韓國金融服務委員會發佈防止金融機構再度發生個人資料外洩之要求

　　歐盟執委會於2011年4月發布的「智慧電網創新發展」（Smart Grids: from innovation to deployment, COM(2011) 202 final），在有關資訊安全與隱私的部分指出，應建立消費者（consumer）隱私的保護規範，促進消費者的使用意願並瞭解其能源的使用狀況；在資訊交換的過程中，亦須保護敏感的商業資訊，使企業（companies）願意以安全的方式提供其能源使用訊息。 　　歐盟保護個人資料指令（Directive 95/46/EC）是保護個人資料的主要規範，同時也適用在智慧電網個人資料的保護上，但此時則需要去定義何謂個人資料，因為在智慧電網的發展中，有些屬於非個人資料。若為技術上的資訊而不屬於個人資料的範圍，能源技術服務業者（energy service companies）則不須經同意即可讀取該些資訊以作為分析使用。考慮將來廣泛建置智慧電網後，各會員國可能遭遇如何認定是否為個人資料及其保護的問題，因此目前傾向採取「privacy by design」的方式，亦即在系統設計之初，即納入資訊的分類，而不做事後的判斷。 　　對於此，歐盟執委會於2012年3月發布「智慧電表系統發展準備建議」（COMMISSION RECOMMENDATION of 9.3.2012 on preparation for the roll-out of smart metering systems），對於相關定義、資料保護影響的評估（例如各會員國必須填寫並提交執委會提供的評估表格，且提交後則必須遵循相關規範）、設計時的資料保護及預設（例如在系統設計時一併納入對資料的保護，使之符合資料保護的相關法規）、資料保護的方式（例如會員國必須確保個人資料的蒐集、處理及儲存是適當的並且具有關連性）、資料安全（例如對於資料偶然的或非法的破壞、或偶然的喪失等情形，亦應予以規範）、智慧電表的資訊與透明化（例如在蒐集相關個人資料後，仍應依規範提供資料主體相關的訊息）等方面提出建議，供各會員國於制訂相關規範時的依據。

2024年7月1日，美國實務界律師撰文針對使用生成式AI（Generative AI）工具可能導致的營業秘密外洩風險提出營業秘密保護管理的強化建議，其表示有研究指出約56%的工作者已經嘗試將生成式AI工具用於工作中，而員工輸入該工具的資訊中約有11%可能包含公司具有競爭力的敏感性資訊或客戶的敏感資訊，以Chat GPT為例，原始碼（Source Code）可能是第二多被提供給Chat GPT的機密資訊類型。系爭機密資訊可能被生成式AI工具提供者（AI Provider）用於訓練生成式AI模型等，進而導致洩漏；或生成式AI工具提供者可能會監控和存取公司輸入之資訊以檢查是否有不當使用，此時營業秘密可能在人工審查階段洩漏。 該篇文章提到，以法律要件而論，生成式AI有產生營業秘密之可能，因為營業秘密與著作權和專利不同之處在於「發明者不必是人類」；因此，由生成式 AI 工具協助產出的內容可能被視為營業秘密，其範圍可能包括：公司的內部 AI 平台、基礎的訓練算法和模型、輸入參數和輸出結果等。惟基於目前實務上尚未有相關案例，故生成式AI輸出結果在法律上受保護的範圍與條件仍需待後續的判例來加以明確。 實務專家提出，即使訴訟上尚未明確，企業仍可透過事前的管理措施來保護或避免營業秘密洩露，以下綜整成「人員」與「技術」兩個面向分述之： 一、人員面： 1.員工（教育訓練、合約） 在員工管理上，建議透過教育訓練使員工了解到營業秘密之定義及保護措施，並告知向生成式AI工具提供敏感資訊的風險與潛在後果；培訓後，亦可進一步限制能夠使用AI工具的員工範圍，如只有經過培訓及授權之員工才能夠存取這些AI工具。 在合約方面，建議公司可與員工簽訂或更新保密契約，納入使用生成式AI的指導方針，例如：明確規定禁止向生成式AI工具輸入公司營業秘密、客戶數據、財務信息、未公開的產品計劃等機密資訊；亦可增加相關限制或聲明條款，如「在生成式AI工具中揭露之資訊只屬於公司」、「限制公司資訊僅能存儲於公司的私有雲上」等條款。 2.生成式AI工具提供者（合約） 針對外部管理時，公司亦可透過「終端使用者授權合約（End User License Agreement，簡稱EULA）」來限制生成式AI工具提供者對於公司在該工具上「輸入內容」之使用，如輸入內容不可以被用於訓練基礎模型，或者該訓練之模型只能用在資訊提供的公司。 