英國提出巨量資料下之個人資料保護應遵循資料保護法之原則

2024年7月1日，美國實務界律師撰文針對使用生成式AI（Generative AI）工具可能導致的營業秘密外洩風險提出營業秘密保護管理的強化建議，其表示有研究指出約56%的工作者已經嘗試將生成式AI工具用於工作中，而員工輸入該工具的資訊中約有11%可能包含公司具有競爭力的敏感性資訊或客戶的敏感資訊，以Chat GPT為例，原始碼（Source Code）可能是第二多被提供給Chat GPT的機密資訊類型。系爭機密資訊可能被生成式AI工具提供者（AI Provider）用於訓練生成式AI模型等，進而導致洩漏；或生成式AI工具提供者可能會監控和存取公司輸入之資訊以檢查是否有不當使用，此時營業秘密可能在人工審查階段洩漏。 該篇文章提到，以法律要件而論，生成式AI有產生營業秘密之可能，因為營業秘密與著作權和專利不同之處在於「發明者不必是人類」；因此，由生成式 AI 工具協助產出的內容可能被視為營業秘密，其範圍可能包括：公司的內部 AI 平台、基礎的訓練算法和模型、輸入參數和輸出結果等。惟基於目前實務上尚未有相關案例，故生成式AI輸出結果在法律上受保護的範圍與條件仍需待後續的判例來加以明確。 實務專家提出，即使訴訟上尚未明確，企業仍可透過事前的管理措施來保護或避免營業秘密洩露，以下綜整成「人員」與「技術」兩個面向分述之： 一、人員面： 1.員工（教育訓練、合約） 在員工管理上，建議透過教育訓練使員工了解到營業秘密之定義及保護措施，並告知向生成式AI工具提供敏感資訊的風險與潛在後果；培訓後，亦可進一步限制能夠使用AI工具的員工範圍，如只有經過培訓及授權之員工才能夠存取這些AI工具。 在合約方面，建議公司可與員工簽訂或更新保密契約，納入使用生成式AI的指導方針，例如：明確規定禁止向生成式AI工具輸入公司營業秘密、客戶數據、財務信息、未公開的產品計劃等機密資訊；亦可增加相關限制或聲明條款，如「在生成式AI工具中揭露之資訊只屬於公司」、「限制公司資訊僅能存儲於公司的私有雲上」等條款。 2.生成式AI工具提供者（合約） 針對外部管理時，公司亦可透過「終端使用者授權合約（End User License Agreement，簡稱EULA）」來限制生成式AI工具提供者對於公司在該工具上「輸入內容」之使用，如輸入內容不可以被用於訓練基礎模型，或者該訓練之模型只能用在資訊提供的公司。 二、技術方面： 建議公司購買或開發自有的生成式AI工具，並將一切使用行為限縮在公司的私有雲或私有伺服器中；或透過加密、防火牆或多種編碼指令（Programmed）來避免揭露特定類型的資訊或限制上傳文件的大小或類型，防止機密資訊被誤輸入，其舉出三星公司（Samsung）公司為例，三星已限制使用Chat GPT的用戶的上傳容量為1024位元組（Bytes），以防止輸入大型文件。 綜上所述，實務界對於使用生成式AI工具可能的營業秘密風險，相對於尚未可知的訴訟攻防，律師更推薦企業透過訴訟前積極的管理來避免風險。本文建議企業可將前述建議之作法融入資策會科法所創意智財中心於2023年發布「營業秘密保護管理規範」中，換言之，企業可透過「營業秘密保護管理規範」十個單元（包括從最高管理階層角色開始的整體規劃建議、營業秘密範圍確定、營業秘密使用行為管理、員工管理、網路與環境設備管理、外部活動管理，甚至是後端的爭議處理機制，如何監督與改善等）的PDCA管理循環建立基礎的營業秘密管理，更可以透過上述建議的做法（對單元5.使用管理、單元6.1保密約定、單元6.4教育訓練、單元7.網路與環境設備管理等單元）加強針對生成式AI工具之管理。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　網球選手「丹麥甜心」Caroline Wozniacki在2019年底於社群媒體Instagram發布退休文章並附上一張其青少年職業賽之發球特寫照片，該爭議照片為丹麥攝影師 Michael Barrett Boesen（後稱Boesen）所拍攝，爾後聯合體育出版社United Sports Publications（後稱USP）以嵌入含有該爭議照片之發文截圖報導該選手退休的新聞並刊載於長島網球雜誌（Long Island Tennis Magazine）之網站上，然而USP並未獲得Boesen之允許或授權使用，因此Boesen於2020年3月對USP提出著作權侵權訴訟。 　　美國紐約東區聯邦地區法院法官根據美國著作權法第107條（17 U.S.C. § 107）之合理使用原則：(1)使用的目的和性質、(2)受著作權保護作品的性質、(3)實質使用原始作品的比例、以及(4)該著作權物的使用對市場的影響等四項判斷要素，逐一檢視本爭議。 　　針對要素一，法官參酌相似前案，認為USP之新聞並非單純使用Boesen的照片，而是嵌入該爭議照片之發文截圖，且未針對該爭議照片內容描述該選手之青少年網球生涯，已賦予既有著作新的或不同元素或有其他使用目的，而非替代既有著作之原始用途，而認定USP充分地轉化該攝影著作、屬合理使用；而要素二，法官認為該爭議照片同時具資訊性與創造性元素，而該爭議照片除了在網球選手發文中公開之外，Boesen亦已公開於其社群媒體與網站中，使該爭議照片之資訊性成份相對較高、其合理使用範圍較大；至於要素三，USP之新聞係嵌入網球選手之退休發文，且保留選手頭像簡介、發文內容等社群媒體之所有標記，並未直接對該爭議照片進行編輯，因此使用該攝影著作之比例相對低；最後要素四，USP之報導非單獨呈現該爭議照片而係連同網球選手退休發文一同展現，此外該爭議照片係經過裁切且解析度低，實質上難以取代原始攝影著作之市場價值。綜上所述，法官最終於同年11月初作出判決，認定USP嵌入具Boesen攝影著作發文之報導屬合理使用。

