德國總理梅克爾敦促歐盟立法允許「資訊追蹤（data tracking）」，以有效打擊恐怖主義

　　瑞典最高法院（Högsta domstolen）於2016/04/04 針對維基基金會（Wikimedia Sverige）與瑞典照片藝術著作權團體(Bildkonst Upphovsrätt i Sverige-BUS)之訴訟案，認定維基基金會無權經由網路提供公共藝術品資料庫（Swedish WikiMedia Art Map）予公眾使用。 　　本案由瑞典視覺藝術著作權團體於2016/06在瑞典斯德哥爾摩地方法院向維基基金會以侵犯藝術家（konstnärer）對其作品在線上之公眾提供權而提起訴訟。此案爭點在維基未得藝術家之同意前，維基是否可免費提供公共藝術品資料庫供大眾接近使用。因本件訴訟涉及瑞典著作權法24條第1項公共藝術品之轉載重製（24 § Konstverk får avbildas）。瑞典斯德哥爾摩地方法院依民事訴訟法第56章第13條向瑞典最高法院針對此爭議提出判決前置問題（beslut av tingsrätten om hänskjutande enligt 56 kap. 13 § rättegångsbalken）。 　　瑞典最高法院認為觀光客固然可以對置於公共場所之雕塑品等公共藝術品為攝影，但資料庫是否可無限制使用這些照片則是另一問題。公共藝術品照片資料庫被推定有一定某種程度之商業價值，且不論其是否具商業目的，最高法院認定藝術家有權利去主張此價值。 　　維基基金會認為此判決弱化表現自由中之基本元素之視覺自由（the freedom of panorama）。需強調的是，此決定只是針對公共藝術品資料庫之運用，並不影響私人上傳公共藝術品照片至社群媒體之權利。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

歐洲議會於2024年3月12日全體會議投票通過《資安韌性法》（Cyber Resilience Act）草案，後續待歐盟理事會正式同意後，於官方公報發布之日起20天後生效。該草案旨於確保具有數位元件之產品（products with digital elements, PDEs）（下簡稱為「數位產品」）具備對抗資安威脅的韌性，並提高產品安全性之透明度。草案重點摘要如下： 一、數位產品進入歐盟市場之條件 課予數位產品之製造商及其授權代理商、進口商與經銷商法遵義務，規定產品設計、開發與生產須符合資安要求（cybersecurity requirements），且製造商須遵循漏洞處理要求，產品始得進入歐盟市場。 二、數位產品合規評估程序（conformity assessment procedures） 為證明數位產品已符合資安及漏洞處理要求，依數位產品類別，製造商須對產品執行（或委託他人執行）合規評估程序：重要（無論I類或II類）數位產品及關鍵數位產品應透過第三方進行驗證，一般數位產品得由製造商自行評估。通過合規評估程序後，製造商須提供「歐盟符合性聲明」（EU declaration of conformity），並附標CE標誌以示產品合規。 三、製造商數位產品漏洞處理義務 製造商應識別與記錄數位產品的漏洞，並提供「安全更新」（security updates）等方式修補漏洞。安全更新後，應公開已修復漏洞之資訊，惟當製造商認為發布相關資訊之資安風險大於安全利益時，則可推遲揭露。 四、新增開源軟體管理者（open-source software steward）之義務 開源軟體管理者應透過可驗證的方式制定書面資安政策，並依市場監管機關要求與其合作。當開源軟體管理者發現其所參與開發的數位產品有漏洞，或遭受嚴重事故時，應及時透過單一通報平臺（single reporting platform）進行通報，並通知受影響之使用者。

因應國際法規變動趨勢的營業秘密管理建議 資訊工業策進會科技法律研究所 2024年06月24日 因應技術進步導致資訊的存取與分享更加容易，營業秘密侵權爭議也隨之增長，綜觀國際政策推動或許多跨國智財專家均逐漸重視營業秘密爭議相關議題，並論及營業秘密相關法規趨勢、訴訟經驗、建議企業可執行的營業秘密管理做法等，以下將綜整相關趨勢與專家觀點並提出我國企業建議。 壹、法規變動趨勢 從國際趨勢以觀，各國針對「競業禁止」規定，有逐漸對其嚴格審查與進行法規監管的趨勢，而這也使得透過限制性條款避免機密資訊外洩的難度提高，企業多轉而透過營業秘密管理來加強防護。 一、競業禁止 本文列舉了近期美國與英國對於競業禁止法規監管的趨勢。 （一）美國將從聯邦層級禁止「競業禁止」條款 美國聯邦貿易委員會（Federal Trade Commission，下稱FTC）於今年，2024年4月23日推出一項最終規定「Non-Compete Clause Rule[1]」，該規則將針對除了高級管理人員以外之員工，使僱主與員工之間已簽訂競業禁止協議無效，並禁止未來僱主與員工簽訂競業禁止合約。 （二）英國擬立法限制「競業禁止」之最高法定期限 英國目前的競業禁止相關限制係基於英美法，以法院的個案判決及既判例來執行。英國政府於2020年12月4日至2021年2月26日期間向公眾進行諮詢，並就諮詢意見之政府回覆於2023年發布報告[2]，英國政府在該報告中提出，就目前國際實務上競業禁止條款之執行期間除了美國部分州已直接被禁止外，多半未進行太多限制，如德國最高為24個月、義大利最長可達三至五年，而英國政府提出其擬將在議會時間允許的情況下提出立法領先引入「最多三個月[3]」之上限，對於競業禁止條款進行限制。 二、合理保密措施 承上所述，基於「競業禁止」條款的效力可能因為政策、法規變動或在不同國家的規定不同而導致已簽署之競業禁止條款失去效力、尚未簽署之契約禁止再簽署競業禁止條款或只允許在受有限制之情況下簽署等，企業透過此類限制性條款來避免機密資訊外洩的難度提高，使的企業多轉而透過其他日常營業秘密管理措施來加強防護，及證明企業有落實營業秘密的「合理保密措施」之法律要件。 以美國加州為例，該州多年前就禁止「競業禁止」約定，故當地企業早已轉往透過建置營業秘密政策和保護措施來加強防護。 貳、具體營業秘密管理措施之建議 一、合理保密措施之目的 合理保密措施除了作為補足無法使用限制性條款（競業禁止條款）之替代管制措施具有「預防營業秘密洩漏之效果」以外；更具有在營業秘密侵權發生後，訴訟上舉證之用。許多智財實務專家表示，無論是在哪一國法規的管轄下，權利人共通性的困難多在於訴訟的舉證上，因此專家建議企業應留存營業秘密管制措施之執行紀錄以作為將來涉訟時舉證之用。 二、營業秘密管理之具體作法 參照實務上專家的建議，本文彙整將實務上被推薦之具體營業秘密管理做法[4]羅列如下： （一）確立並可以識別營業秘密範圍 對於企業而言，首先應識別並記錄出營業秘密（機密）範圍，才能明確管制措施的範圍，並透過機密的標示（例如浮水印）來使員工能夠認知到接觸的資訊為公司重要的營業秘密。 （二）監控 針對下載、複印、數據傳輸行為或者其他可能包含機密資訊之公司設備等行為公司應進行監控。 （三）使用行為管制 公司應限縮傳播範圍（包含禁止員工通過電子郵件將資訊發送到個人電子郵件或將機密文件攜出公司等）；並於不使用時妥善存放保管並上鎖或設置密碼管控。 （四）人員管制 員工作為營業秘密管控機制重要的一環，專家建議應對員工進行教育訓練（告知營業秘密重要性或提供有關如何識別和保護機密資訊的培訓）；與相關人員（員工、承包商、合作單位）簽署保密契約（confidentiality agreements）明確定義機密資訊之範圍以及禁止未經授權的使用與揭露；設立離職員工管控機制（包含離職面談、保存相關設備、甚至如果員工可能進入競爭對手工作，企業可評估是否進一步請合格第三方進行鑑識或取證員工身上是否攜帶機密資訊等，以作為未來若涉訟之舉證）等。 參、評析 綜上所述，企業或許已經理解建立合理保密措施並留存作為訴訟時舉證之證據的重要性，並了解些許零散的管理做法，但可能產生管理措施如何才算是完善的疑問，為了提供企業更全面的管理建議，資策會科法所創意智財中心以其在智財領域之研究與實務經驗的積累發布「營業秘密保護管理規範」[5]（下稱管理規範）將管理措施透過十個單元建立PDCA管理循環。 經查，上述國際法規變動下實務專家討論之營業秘密管理措施均包含在管理規範內，如「（一）確立並可以識別營業秘密範圍」會對應到管理規範第4單元「營業秘密的確定」章節；「（二）監控」會對應到管理規範之第5單元「營業秘密的使用管理」及第7單元「網路與環境設備管理」；「（三）使用行為管制」會對應到管理規範之第5單元「營業秘密的使用管理」；「（四）人員管制」會對應到管理規範之第6單元「員工管理」與第8單元「外部活動管理」。 管理規範除了提供更加多元完善的管理做法（如定義出的營業秘密應進行機密分級、設定保密期限建立管理清單；除了管制流通、複製行為，後端的銷毀或使用紀錄留存、預警措施之建立也很重要；對於員工的管控不僅是離職時，更是從入職時就有風險需要管控；或者更後端的爭議處理機制、監督與改善機制之建立等）以外，更重要的是，管理規範納入了企業應考量的相關法律風險，以「（二）監控」之建議為例，管理規範第6.3.2條進一步要求應對員工進行「宣導」，告知員工「會監控其使用營業秘密行為並保存相關電磁紀錄」，此規定對於企業而言十分重要，因為若未進行告知，可能會因為侵害員工的隱私權，違反刑法妨害秘密罪以及通訊保障及監察法之違法監察通訊罪，而使雇主被判刑。 