美國聯邦巡迴上訴法院就Myriad案判決人體基因具可專利性

　　人工智慧（Artificial Intelligence, AI）的應用，已逐漸滲透到日常生活各領域中。為提升AI運用之效益，減少AI對個人與社會帶來之負面衝擊，英國資訊委員辦公室（Information Commissioner’s Office, ICO）於2019年3月提出「AI稽核框架」（Auditing Framework for Artificial Intelligence），作為確保AI應用合乎規範要求的方法論，並藉機引導公務機關和企業組織，評估與管理AI應用對資料保護之風險，進而建構一個可信賴的AI應用環境。 　　AI稽核框架主要由二大面向所構成—「治理與可歸責性」（governance and accountability）以及「AI特定風險領域」（AI-specific risk areas）。「治理與可歸責性」面向，係就公務機關和企業組織，應採取措施以遵循資料保護規範要求的角度切入，提出八項稽核重點，包括：風險偏好（risk appetite）、設計階段納入資料保護及透過預設保護資料（data protection by design and by default）、領導管理與監督（leadership management and oversight）、政策與程序（policies and procedures）、管理與通報架構（management and reporting structures）、文書作業與稽核紀錄（documentation and audit trails）、遵循與確保能力（compliance and assurance capabilities）、教育訓練與意識（training and awareness）。 　　「AI特定風險領域」面向，則是ICO特別針對AI，盤點下列八項潛在的資料保護風險，作為風險管理之關注重點： 一、 資料側寫之公平性與透明性（fairness and transparency in profiling）； 二、 準確性（accuracy）：包含AI開發過程中資料使用之準確性，以及應用AI所衍生資料之準確性； 三、 完全自動化決策模型（fully automated decision making models）：涉及人類介入AI決策之程度，歐盟一般資料保護規則（General Data Protection Regulation, GDPR）原則上禁止無人為介入的單純自動化決策； 四、 安全性與網路（security and cyber）：包括AI測試、委外處理資料、資料重新識別等風險； 五、 權衡（trade-offs）：不同規範原則之間的取捨，如隱私保護與資料準確性； 六、 資料最少化與目的限制（data minimization and purpose limitation）； 七、 資料當事人之權利行使（exercise of rights）； 八、 對廣泛公共利益和權利之衝擊（impact on broader public interests and rights）。 　　ICO將持續就前述AI特定風險領域，進行更深入的分析，並開放公眾討論，未來亦將提供相關技術和組織上之控制措施，供公務機關及企業組織進行稽核實務時之參考。

加州州長Gavin Newsom 早先簽署了《加利福尼亞州適齡設計法》（California Age-Appropriate Design Code Act AB 2273，以下簡稱該法），2023年4月28日，倡議團體與聯邦政府官員提交一份意見陳述以支持該法，預計於2024年7月1日生效；針對提供線上服務、產品給18歲以下加州兒童的企業進行管制。 該法的適用範圍： 1. 倘若企業提供的線上服務、產品或功能符合以下條件，則受該法所規範： (1) 提供服務的對象為兒童（年齡於13歲以下的孩童）之網路服務商。 (2) 所提供之服務包括兒童經常瀏覽的網站，或者確定是廣泛被兒童使用的線上服務、產品或功能。 2. CPRA（California Privacy Rights Act）所規範之「企業」，是位於加州並蒐集加州居民個人資料的營利性組織，其須滿足以下條件之一： (1) 年度總收入超過 25,000,00美元，或是每年單獨或聯合購買、出售或共享100,000名以上加州居民或家庭的個人資料，或者年收入的50％以上來自出售或共享加州居民的個人資料。 (2) 該法不適用於網路寬頻服務、電信服務或實體買賣行為。 一. 規範內容 1. 資料保護影響評估：企業針對所營事業須完成資料保護評估，且必須每兩年自主進行資料安全確認。 2. 最高級別隱私權設置：企業對於兒童使用者，須預設最高等級之隱私權設置及保護。 3. 隱私政策和條款：企業必須簡明的提供隱私政策、服務條款和明確標準，並使用與兒童年齡相符的清晰語言，以便兒童理解語意。 　(1) 將兒童依據年紀分為：0至5歲為「早期識字階段」、6至9歲為「核心小學階段」、10至12歲為「過渡階段」、13歲以上為「早期成年階段」。 　(2) 定位服務：要求企業在兒童的活動或位置受到父母、監護人或其他消費者的監控或追蹤時，向兒童明確提醒。 該法針對兒童制定嚴謹的法規予以保護，確保兒童個人資料不會在沒有認知的情況下，因使用服務而被蒐集、處理及利用。該法特殊的地方為，對於未成年人進一步區分不同年齡段，若有明確區分出並針對各年齡段進行不同的告知事項設計，將更易使閱讀之未成年人明確了解個資告知內容，應值贊同。

