預先擬定的事故應變計畫可降低資料外洩成本

美國商務部（U.S. Department of Commerce）於2026年3月16日宣布，將依據第14320號總統行政命令（Executive Order 14320），進一步推動「美國AI出口計畫」（American AI Exports Program），徵集由產業界主導的「全端AI技術」（full-stack AI technology）出口提案，旨在透過對外提供整體AI解決方案維持並擴大美國在全球AI領域的領導地位，並降低國際市場對美國競爭對手AI技術依賴。 本次提案申請期間為2026年4月1日至6月30日，徵集對象主要為美國產業核心成員統籌的「預設型聯盟」（pre-set consortia），其組成無特定法律形式或人數限制，惟須具備持續對國際或特定區域市場提供全端AI技術完整方案之能力，並得於特定情況下納入外國企業。 此外，相關提案須涵蓋五大AI技術層面：經AI強化之硬體與基礎設施、資料管道與標記系統、AI模型與系統、資通安全措施，以及特定領域或功能之AI應用。其中硬體部分須具至少51%的美國本土價值。 後續提案選定將由商務部長會同國務卿、戰爭部長、能源部長及白宮科技政策辦公室主任進行評估。提案獲選後，全端AI技術方案即可列入美國政府向外國買家推廣的官方清單中。獲選之產業聯盟亦將取得美國政府的優先支持，包含政府間的優先推展、出口管制許可審查的優先處理程序，以及聯邦融資協調等，然並不保證取得出口許可或實質財務補助。

2025年7月30日，美國加州法院指出公司濫用合作談判地位以爭奪再生能源市場之行為，從商業角度極為惡劣，將面臨重大法律風險，並認定Phillips 66能源公司須向Propel Fuels（下稱Propel）競爭公司給付共約8億美元的賠償金。 本案源於2017年，Phillips 66公司以收購為由，雙方簽署收購意向書，對Propel公司進行盡職調查。於此期間，Propel公司依保密契約向Phillips 66公司揭露其再生柴油專屬策略與資訊，Phillips 66公司並從 Propel 下載近 3千份包含營業秘密的紀錄。於2018年8月24日，Phillips 66公司突然終止收購並於下一工作日向加州監管機構宣布其將加入加州再生能源市場，2019年正式銷售高混合可再生柴油。 2022年2月16日，Propel公司向加州法院控訴Philips 66公司不當使用Propel公司花費13年研發得出之財務與銷售資料、營運模式及其再生能源業務的預測資料等營業秘密，致Propel公司損失2億美元。於2024年10月16日，本案認定Phillips 66公司違反加州統一營業秘密法（Uniform Trade Secrets Act），不當使用Propel公司的營業秘密， Phillips 66公司應賠償6.049 億美元。其後，本案認定Phillips 66公司行為屬惡意不當使用營業秘密，依加州統一營業秘密法，法院可另將懲罰性賠償金增加至2倍。2025年7月底，本案認定之賠償金達到8億美元，包含自2024年之6.049億美元的補償性賠償金，以及因Phillips 66公司「惡意」不當使用營業秘密的行為，追加1.95億美元的懲罰性賠償金。 綜觀前述實務案例可得知，即便公司間已簽訂保密契約，仍存在公司假借併購盡職調查、合作協商為由，要求他公司提供機密資料。為降低與外部合作而衍生之機密外洩風險，以下為公司提供資料對外之前、中、後階段可參考之管理建議： 1. 對外提供資料前 (1) 內規定義營業秘密搭配機密分級，了解營業秘密之範圍，並依據不同機密等級採取相應的管制措施。 (2) 對外提供資料前，營業秘密相關之權責人員應審查資料適合揭露與否。 (3) 與外部合作協商前，即應確認簽訂保密契約與約定權利歸屬。 2. 已對外提供資料 倘若已對外提供資料，建議採取限制流通、限制權限等作法，如僅限該合作計畫相關人員透過身分認證登入帳號，方有線上瀏覽機密之權限等方式。 3. 對外提供資料後 於合作結束或協商破局之情況，應要求合作方返還或銷毀營業秘密，如為銷毀，應附上相關聲明並佐證執行紀錄。 前述建議之管理作法已為資策會科法所創意智財中心於2023年發布之「營業秘密保護管理規範」所涵蓋，企業如欲精進系統化的營業秘密管理作法，可以參考此規範。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　英國作為歐洲金融重鎮，不論各行業均有蒐集、處理、利用歐盟會員國公民個人資料之可能，歐盟一般資料保護規則（General Data Protection Regulation，簡稱GDPR）作為歐盟資料保護之重要規則，英國企業初步應如何自我檢視組織內是否符合歐盟資料保護標準，英國資訊委員辦公室（Information Commissioner's Office, ICO）即扮演重要推手與協助角色。 　　英國ICO於2017年4月發布企業自行檢視是否符合GDPR之12步驟（Preparing for the General Data Protection Regulation（GDPR）-12 steps to take now），可供了解GDPR的輪廓與思考未來應如何因應： 認知（Awareness）：認知GDPR帶來的改變，與未來將發生的問題與風險。 盤點資料種類（Information you hold）：盤點目前持有個人資料，了解資料來源與傳輸流向，保留處理資料的紀錄。 檢視外部隱私政策（Communicating privacy information）：重新檢視當前公告外部隱私政策，並及時對GDPR的施行擬定因應計畫。 當事人權利（Individuals'rights）：檢視資料處理流程，確保已涵蓋GDPR賦予當事人如：告知權、接近權、更正權、刪除權、製給複本權、停止處理權、不受自動決策影響等相關權利。 處理客戶取得資料請求（Subject access requests）：GDPR規定不能因為客戶提出取得資料請求而向其收費；限期於1個月內回覆客戶的請求；可對明顯無理或過度的請求加以拒絕或收費；如拒絕客戶請求則限期於1個月內須向其說明理由與救濟途徑等。 處理個人資料須立於合法理由（Lawful basis for processing personal data）：可利用文書記錄與更新隱私聲明說明處理個人資料之合法理由。 當事人同意（Consent）：重新檢視初時如何查找、紀錄與管理取得個人資料的同意，思考流程是否需要做出任何改變，如無法符合GDPR規定之標準，則須重新取得當事人同意。 未成年人（Children）保護：思考是否需要制定年齡驗證措施；對於未成年人保護，考慮資料處理活動是否需取得其父母或監護人的同意。 資料外洩（Data breaches）：有關資料外洩的偵測、報告與調查，確保已制定適當處理流程。 資料保護設計與影響評估（Data Protection by Design and Data Protection Impact Assessments）：GDPR使資料保護設計與影響評估明文化。 資料保護專責人員（Data Protection Officers）：須指定資料保護專責人員，並思考該專責人員於組織中的角色與定位。 跨境傳輸（International）：如執行業務需跨越數個歐盟會員國境域，企業則須衡量資料監管機關為何。