二、技術方面： 建議公司購買或開發自有的生成式AI工具，並將一切使用行為限縮在公司的私有雲或私有伺服器中；或透過加密、防火牆或多種編碼指令（Programmed）來避免揭露特定類型的資訊或限制上傳文件的大小或類型，防止機密資訊被誤輸入，其舉出三星公司（Samsung）公司為例，三星已限制使用Chat GPT的用戶的上傳容量為1024位元組（Bytes），以防止輸入大型文件。 綜上所述，實務界對於使用生成式AI工具可能的營業秘密風險，相對於尚未可知的訴訟攻防，律師更推薦企業透過訴訟前積極的管理來避免風險。本文建議企業可將前述建議之作法融入資策會科法所創意智財中心於2023年發布「營業秘密保護管理規範」中，換言之，企業可透過「營業秘密保護管理規範」十個單元（包括從最高管理階層角色開始的整體規劃建議、營業秘密範圍確定、營業秘密使用行為管理、員工管理、網路與環境設備管理、外部活動管理，甚至是後端的爭議處理機制，如何監督與改善等）的PDCA管理循環建立基礎的營業秘密管理，更可以透過上述建議的做法（對單元5.使用管理、單元6.1保密約定、單元6.4教育訓練、單元7.網路與環境設備管理等單元）加強針對生成式AI工具之管理。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

揭露智財資訊，展現永續發展之動能 資訊工業策進會科技法律研究所 2024年04月02日 隨著ESG議題持續醞釀，永續資訊揭露已成為國際間政策規劃所討論的重點，各國亦逐漸重視這股永續浪潮。 另一方面，企業價值的來源已轉變為智慧財產和無形資產，成為企業競爭力的來源，對於實現永續轉型（Sustainable transformation，SX）或推動永續發展具有重要意義，因此如何揭露企業對於智慧財產權與無形資產的投資於永續報告書中更顯重要。 壹、事件摘要 日本針對智慧財產與無形資產對於永續發展的政策推動始於《公司治理守則》的修訂。在制定出《智財與無形資產管理指引》後，日本智慧財產權戰略本部強調企業對於智慧財產與無形資產的投資與利用，以加速企業價值提升和獲取投資資金的良性循環，並強化公司、投資者和金融機構之間的「合作」。近期，日本智慧財產權戰略本部更開始評估有關國際永續準則委員會（International Sustainability Standards Board，以下簡稱ISSB）的資訊揭露要求[1]。 貳、重點說明 日本《公司治理守則》於2021年6月的修訂要求上市公司揭露具體、易於理解的智慧財產投資資訊。為回應前述修訂，日本智慧財產權戰略本部於2022年1月制定《智財與無形資產管理指引1.0》，指出投資者將智財與無形資產資訊視為評估公司未來價值的重要標準，因此鼓勵公司建構與實施符合ESG要求的智財和無形資產的投資與利用策略，並透過揭露明確其地位，以產生長期正向的價值評價。有鑑於揭露未能達到預期的效果，於2023年3月修訂《智財與無形資產管理指引2.0》，促使與智財和無形資產相關的公司舉措和揭露能體現其價值，以利公司與投資者的溝通，並展現出公司之未來價值。 考量到國際永續準則委員會（ISSB）於2023年6月公布了兩大國際永續資訊揭露框架準則，象徵全球永續財務與非財務資訊的揭露已逐步整合為全球通用的標準，日本智慧財產權戰略本部於2023年8月召開會議，確認智財資訊的揭露符合ISSB之要求，因而提案ISSB評估是否將智財、無形資產、人力資本等都納入永續資訊揭露應揭露之範疇。 為持續推動企業積極實踐永續發展，我國金融監督管理委員會亦於2022年3月發布「上市櫃公司永續發展路徑圖」，以四大主軸、五項重點協助上市櫃公司邁向永續發展，提升國際競爭力。其中「精進永續資訊揭露」、「推動ESG評鑑及數位化」更納入階段性目標，顯示出資訊揭露、永續報告書、ESG評鑑之推動三者已成為我國政策推動的重要評估事項[2]。 參、事件評析 在永續議題的持續發酵下，如何透過政策確保企業邁向永續發展乃一大議題，又由於對智財與無形資產之投資與利用乃企業競爭力的根源，更顯企業揭露此類資訊之重要性，不可輕易忽視。以往，我國企業會透過公司治理評鑑的2.27指標[3]，彰顯要求上市上櫃公司公開揭露智財管理資訊。