　　2017年10月，美國知名保險公司Farmers Insurance Group（下稱Farmers）在加州法院提訴，控告前員工Venkatesh Kamath（下稱Kamath）、前資訊長Shohreh Abedi（下稱Abedi）和競爭對手American Automobile Association（下稱AAA協會）旗下的Automobile Club of Michigan（下稱Auto Club）竊取營業秘密。 　　Farmers聲稱，於2015年起使用Guidewire Software（下稱Guidewire），以更新其理賠處理和保險服務系統。Kamath因Guidewire業務，接觸到Farmers高度敏感與機密資訊。Abedi前為Kamath上司，曾監督Guidewire計畫初期階段。之後Abedi至Auto Club任職，協助Auto Club轉換使用Guidewire，並挖角包括Kamath在內許多Farmers員工。Kamath離職前，從Farmers電腦中拷貝超過6400份檔案，其中包括與Guidewire計畫及Famers核心業務相關的營業秘密資訊。 　　Farmers控訴Kamath、Abedi及Auto Club違反加州營業秘密法（California Trade Secret Act）、從事不公平競爭、違反忠實義務及其他事由，除訴請賠償外，也請求法院禁止被告使用其營業秘密。 　　本案非Farmers與AAA協會首次因營業秘密事宜而對訟。2010年間，Farmers曾控告AAA協會旗下Auto Club Group竊取其投保客戶機密資訊，惟該案當時經法院以Farmers未能證明有何損失或損害為由，駁回其訴。Farmers公司於2017年10月對Auto Club提起的本件訴訟，法院實務的發展為何，值得後續觀察。

日本獨立行政法人情報處理推進機構（下稱IPA）於2025年10月發布美國第二次川普政權數位政策現狀報告（下稱現狀報告），內文聚焦於美國政權輪換後數位政策之變動與解讀，同時提及在推動AI發展的同時，亦應注重其安全性。 日本觀測美國數位政策的現狀報告指出，隨著社會數位化程度日益增加，除了雲端數位資料的累積，以及提升對於AI的依賴程度外，亦會造成釣魚信件難以識別，透過可自動生成程式碼的惡意攻擊型AI進行攻擊行為等AI濫用之風險。 準此，美國為確保AI與資料的安全性，並維持其領域之競爭優勢，於2025年7月23日發布AI行動計畫，並提出三大方針，包括加速AI創新、建構AI基礎設施，以及透過國際性的AI外交與安全保障發揮領導能力。此外，內文亦提及為確保競爭優勢，需要建立作為AI發展基礎的科學資料集，並建置資料中心，同時確保其具備高度安全性，以避免AI使用者輸入AI之資料遭到竄改或外洩。 此外，現狀報告內文提及日本企業Softbank與OnenAI、Oracle等公司共同參與規模達5000億美元的Stargate計畫，並已於德州著手建設AI資料中心，顯示日本在美國的AI基礎建設中扮演重要角色並佔有一席之地。然而，內文亦指出美國數位政策具備不透明性而有潛在風險，須持續留意與關注。 我國企業如欲深耕AI領域，並透過AI進行技術研發，可由建立科學資料集開始著手，以作為訓練AI模型的基礎，以達到運用AI輔助及縮短研發週期、減少研發過程中的試錯成本等效益。此外，為確保安全性，科學資料集建置過程中所需之數位資料，可參考資訊工業策進會科技法律研究所創意智財中心所發布之《重要數位資料治理暨管理制度規範》，建立貫穿數位資料生命週期之資料治理機制。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）