　　FDA於今年（2012年）4月12日分別發布了兩項有關於評估應用奈米科技於化妝品及食物影響之產業指引草案（draft guidance）。其中就奈米科技應用於食品（以下簡稱奈米食品）之影響，FDA於「產業指引草案：評估包括使用新興科技在內之重要製程，改變對食品原料、與食品接觸物質及食品色素安全性及法規狀態之影響」（Draft Guidance for Industry: Assessing the Effects of Significant Manufacturing Process Changes, Including Emerging Technologies, on the Safety and Regulatory Status of Food Ingredients and Food Contact Substances, Including Food Ingredients that are Color Additives，以下簡稱新興科技衍生食品產業指引草案）中，對於食品製造商應採取哪些步驟以證明使用奈米科技之食品及食品包裝之安全性，有較為具體之說明。 　　於新興科技衍生食品產業指引草案中，明確表示奈米科技為此文件之涵蓋範圍，惟其聲明將奈米科技納入文件並不代表FDA認定所有內含奈米物質之產品皆屬有害，僅說明FDA認為依據奈米食品之特性，應進行特別的安全性評估以確保安全。文件中也強調，FDA對於食品製程中應用奈米科技所作之考量，與應用其他科技於食品製程者無異，並認為應用奈米科技所產出之最終產品，在原定用途之使用下，其特性及安全性與傳統製程產出者相同。 　　針對奈米食品之安全性評估，新興科技產業指引草案中指出，應就該食品所使用物質於奈米尺寸下之特性為其判斷基礎，而有可能必須進一步檢驗此等特性之影響，例如該物質對於生物可利用率及其於器官間運輸之影響等。此外，文件中亦提及FDA於過去針對食品添加物、色素及與食物接觸物質之化學及技術數據所作成之產業指引，於此應同樣被遵守，而將奈米食品所涉及與安全性相關之文件提供給主管機關。而FDA也將持續地向產業提供諮詢服務，以確保產品之安全性。 　　由FDA所發布之相關產業指引觀察，縱使FDA仍秉持美國對於奈米科技不具危害性之基本立場，其仍透過強化安全評估之科學工具及方法，以審慎之態度來取得大眾對於此類產品安全之信任。

　　歐洲議會於2009年3月26日，以大多數支持Lambrinidis報告中關於網路上個人自由保護之投票結果，反對法國政府和著作權行業提出的修正案。歐洲議會的態度是「保障所有公民接近使用網路就如同保障所有公民接受教育」，而且「政府或私人組織不能以處罰之方式拒給這種接近使用的權利」。歐洲議會議員要求會員國政府需體認到網路是一個有效增加公民權利義務之特殊機會，就這方面而言，使用網路及網路內容是一個關鍵要素。 　　這份報告被歐洲議會議員所採用，得以認識到提供安全措施來保護網路使用者(特別是孩童)之必要性，由於使用者可能會因使用網路，而暴露在成為罪犯或恐怖份子的犯罪工具的風險中。報告中提出方案對抗網路犯罪，但同時也要求在安全及網路使用者基本權利保障中尋求平衡點。 此報告否定法國所提之修正案，歐洲議會又再度否決由法國努力推動「網路侵權三振法案」（three strikes file-sharing law)。歐洲議會認為對於所有網路使用者的監測活動及對於侵權者之處罰有違比例原則。歐洲議會亦公開支持「網路權利憲章」（Internet Bill of Rights)以及推動「隱私權設計」（privacy by design）宗旨。