近年來，伴隨著永續發展等相關政策之推動，企業應進一步評估如何在永續報告書中呈現與智財相關的資訊，以順應未來評鑑制度之轉換，並呈現智財是企業創新的關鍵。 在智慧局公布的2023年專利百大排名中，前十大[4]無一例外地依全球報告倡議組織（Global Reporting Initiative，以下簡稱GRI）所推出的國際標準永續報告書撰寫框架，且所有廠商都有在「GRI 3重大主題」中揭示與智財相關之資訊，凸顯其創新研發連結永續發展之動能。換言之，透過「GRI 3重大主題」將智財資訊揭露予更多利害關係人知悉，可謂我國標竿廠商展現其核心企業價值的主要管道。企業可參考上述企業於永續報告書揭露智財資訊模式，將智財議題形塑成一項重大主題，並揭露於特定章節以回應利害關係人之關注。首先，鑑別出各類利害關係人。接著，辨別相關衝擊因子，以篩選永續議題。然後，評估永續議題對企業之實際或潛在的正、負面衝擊。最後，確立企業所揭露之重大主題，並回應利害關係人所重視之資訊。 在永續發展、資訊揭露對於企業的衝擊下，財團法人資訊工業策進會科技法律研究所創智中心(以下簡稱創智中心)2023年針對我國上市上櫃企業進行企業智財現況調查，調查發現超過一半企業願意公開揭露智財資訊，而這些企業認為，公開揭露智財資訊有助於外界客觀評估公司之真實價值與競爭力，亦能協助公司落實ESG永續經營。為協助企業將智財資訊分別連結至永續發展之環境保護(E)、社會責任(S)以及公司治理(G)面向，創智中心將持續觀測各國法令動態以及國內外智財揭露案例，推動企業將智財資訊完整呈現於永續報告書。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]〈知財投資・活用戦略の有効な開示及びガバナンスに関する検討会第22回〉，首相官邸，https://www.kantei.go.jp/jp/singi/titeki2/tyousakai/tousi_kentokai〈最後瀏覽日：2024/4/2〉。 [2]金管會發布「上市櫃公司永續發展行動方案(2023年)」〉，金融監督管理委員會，https://www.fsc.gov.tw/ch/home.jsp?id=96&parentpath=0%2C2&mcustomize=news_view.jsp&dataserno=202303280001&dtable=News〈最後瀏覽日：2024/4/2〉。 [3]〈公司治理評鑑〉，公司治理中心，https://cgc.twse.com.tw/evaluationCorp/listCh〈最後瀏覽日：2024/4/2〉。評鑑指標2.27：公司是否制訂與營運目標連結之智慧財產管理計畫，並於公司網站或年報揭露執行情形，且至少一年一次向董事會報告？ [4]〈智慧局公布112年專利百大〉，經濟部智慧財產局，https://www.tipo.gov.tw/tw/cp-87-932910-26c76-1.html〈最後瀏覽日：2024/4/2〉。在專利申請方面，前十大分別是台積電、聯發科、友達、宏碁、南亞科、英業達、群創、工研院、瑞昱、台達電，其中除了工研院外，剩餘九家皆為我國專利申請之標竿廠商。

　　有鑑於「非現金支付」（non-cash payment）──包含信用卡、電子錢包、行動支付和虛擬貨幣──之詐欺犯罪率有增加之趨勢，歐洲議會公民、司法與內政委員會 （Committee on Civil Liberties, Justice and Home Affairs）於2018年9月3日批准一修正草案，更新2001年通過之理事會框架決定（Council Framework Decision）2001/413/JHA，提高非現金支付詐欺之刑責，同時強化被害人保護。此一修正草案旨在消弭歐盟成員國間之法律落差，以強化對非現金支付詐欺之預防、偵查及懲罰。 　　此一草案最重要者為將虛擬貨幣交易納入犯罪之構成要件，並提高刑責。如法官認定犯罪情節該當國內非現金支付詐欺最重之罪，則最低應處以三至五年之有期徒刑。而其他新增及修正之內容包含： 改善歐盟區域內之合作，以利跨境詐欺之訴追。 強化對犯罪被害人之援助，如心理支持、財務及法律問題之諮詢，並對缺乏足夠資源者提供免費法律扶助。 透過宣導、教育與網路資源（如詐欺之實際案例）提供，提升民眾認知及預防之意識。 　　於委員會投票批准修正草案後，其後將待歐洲議會通過，並與歐盟理事會開啟非正式對談。