歐盟提出「一般資料保護規章」(草案)並審議,以因應未來聯網環境趨勢
為因應近來智慧聯網(IoT)、巨量資料及雲端運算發展趨勢,為強化線上隱私權利及促進歐盟數位經濟的發展,歐盟執委會於2012年1月25日對於資料保護指令提出新的規章草案:「保護個人有關個人資料處理及自由流通規章(一般資料保護規章)」(Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)),以取代並廢除(repealed)原有「個人資料保護指令」規範,並修改(amend)「隱私與電子通訊指令」,預計在2013年6月進入歐洲議會、理事會及執委會的三方協商,若順利將在2014年通過,並在2016年生效。
「一般資料保護規章」(草案)中對於聯網環境及智慧化設備運行之因應,重要規範內容有(1)追蹤(tracking)與特徵分析(profiling):訂定第20條「特徵分析措施」(Measures based on profiling)規範條文,保障每個當事人皆有主張不被採取特徵分析措施(如個人傾向、工作表現、財務狀況、位址、健康、個人喜好、可信度)而致產生法律效果或顯著影響該個人的權利(2)被遺忘及刪除權(right to be forgotten and to erasure):訂定第17條,創設新的權利「被遺忘及刪除權」,用以幫助民眾處理線上資料,當其不希望自己的資料被利用且無合法理由保留時,資料將被刪除(3)資料可攜權利(the right to data portability):訂定第18條,當資料處理是以電子化方法,且使用結構性、通用的格式時,資料當事人有權利可以取得該結構性、通用格式下的個人資料,更容易自不同服務提供者間移轉個人資料。(4)當事人的同意要件:第4條第8款明定,不論何種資料處理情況時所需的同意,增列必須是明確(explicitly)同意之要件(5)「設計階段納入隱私考量」(privacy by design)、「預設隱私設定」(privacy by default):訂定第30條,要求資料控制者及處理者應實行適當的技術性、組織性措施,並考量科技發展水準,制定特定領域及特定資料處理情況的標準及條件,並且資料保護將會從產品及服務最初發展、設計時就考量隱私問題應對「設計階段納入隱私考量」及「預設隱私設定」提出標準及條件。
歐盟此次對於「一般資料保護規章」(草案)的修法進程,以及世界各重要國家的立場及反應態度,均值得後續密切觀察研析。
本文為「經濟部產業技術司科技專案成果」
- Commission proposes a comprehensive reform of the data protection rules
- Commission proposes a comprehensive reform of the data protection rules, EUROPA.EU
- Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data
李科逸
副主任 編譯整理
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), COM(2012) 11 final (Jan. 25, 2012),http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52012PC0011:en:NOT (last visited, Oct. 10, 2013)
Commission proposes a comprehensive reform of the data protection rules, EUROPA.EU, http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm (last visited, Oct. 10, 2013)
Commission proposes a comprehensive reform of the data protection ruleshttp://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm (last visited, Oct. 10, 2013)
美國眾議院法制委員會於七月十八日全體一致通過「專利法2007年改革法案」( Patent Reform Act of 2007),根據美國軟體與資訊工業協會( Software & Information Industry Association,簡稱SIIA)的總裁Ken Wasch表示,該修正案的通過是美國專利制度現代化的重要指標,而一個有效率且公正的專利制度對於繼續美國國內經濟發展並領導全世界經濟時具有舉足輕重的地位。眾議院的議員Howard Berman表示,對於美國專利核發品質低落、花費高昂及時間冗長的訴訟程序已經嚴重地阻礙到創新力與創造力。這次修法的目的在於改善專利的品質、嚇阻專利所有人權利的濫用、以異議專利的有效性的方式以提供更有意義且低花費的替代式專利訴訟、並讓美國專利法能與其他國家的專利法調合。 該法案除了通過的部分包括「不正當行為」(Inequitable Conduct )、「犯罪地的限制」(Restrictions on Venue)、「損害賠償的取得」(Awards of Damage)修正。最令人注意的是,刪除了最具爭議的「專利權核准後審查程序」( Posted- granted Review),該程序並無時間的限制,而始得專利侵權訴訟中之被告能夠對專利之有效性向美國專利商標局提出再審的請求。法制委員會對此程序舉行多次公聽會,但修正案仍以增加現有「專利再審制度」( Reexamination)的方式取代之。 實務界認為,本修正案會使得專利的價值降低,而使得一些非以製造產品為公司營運目的,但專事經營擁有並實施專利權為主要歲收來源的「專利巨人」(Patent Tolls)公司生存困難。