由此可知，企業在建立營業秘密合理保密措施之相關機制時，亦需要注意措施的完善與合法性，企業除了可參考管理規範系統性建立營業秘密管理機制外，亦可以此管理規範做為檢視自身管理措施符合性之依據，進而促進企業有效落實營業秘密管理。 [1]Federal Trade Commission, FTC Announces Rule Banning Noncompetes (2024), https://www.ftc.gov/news-events/news/press-releases/2024/04/ftc-announces-rule-banning-noncompetes (last visited May 15, 2024). [2]Consultation outcome Measures to reform post-termination non-compete clauses in contracts of employment, GOV.UK, https://www.gov.uk/government/consultations/measures-to-reform-post-termination-non-compete-clauses-in-contracts-of-employment#full-publication-update-history (last visited Jun. 19, 2024). [3]同前註，引述原文：「The government will introduce a statutory limit on the length of non-compete clauses of 3 months and will bring forward legislation to introduce the statutory limit when parliamentary time allows.」。 [4]Q&A: Trade secret disputes, Financier Worldwide Magazine, Financier Worldwide Magazine, https://www.financierworldwide.com/qa-trade-secret-disputes (last visited Jun. 05, 2024). [5]<營業秘密保護管理規範>，財團法人資訊工業策進會科技法律研究所網站，https://stli.iii.org.tw/publish-detail.aspx?no=72&d=7212（最後瀏覽日：2024/06/14）。

　　歐盟推動的有毒物質禁制令（ Restriction of Hazardous Substances, RoHS ）自今（ 2006 ）年 7 月後開始啟動，國內多家 IT 廠商如主機板、液晶螢幕等業者均表示產品符合 RoHS 規範，政府提供的資料也指出，台灣大約八成的供應商和製造商符合 RoHS 規範，但是依照綠色環保產品行銷業者的觀察，實際數據遠低於此，應該只有五成不到。 　　所謂的 RoHS ，係明列自 2006 年 7 月後，製程、設備及材料處理研發禁止使用 6 種有毒物質，如鉛、汞、鎘等，內含六項管制物質的產品將不可在市面流通，屆時輸歐的電子、電機產品皆必須符合該標準。如果一旦抽驗發現有毒物質，產品即可能遭受召回、高額罰款或者長期法律訴訟。 　　廠商所謂的「符合」還有很多可議的空間，主要原因有兩種：首先製造商在取得供應商提供的原物料時，也許前者的確不含有毒物質，但是在製程、運送過程中，原物料仍有被污染的可能性，例如有鉛和無鉛產品共用一條生產線。然而製造商但憑供應商提供的品質文件就聲稱終端產品符合了 RoHS 規範。 　　其次，即使是供應商表示原物料符合 RoHS 規範，也還有待商榷，因為這必須判定供應商的原物料送審時，是以混測還是均質檢測。所謂的混測就是把包含兩三種不同原料的產品一併送測，這時候即使單一原料含有有毒物質，但在和其他物質含量平均後就無法檢測出來。均質檢測則就是每個原料都單獨出來檢驗。由於後者的成本高出許多，因此國內供應商多以混測方式送審，使得檢測結果可信度並非絕對。 　　RoHS 對將大量產品輸出歐洲市場的台灣 IT 產業影響深遠，根據經濟部技術處所提供的資料，據估計將有近 3.5 萬家廠商、高達新台幣 2,446 億元的產值將受到衝擊。基於此原因，經濟部技術處於去（ 2005 ）年七月啟動「寰淨計畫（ G 計畫）」，結合系統廠商、檢測驗證機構、資訊服務業者等單位，以系統廠商帶動下游供應商的方式，加速國內電腦廠商推出符合環保規範的產品。儘管政府推動甚殷，國內供應商的確在前年開始準備，不過要確實符合 RoHS 之規範精神，而非僅是形式上符合，仍有待政府與業者共同努力。