機關實體安全維護現行法制與實務運作之研析（上）

　　美國專利商標局（USPTO）於2021年1月13日發布「中國大陸商標與專利：非市場因素對申請趨勢與智財體系之影響」（Trademarks and Patents in China: The Impact of Non-Market Factors on Filing Trends and IP Systems）研究報告，指出中國大陸近年來急遽增加的專利與商標申請案件數，從申請海外專利保護比率低、專利發明商業化比率低以及惡意（bad-faith）或詐欺性（fraudulent）商標申請案件比率高等現象觀察，申請案件數的爆量很有可能源自政府補貼或其他非市場因素的影響。 　　USPTO指出，中國大陸在2019年的專利與商標申請案件數均達到歷史新高，包含商標案件數達780萬件、發明專利申請案件數達150萬件，已經接近全球申請案件數的一半，也引起國際的關注。有別於其他國家因創新活動熱絡所帶動的專利及商標申請案件量增長，中國大陸在2020年世界智財組織（WIPO）所統計的智財授權比率僅排名第44，顯示中國大陸在智財商業化比率極低，其專利與商標申請案件數的暴增可能源於其他非市場因素。 　　USPTO指出，政府補貼可能是刺激商標與專利申請案件數增長的最大原因，由於中國大陸中央與地方政府持續推動商標補貼措施，補貼金額通常高於商標註冊費用，進而引導人民大量註冊非為商業使用之商標，在專利申請上也有類似的情況，中國大陸政府推動超過195個專利補貼措施，創造了以申請專利賺取補貼的誘因。這些非市場因素的商標及專利申請案件，除了可能誤導對於中國大陸創新能力的評估外，也正在破壞保護真正創新活動的能量。

2025年1月9日美國紐澤西州檢查總長與民權部（Division of Civil Rights, DCR）聯合發布「演算法歧視指引」（Guidance on Algorithmic Discrimination and the New Jersey Law Against Discrimination），指出《紐澤西州反歧視法》（the New Jersey Law Against Discrimination, LAD）亦適用於基於演算法所衍生的歧視。 隨著AI技術日趨成熟，社會各領域已大量導入自動化決策工具，雖然它們能提高決策效率但也增加了歧視發生之風險。指引的目的在於闡述自動化決策工具在AI設計、訓練或部署階段可能潛藏的歧視風險，亦列舉出在各類商業實務情境中常見的自動化決策工具，並說明它們可能會如何產生演算法歧視。以下分別說明《紐澤西州反歧視法》適用範圍，以及與演算法歧視有關的行為樣態。 一、《紐澤西州反歧視法》之適用主體及適用客體 《紐澤西州反歧視法》禁止在就業、住房及公共場所等領域所發生的一切歧視行為，其適用主體相當廣泛，包含但不限於下列對象：雇主、勞工組織、就業仲介機構、房東、房地產經紀人、公共場所之經營或管理者、以及任何教唆或協助歧視行為之個人；而該法之適用客體亦有明確定義，為具有受保護特徵（如性別、族裔、身心障礙等）之自然人或法人。 此外指引特別說明，即便適用主體無意歧視、或其所使用之自動化決策工具係由第三方所開發，只要發生歧視行為依然違反《紐澤西州反歧視法》。這是因為《紐澤西州反歧視法》係針對歧視所帶來的影響進行規範，儘管無意歧視，其所帶來的影響並不一定比故意歧視還要輕微。 二、 歧視行為的三種樣態 1.差別待遇歧視 差別待遇歧視係指適用主體基於受保護特徵而對適用客體施予不同對待。舉例而言，若房東使用自動化決策工具來評估黑人潛在租戶，但不評估其他族裔的潛在租戶，則會因為其選擇性使用自動化決策工具而構成歧視。 2.差別影響歧視 差別影響歧視係指適用主體的政策或行為對適用客體造成不成比例的負面影響，且該政策或行為未能證明具有正當性、非歧視性、或不存在較少歧視性的替代方案，則該政策或行為構成歧視。例如，某商店利用臉部辨識技術來偵測過去曾有偷竊紀錄的顧客，但該系統對配戴宗教頭巾的顧客較容易產生誤判，此亦可能構成歧視。 3.未提供合理調整 合理調整係指身心障礙者、宗教信仰者、懷孕者以及哺乳者，在不會對適用主體造成過度負擔的前提下，得向其提出合理請求，以符合自身的特殊需求。以身心障礙員工為例，若雇主使用了自動化決策工具來評估員工的工作表現（例如監測員工的休息時間是否過長），在未考量合理調整的情況下，該工具可能會過度針對身心障礙員工進而構成歧視。 為減少演算法歧視發生頻率，「演算法歧視指引」特別闡述自動化決策工具可能會出現的歧視行為及歧視樣態。此份指引的另一個意義在於，縱使目前紐澤西州並沒有一部監管AI的專法，但仍可以利用現行的法律去處理AI帶來的種種問題，以利在既有的法律架構內擴充法律的解釋來回應新科技的挑戰，並達到實質管制AI的效果。