英國政府公布物聯網設備安全設計報告,提出製造商應遵循之設計準則草案英國數位、文化、媒體暨體育部於2018年3月8日公布「安全設計(Secure by Design)」報告,此報告目的在於使IoT設備製造商於製程中即採取具有安全性之設計,以確保用戶之資訊安全。 此報告中包含了一份經英國國家網路安全中心(National Cyber Security Centre, NCSC)、製造商及零售商共同討論後,提出之可供製造商遵循之行為準則(Code of Practice)草案。 此行為準則中指出,除設備製造商之外,其他包含IoT服務提供者、行動電話軟體開發者與零售商等也是重要的利益相關人。 其中提出了13項行為準則:1. 不應設定預設密碼(default password);2. 應實施漏洞揭露政策;3. 持續更新軟體;4. 確保機密與具有安全敏感性的資訊受到保護;5. 確保通訊之安全;6. 最小化可能受到攻擊的區域;7. 確保軟體的可信性;8. 確保個資受到妥善保障;9. 確保系統對於停電事故具有可回復性;10. 監督自動傳輸之數據;11. 使用戶以簡易的方式刪除個人資訊;12. 使設備可被容易的安裝與維護;13. 應驗證輸入之數據。 此草案將接受公眾意見,並於未來進一步檢視是否應立相關法律。
淺談歐洲法院1/09意見後之歐洲共同體專利制度發展近況 因應生成式AI使用的營業秘密保護對策美國智慧財產律師於2026年4月撰文說明兩件聯邦地方法院之判決揭示將機密資訊分享於生成式AI平台上的重大風險。 在Trinidad v. OpenAI 案中(Trinidad使用ChatGPT開發出AI框架,並將其框架申請美國專利,其主張OpenAI 後續申請專利之產品係基於使用其成果所開發,惟法院駁回原告依據美國營業秘密保護法(即DTSA)提出使用ChatGPT的產出物”專有AI開發框架(proprietary AI development frameworks,簡稱框架)為其營業秘密之主張,理由是原告在使用ChatGPT創建這些框架時,是自願向OpenAI 揭露其框架相關資訊。本案中,法院認為,原告使用ChatGPT創建框架時未有採取保密措施,且基於接受OpenAI的使用條款,也就是同意於未建立任何保護下揭露資訊,而不屬於DTSA保護的營業秘密。 在United States v. Heppner案中(被告Heppner 因涉及金融詐騙案件遭起訴,其收到法院傳票後使用Claude AI,將該案件的案件事實、可能的抗辯事由、法律分析和防禦策略輸入至Claude AI,使用AI產出法律分析報告),則是強調使用公開可得的生成式AI平台所建立之文件不受律師與當事人間之秘匿特權( attorney-client privilege)保護,因為在AI平台記錄的對話內容,在沒有與平台合約約定保密義務時,這些內容並不具保密性。本案主要探討於被告與Claude AI之間之對話紀錄是否符合律師與當事人間之秘匿特權之範圍,法院認為Claude AI並非律師,兩位非律師之人的法律討論並不享有特權,且成立律師與當事人間之秘匿特權需建立於當事人與有委託關係之律師(或其代理人:實習律師、法務助理等)因為法律諮詢目的之通訊內容。此外,被告與Claude AI之間的通訊並非機密,因為Claude AI的用戶須同意「Anthropic (Claude AI之開發商)收集用戶輸入與輸出資料,利用這些資料訓練 Claude,並保留向第三方(包括政府監管機構)揭露此類資料的權利」,故法院未將律師與當事人間之秘匿特權延伸至AI平台產出的資訊。 在如今生成式AI已被普遍使用之時代,AI工具可提高生產力及工作效率,而對企業而言,開放員工使用AI時應留意公司是否有對使用AI工具提供相應的管理措施。可參考的管理方式有二: 作法其一是:建立企業內部的生成式AI平台 在此狀況下與AI共享的資訊只會留在公司的環境中,並且員工會受到聘用條件中所簽署過的保密協議拘束,此種做法可提供強而有力的保護,但也需要公司投入大量財務資源,惟許多企業未有足夠資源採取此做法。 作法其二:企業從商業生成式AI供應商取得企業授權 企業可跟AI供應商簽定特殊的授權模式,例如約定除了為遵守法律規範或防止濫用之情況外均不儲存輸入或輸出之資訊、約定不會使用其資料進行AI模型訓練、不向第三方揭露客戶所提供之資訊等保密條款,此類保密條款約定會被視為合理保密措施。 企業亦須留意法院在檢視是否成立合理保密措施時,通常只有簽訂相關保密條款並不足夠,法院通常會審查是否有其他保護措施,例如哪些員工有權使用AI平台、是否規範哪些資訊可用/不可用於AI平台、員工是否簽署對其使用AI平台應遵守之義務的確認書等。此外,企業還須避免員工以個人消費者帳號(非企業用戶權限)於AI平台輸入公司機密資訊,而使公司在不知情狀況下同意AI供應商使用其公司機密資訊。因此,企業應建立明確政策,限制員工將公司機密資訊輸入任何AI平台,並留存管理存取紀錄。 由前面兩個案件我們可了解,在未有適當合約與相關保密措施的情況下,於公開的生成式 AI 平台分享機密或專有資訊,法律上等同於向全世界揭露該資訊。法院於營業秘密、律師與當事人間之秘匿特權不太可能對 AI 相關揭露行為做出特別豁免。因此,對於AI工具的使用,企業至少需確保使用的是在具備適當合約保護的商業或企業級 AI 平台,制定明確的內部政策規範可輸入 AI 平台的資訊,提供員工相關訓練,並審核現有的營業秘密保護計畫找出因應AI工具使用的相關風險並予以補強。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://keid.nat.gov.tw/tips/)