　　近年來，人臉辨識（Face recognition）技術迅速發展，增加便利性的同時，也伴隨了種種隱憂，如：對隱私權的侵害、公部門權力濫用等，是以加州舊金山市（San Francisco）和麻薩諸塞州薩默維爾市（Somerville）分別在今年（2019）5月和6月發布公部門使用人臉辨識技術的相關禁令，加州奧克蘭市（Oakland）並於7月16日跟進，成為美國第三個禁止公部門使用人臉辨識技術的城市。 　　2018年麻省理工學院曾針對人臉辨識技術的正確率做過研究，其研究結果報告顯示黑人女性辨識錯誤率超過30%，遠不如白人男性；美國公民自由聯盟（American Civil Liberties Union, ACLU）也針對Amazon人臉辨識軟體Rekognition做過測驗，結果該系統竟誤將28名美國國會議員顯示為嫌疑犯，這兩項研究顯示，人臉辨識技術存有極高錯誤率且對種族間存有很大的偏見與歧視。對此奧克蘭市議會主席卡普蘭（Rebecca Kaplan）一項聲明中表示：「當多項研究都指出一項新興技術具有缺陷，且造成寒蟬效應的時候，我們必須站出來」。 　　卡普蘭並表示：「建立社區和警察間信任與良好關係以及導正種族偏見是很重要的，人臉辨識技術卻反而加深此問題」、「對於隱私權和平等權的保護是最基本的」，故奧克蘭市通過禁止公部門使用人臉辨識技術的法令，原因如下： 人臉辨識系統所依賴的資料集，具高度不準確性。 對於人臉辨識技術的使用與共享，尚缺乏標準。 這項技術本身具有侵犯性，如：侵犯個人隱私權。 政府如果濫用該技術所得之資訊，可導致對弱勢族群的迫害。 　　雖然目前美國僅有三個城市通過政府機關禁止使用人臉辨識技術的法令，但依照目前的發展狀態，其他的城市甚至州在未來也可能會跟進頒布禁令。