資訊安全與電子商務－談資訊安全通報機制

美國聯邦貿易委員會（Federal Trade Commission, FTC）於2023年1月提出一項提案，將使所有競業禁止條款無效，惟提案尚未確定。儘管FTC同意該提案將影響對雇主的保護，但也指出營業秘密法已為雇主提供了保護其營業秘密的配套，其中「不可避免揭露原則」（the “inevitable disclosure” doctrine）或許將成為競業禁止協議之替代方案。 不可避免揭露原則是指當公司認為前僱員於新公司任職，將不可避免地使用前公司之營業秘密時，可向法院聲請禁止前僱員至新公司任職。法院通常會考慮下列三個因素，以決定是否基於不當使用營業秘密之「威脅」而授予禁制令救濟，包括： 1.前後雇主是否為提供相同或非常相似服務的直接競爭對手； 2.前僱員的新職位是否與原職位雷同，以至於無法合理地期待該僱員在不利用其前雇主之營業秘密的情況下，能履行其新的工作職責； 3.所涉及的營業秘密對於前後雇主是否都具有相當之價值。 雖然部份州法院指出根據其州法，得適用不可避免揭露原則，但各界對於雇主能否向聯邦法院根據《保護營業秘密法》（Defend Trade Secrets Act, DTSA）援引該原則仍未達成共識。儘管如此，部份聯邦法院強調雇主須明確說明前僱員為何將不可避免地使用或揭露其營業秘密，僅證明前僱員在工作期間獲得機密資訊，並隨後於競爭公司擔任類似職位，不足以證明前僱員將不可避免地使用前公司之營業秘密。 綜上所述，不可避免揭露原則可以防止前僱員不當使用其營業秘密的威脅，但由於聯邦法院對於能否援引該原則的標準仍不明確，僅指出不可避免揭露原則將使雇主面臨較高的舉證要求，故其是否能成為競業禁止協議的替代方案，仍有待觀察。 本文同步刊登於TIPS網站（https://www.tips.org.tw）。

　　Connected Industries為日本產業的未來願景，透過人、機器與科技的跨界連接，創造出全新附加價值的產業社會，以達到Society5.0理想目標。例如，物與物的連接形成物聯網(IoT)、人與機器合作拓展智慧與創新、跨國企業合作解決全球議題、跨世代的人與人連繫傳承智慧與技術、生產者與消費者接觸解決商業與社會問題等。 　　隨著第四次產業革命到來，IoT、大數據及 AI人工製會等技術革新，日本藉由高科技、技術人才及應變能力等優勢與數據技術相結合，目標是邁向以人類為中心、解決問題的新產業社會。Connected Industries的三大支柱分別為： 　　一、新數據社會（New Digital Society） 消除人與機械系統的對立，實現全新的數位化社會。解決新興科學技術如AI及機器人運用上的困難，並積極活用該技術幫助並強化人類解決問題的能力。 　　二、多層次合作（Multilevel Cooperation） 區域、世界及全球未來面臨複雜的挑戰，必須透過企業間、產業間及國與國間的連繫合作解決課題。 　　三、人力資源發展（Human Resource Development） 以人類為中心做思考，積極推展數據技術的人才養成，邁向智慧與技術的數據化時代。

　　2021年4月7日美國聯邦巡迴上訴法院（United States Court of Appeals for the Federal Circuit，下稱CAFC）發布了關於Apple Inc. v. Qualcomm Inc.的裁決，指出因Apple Inc.（下稱Apple）未能滿足提起上訴的資格「證明授權專利的有效性會對授權協議義務產生具體的損害影響」，故駁回其對於專利審理暨訴願委員會（Patent Trial and Appeal Board ，下稱PTAB）做出之US7,844,037與US8,683,362專利（下稱爭議專利）有效性決定的上訴。 　　此案爭議專利是由Qualcomm Inc.（下稱Qualcomm）持有，Qualcomm曾以Apple侵犯爭議專利提起侵權訴訟，Apple隨後在PTAB對爭議專利提出多方複審程序（Inter partes review,下稱IPR），以挑戰爭議專利的有效性，但最後沒有成功。隨後，Apple與Qualcomm達成專利侵權和解協議並簽署了授權契約，授權的專利組合中也包含爭議專利。 　　在專利侵權和解協議後，Apple還是針對IPR的結果向CAFC提起上訴。由於提起上訴條件之一是上訴人需有受到損害的事實，Apple以其需持續支付權利金的義務主張有受到損害的事實。但CAFC認為，Apple並沒有證明若爭議專利被視為無效，則根據其與Qualcomm授權契約所應承擔的付款義務會發生改變。因此，法院裁定Apple不符合對IPR的結果提起上訴的資格。 　　由上述可知，作為專利被授權人，若要在授權契約條件下對爭議專利有效性決定提上訴，需要設法證明爭議專利的有效性會對授權協議義務產生具體的影響，否則被授權人將難以因其具有實質的損害從而讓法院啟動上訴作業。

　　面對層出不窮資料違背或身份竊盜事件，2014年初， FTC於美國國會的例行會議上，就數位時代關於隱私權之保護課題進行作證，會議中，FTC乃呼籲美國國會應立即通過制定一個更強的聯邦資料安全與違背提醒的法律，其也進而提出「個人資料隱私暨安全法案（草案）」 (Personal Data Privacy and Security Act of 2014, S.1897)。該草案主要分成兩大部分: 第一部份，將強化身份竊盜和其他違反資料隱私與安全之懲罰；第二部份，係關於可茲辨識個人資料(PII)之隱私和資訊安全。 　　法案第202條係關於「個人資料隱私與安全機制」（personal data privacy and security program），目的在強化敏感性可茲辨識個人資料的保護，從行政(administrative)、技術(technical)和實體(physical)三個構面的防衛機制，進行相關標準之制訂與落實。有關適用之範疇，乃就涉及州際貿易之商業實體，而該州際貿易包含蒐集、近取、傳輸、使用、儲存或在電子或數位格式處理可茲辨識個人之敏感性資料，而這些資料總計多達1萬筆以上，然而，將不適用於金融機構(financial institutions)、醫療保險轉移和責任法(HIPPA)所管制者、服務提供者(service provider)和公共紀錄(public records)。 　　而在機制設計上，也係從「設計」(DESIGN)、「風險驗證」 (RISK ASSESSEMENT)和「風險管理」(RISK MANAGEMENT)三個角度進行切入，也必須確實提供員工教育訓練(TRAINING)、弱點測試(VULNERABILITY TESTING)、定期驗證和個人資料隱私與安全之更新，另外，在與外部與服務提供者(例如ISP)之關係上，公司必須盡到適當勤勉的義務(due diligence)，也必須透過契約(contract)方式，約定前述所建置起之資料隱私安全機制，並在安全性遭受到侵害時，以合理方式通知締約他方。 　　本案目前在聯邦參議院已經二讀通過，已交付參議院司法委員會進行下一階段的審議，該立法草案未來是否會直接或間接影響物聯網環境生態系統之商業運作，有待未來持續關注之。