智慧聯網時代巨量資料法制議題研析－以美國隱私權保護為核心

　　日本於2021年12月27日公布「促進中小企業或新創企業智財運用之行動計畫」，該行動計畫是考量到面臨COVID-19疫情、數位化轉型、氣候變遷等背景下，中小企業或新創企業必須善用企業嶄新的技術或發想，以應對商業環境的變化，而智財權作為企業競爭力的動力來源，顕示出強化智財的管理及運用是不可欠缺的課題。 　　為了提升中小企業或新創企業的智財運用，日本中小企業廳與特許廳以提供一站式服務整合智財運用支援作為目標，制定行動計畫。施政主要重點如下： 強化與「智財綜合支援窗口」之整合：中小企業廳強化與特許廳聯合INPIT（National Center for Industrial Property Information and Training，獨立行政法人工業所有權情報研修館。主要業務為提供智財資料查詢、諮詢窗口、智財人才培育）共同設立的「智財綜合支援窗口」。促使「智財綜合支援窗口」與既有中小企業廳的商業管理諮詢窗口，共同協助企業以智財運用解決商業管理課題、建構智財戰略，同時也有提供專家派遣協助在地品牌的管理。 優化智財交易：除了加強中小企業廳的商業管理諮詢窗口與智財綜合支援窗口的資訊流通之外，INPIT也搭配說明動畫，提供企業智財相關法規、契約書範本、外包法等與智財交易相關知識，以及幫助企業製作用於金融機構評估企業智財價值時之文件。 海外發展智財支援：中小企業廳與特許廳針對海外發展的企業發放外國智財權申請之補助金、政策施予優惠措施，並由INPIT提供海外發展時，應留意智財權相關風險等專業建議。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

美國聯邦總務署（General Service Administration）於2024年6月27日發布《新興科技優先審查架構》（Emerging Technologies Prioritization Framework），該架構係為回應拜登總統針對AI安全所提出之第14110號行政命令，而在「聯邦政府風險與授權管理計畫」（Federal Risk and Authorization Management Program，以下簡稱FedRAMP）底下所設置之措施。 一般而言，雲端服務供應商（cloud service providers）若欲將其產品提供予政府單位使用，需依FedRAMP相關規範等候審查。《新興科技優先審查架構》則例外開放，使提供「新興科技」產品之雲端服務供應商得視情況優先審查。 現階段《新興科技優先審查架構》所定義之「新興科技」係為提供下列四種功能的生成式AI技術： 1.聊天介面（chat interface）：提供對話式聊天介面的產品。允許用戶輸入提示詞（prompts），然後利用大型語言模型產出內容。 2.程式碼生成與除錯工具（code generation and debugging tools）：軟體開發人員用來協助他們開發和除錯軟體的工具。 3.圖片生成（prompt-based image generators）：能根據使用者輸入之文字或圖像而產生新圖像或影像的產品。 4.通用應用程式介面（general purpose API）：基於API技術將前述三項功能加以整合的產品。 美國政府為挑選最具影響力的產品，要求雲端服務供應商繳交相關資料以利審查，例如公開的模型卡（model card）。模型卡應詳細說明模型的細節、用途、偏見和風險，以及資料、流程和參數等訓練細節。此外，模型卡應包含評估因素、指標和結果，包括所使用的評估基準。 《新興科技優先審查架構》第一波的申請開放至2024年8月31日，且FedRAMP將於9月30日宣布優先名單。這項措施將使生成式AI技術能夠以更快的速度被導入政府服務之中。

　　日本國家網路安全中心（内閣サイバーセキュリティセンター，或稱National Information Security Center, NISC）於2020年3月2日發布「網路安全相關法令問答集」（サイバーセキュリティ関係法令Q&Aハンドブック），以回應日本內閣在2017年7月27日通過的「網路安全戰略」（サイバーセキュリティ戦略）中所提及應整理相關法制，以利企業實施網路安全措施與對策之決定。因此，內閣網路安全戰略本部（サイバーセキュリティ戦略本部）普及啟發‧人才培育專門調查會（普及啓発・人材育成専門調査会）於同年10月10日成立工作小組，針對網路安全相關法令進行推動與調查工作。 　　本問答集內容涉及13項法律議題，包括議題如下： 說明網路安全基本法（サイバーセキュリティ基本法）網路安全之定義與概要； 以公司法為核心，從經營體制觀點說明董事義務，例如建立內部控制機制，以確保系統審核與資料揭露之適當性； 以個人資料保護法為核心，例如說明個人資料的安全管理措施； 以公平交易法（不正競争防止法）為核心，說明在營業秘密的保護範圍內，利用提供特定資料與技術手段，來實施迴避行為係屬無效； 以勞動法規為核心，說明企業採取網路安全措施之組織與人為對策； 以資通訊網路、電信業者等為中心，說明IoT相關法律問題； 以契約關係為中心，說明電子簽章、資料交易、系統開發、雲端應用服務等議題； 網路安全相關證照制度，例如資訊處理安全確保支援人員； 說明其他網路安全議題，例如逆向工程、加密、訊息共享等； 說明發生網路安全相關事故之因應措施，例如數位鑑識； 說明當網路安全糾紛有涉民事訴訟時應注意之程序； 說明涉及網路安全之刑法規範； 描述日本企業在實施網路安全措施時，應注意之相關國際規範，例如歐盟一般資料保護規則（General Data Protection Regulation, GDPR）與資料在地化（Data Localization）等議題。 　　此外，隨著網路與現實空間的融合，各產業發展全球化，相關法規也日益增加，惟網路安全相關法規，在原無網路安全概念與相關法制的日本法上，卻鮮少有較為系統化的概括性彙編與解釋文件。因而盤點並釐清網路安全相關法令則成為首要任務，故研究小組著手進行調查研究，並將調查結果—「網路安全法律調查結果」（サイバーセキュリティ関係法令・ガイドライン調査結果）與「第四次關鍵基礎設施資訊安全措施行動計畫摘要表」（重要インフラの情報セキュリティ対策に係る第４次行動計画）作為本問答集之附錄文件以資參酌。最後，NISC期待透過本問答集，可作為企業實施具體網路安全對策之實務參考。