」來限制生成式AI工具提供者對於公司在該工具上「輸入內容」之使用，如輸入內容不可以被用於訓練基礎模型，或者該訓練之模型只能用在資訊提供的公司。 二、技術方面： 建議公司購買或開發自有的生成式AI工具，並將一切使用行為限縮在公司的私有雲或私有伺服器中；或透過加密、防火牆或多種編碼指令（Programmed）來避免揭露特定類型的資訊或限制上傳文件的大小或類型，防止機密資訊被誤輸入，其舉出三星公司（Samsung）公司為例，三星已限制使用Chat GPT的用戶的上傳容量為1024位元組（Bytes），以防止輸入大型文件。 綜上所述，實務界對於使用生成式AI工具可能的營業秘密風險，相對於尚未可知的訴訟攻防，律師更推薦企業透過訴訟前積極的管理來避免風險。本文建議企業可將前述建議之作法融入資策會科法所創意智財中心於2023年發布「營業秘密保護管理規範」中，換言之，企業可透過「營業秘密保護管理規範」十個單元（包括從最高管理階層角色開始的整體規劃建議、營業秘密範圍確定、營業秘密使用行為管理、員工管理、網路與環境設備管理、外部活動管理，甚至是後端的爭議處理機制，如何監督與改善等）的PDCA管理循環建立基礎的營業秘密管理，更可以透過上述建議的做法（對單元5.使用管理、單元6.1保密約定、單元6.4教育訓練、單元7.網路與環境設備管理等單元）加強針對生成式AI工具之管理。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

日本獨立行政法人情報處理推進機構於2025年1月28日發布《成為可信賴夥伴的資料治理手冊（下稱《手冊》）》，旨在呼籲企業建立與實施「貫穿資料生命週期的資料治理機制」，藉此將資料價值最大化，並將資料風險最小化。 《手冊》指出，資料驅動著社會發展，資料治理的重要性亦隨之提升。資料治理係指企業或組織透過機制、規則與制度等多種層面的策略性手段管理其重要資料資產，並透過制定相應的政策與規則，確保資料的品質與安全性。同時，考量資料具備易於複製、竄改且流通難以控制的特性，建立完善的資料治理機制亦有助於在共享資料的過程中維持其品質及安全性。推動資料治理的基礎，則仰賴適當且有效的資料管理機制，亦即確保在蒐集、處理、儲存與使用等資料生命週期各階段皆能落實資料管理機制。然而，資料管理本身要能發揮效益，仍須依賴組織具備足夠的資料成熟度，即具備正確處理與應用資料的整體能力，方能系統性的落實管理與治理工作。 根據《手冊》內容，透過資料治理，企業或組織將能確保資料品質、透明度及安全性，並基於可信任的資料進行決策，進而有效提升決策精準度，實現風險管理與法規遵循，進一步強化自身在資料經濟中的「價值」、「信任」與「公正性」。 我國企業如欲逐步建立並落實貫穿資料生命週期的資料治理機制，可參考資訊工業策進會科技法律研究所創意智財中心所發布之《重要數位資料治理暨管理制度規範》，作為制度設計與實務推動之參考，以強化資料治理能力。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）