　　為迎接數位貨幣此種新興產業所帶來的挑戰，在企業經營者與立法者的同意下，北卡羅萊納州於2016年6月通過H.B. 289法案，擴大該州貨幣傳輸法（Money Transmitters Act ）的適用對象，將虛擬貨幣交易所納為貨幣移轉服務商，其須向主管機關申請特定執照，並繳納保證金，立法者更於2017年追加繳納保險金的規定，以避免資安危機。法案內對虛擬貨幣的定義為，一種能表彰價值的數字，可經由電子交易並具有交易媒介（medium of exchange）、計價單位（unit of account）和價值儲存（store of value）等功能，但虛擬貨幣並不是美國政府所承認的法定貨幣（legal tender status）。 　　又虛擬貨幣的經營業務，範圍包含建立於區塊鏈的虛擬貨幣活動，但排除挖礦者、使用區塊鏈技術的軟體公司，像是智能合約平台（smart contract platforms）、智能資產（smart property）等適用對象。申請貨幣移轉業務執照，須繳交1500美金的費用，再加上每年至少5000美元的評估費用。此外，為保障使用者所要求的保證金部分，貨幣移轉金額若低於100萬美元者，必須提出15萬美元作為擔保，若超出100萬美元者，則須提出更高的保證金。此項法案的出爐強化了法律的明確性，為該州經營虛擬貨幣的業者，提供一項可預見的規範，該法案未來是否能成為其他州成立新法的指標，仍有待後續發展。

　　歐盟執委會以（EU）2021/914號執行決定（Implementing Decision）所發布的新版「向第三國傳輸個人資料標準契約條款（New Standard Contractual Clause for the transfer of personal data to third countries，下稱SCC）」已於9月27日起正式取代舊版條款。 　　新SCC發布於2021年6月27日，旨在滿足歐盟法院（the Court of Justice of the European Union, CJEU）以2020年7月Schrems II判決所訂定之資訊保護需達「足夠充分（substantially sufficient）」標準。該版SCC為因應不同情境之跨境資料傳輸，而設計採取4種模組之規範條款供涉及歐盟境外之第三方資料傳輸者（控制者與接收者）依循參採，包括： 規範模組一：從資料控制者（Data Controller）到資料控制者的資訊傳輸（Transfer from controller to controller, C2C） 規範模組二：從資料控制者到資料處理者（Data Processor）的資料傳輸（Transfer from controller to processor, C2P） 規範模組三：從資料處理者到資料處理者的資料傳輸（Transfer from processor to processor, P2P） 規範模組四：從資料處理者到資料控制者的資料傳輸（Transfer from processor to controller, P2C） 　　本次執行決定亦設立了轉換期以利各方進行合規審查與契約調整：雖然舊版已於2021年9月27日廢止不再適用，原已適用舊版SCC之契約，至遲仍得實施至2022年12月27日止。（亦即新版SCC公佈後的18個月內）。 　　在此執行決定下，歐洲資料保護委員會 （European Data Protection Board）亦發布「關於如何確保對個人資料傳輸採取適當保護措施建議（Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data）」釐清GDPR「傳輸影響評估（Transmission Impact Assessment, TIA）之機制流程 。 　　隨著資通科技之快速崛起跨境個資傳輸已成為企業常態，而此種現象近期甚至在交通自動化的科技發展下逐漸擴及交通業別，其中全球航運和物流公司在全球範圍內傳輸個資，其中甚至包括用於履行和營銷目的之乘客資料、員工個人資料和客戶業務聯繫資訊等敏感個資已成為常態，應儘速因應相關法制之發展，解決全球範圍內快速發展的隱私合規問題。