本文為「經濟部產業技術司科技專案成果」
美國伊利諾州伊利諾最高法院(Illinois Supreme Court)於2023年11月30日對Mosby v. The Ingalls Memorial Hospital et al.案做出判決:認定符合聯邦法規健康保險流通與責任法(Health Insurance Portability and Accountability Act, HIPAA)規定,基於「治療、付款或健康照護運作」之前提下,除病患外即使是醫療服務提供者的生物識別資訊被蒐集、利用或揭露,同樣不受伊利諾州生物資訊隱私法(Biometric Information Privacy Act, BIPA)的保護。 伊利諾州現行以BIPA對蒐集或保留任何個人的生物識別資訊(如虹膜、聲紋、指紋或生物樣本等)做了較為嚴格的限制,原則上這些資訊不能在未經當事人同意的情況下被蒐集、利用或揭露。除非是1.由醫療保健機構從患者身上蒐集的生物識別資訊;或2.根據HIPAA規定,基於進行治療、付款或健康照護運作的前提來蒐集、使用或儲存的生物識別資訊,才可例外免經當事人同意(biometric identifiers do not include information captured from a patient in a health care setting or information collected, used, or stored for health care treatment, payment, or operations under the federal HIPAA.)。然而,基於進行治療、付款或健康照護運作的前提,資料主體除接受治療或健康照護的病患外,是否涵蓋醫療服務提供者(如醫護人員),則有疑義。 本案因醫院的護理人員認為醫療院所未經同意,使用帶有指紋掃描功能的藥品櫃,來蒐集、使用或儲存了他們的生物識別資訊,因此提起訴訟。伊利諾州的地方法院和巡迴上訴法院於本案均支持原告提出的主張。然而,伊利諾州最高法院審理時則透過文義解釋以及條文結構分析之方式,認為立法者係有意於例外規定中重複使用「資訊」一詞,兩次「資訊」之內涵應有不同。故前段的資訊係指患者的資訊,而後段的資訊來源則應包含了醫療照護提供者,方符合立法者真意。 生物識別資訊風險較高,過去被認為需要取得當事人積極同意授權;於本案中伊利諾州最高法院權衡認為基於「治療、付款或健康照護運作」情境下,如本案情形係用來確保醫藥品被正確分配給需要的患者,因此對患者以外的醫療人員隱私權做出限制符合例外規定。本案揭示了個資隱私得為合理利用的情境之一,然而HIPAA對於資料傳輸較寬鬆的規範會否又與資料保護的趨勢有所違背,仍須持續關注相關案例發展。
日本產業競爭力強化法簡介—以新事業活動特例制度為中心 歐盟電信網路新修規章通過網路中立條款2015年10月27日歐洲議會通過電信網路新修規章(Regulation 2015/2120),內容包括網路中立(Net Neutrality)條款,該規章將拘束歐盟全體會員國之資訊通信法規,並確立歐盟境內之網路中立原則。在本次立法之前,歐盟境內未建立統一的網路中立法規,僅荷蘭、斯洛維尼亞及芬蘭制定國內網路中立法規。 網路中立係指各種網路應用、內容或服務,均應受到平等對待,網路服務業者 (Internet Service Provider,以下簡稱ISP)不得任意實施差別待遇,例如攔阻(blocking)、延後傳送順序或降速(throttling)等。依據歐盟新修規章第3(3)條規定,ISP應平等處理所有網路流量,但同條之例外條款允許ISP在特定條件下,採取合理的流量管制措施。ISP流量管制之標的必須係基於因技術上服務需求之差異,所客觀形成之不同類別,換句話說,ISP不得因商業考量而對個別網路使用者產生差別待遇,僅得針對客觀的類別進行流量差異管制,例如點對點(Peer-to-Peer,P2P)傳輸軟體下載與語音電話,因流量傳輸需求不同,屬於不同的類別,是故,對於這兩種類別可採取不同之傳輸速度。同時,ISP的管制措施必須符合透明、非歧視性及比例原則。ISP亦不得監看特定內容,而管制期間不得超過必要之期限。 除了上述因客觀類別所採取之差別待遇之外,該規章亦賦予ISP得因特定法定事項而採取流量管制,該法定事項包括: 1.基於法律規範或執法需要而進行管制:包括符合歐盟法或會員國國內法之規定、以及法院或行政機關之命令或授權。 2.為了維持網路服務之完整性及安全性所採取之管制,包括網路、透過網路提供之服務或終端使用者(個人及企業)之終端設備。 3.防止即將產生之網路塞車或減輕網路塞車情況,但其前提為相同之網路服務類別必須給予平等之待遇。 歐盟之新修規章試圖在網路中立原則下,建立合理的管制措施規範。但該規章仍存有一些爭議性,包括: 1.為了讓醫療用途等網路流量能被優先處理,該規章允許ISP針對類別差異給予不同傳輸速度。但類別之區分方式仍不夠明確,可能導致ISP得恣意實施差別待遇。 2.法條未限制網路公司與電信業者結盟,ISP可依據商業契約讓某些網路使用不計入資費的使用量(zero rating),可能導致大公司占據競爭優勢,不利新興公司的發展。 3.有關加密資料之類別決定,ISP須進行解密查看才知道該加密資料符合何種傳輸類別,但此舉會引發資料保護之問題,因此加密資料之傳輸問題仍尚待解決。 4.為了促使網路暢通,該規章允許網路塞車時或有塞車之虞時,ISP可進行流量管制。但後續必須清楚界定網路塞車之虞的情況,以避免賦予ISP過多管制權限。 歐盟新修規章已完成立法,後續將交由歐盟電信管制機關(Body of European Regulators for Electronic Communications,BEREC)訂立細部辦法,以拘束歐盟各會員國的網路服務業者,同時各會員國也必須修改國內相關法規,以符合該規章之規範。
簡介人工智慧的智慧財產權保護趨勢近期人工智慧(Artificial Intelligence, AI)的智慧財產權保護受到各界廣泛注意,而OpenAI於2023年3月所提出有關最新GPT- 4語言模型的技術報告更將此議題推向前所未有之高峰。過去OpenAI願意公布細節,係由於其標榜的是開源精神,但近期的報告卻決定不公布細節(如訓練計算集、訓練方法等),因為其認為開源將使GPT- 4語言模型面臨數據洩露的安全隱患,且尚有保持一定競爭優勢之必要。 若AI產業選擇不採取開源,通常會透過以下三種方式來保護AI創新,包括申請專利、以營業秘密保護,或同時結合兩者。相對於專利,以營業秘密保護AI創新可以使企業保有其技術優勢,因不用公開技術內容,較符合AI產業對於保護AI創新的期待。然而,企業以營業秘密保護AI創新有其限制,包含: 1.競爭者可能輕易透過還原工程了解該產品的營業秘密內容,並搶先申請專利,反過來起訴企業侵害其專利,而面臨訴訟風險; 2.面對競爭者提起的專利侵權訴訟,企業將因為沒有專利而無法提起反訴,或透過交互授權(cross-licensing)來避免訴訟; 3.縱使企業得主張「先使用權(prior user right)」,但其僅適用在競爭者於專利申請前已存在的技術,且未來若改進受先使用權保護之技術,將不再受到先使用權之保護,而有侵犯競爭者專利之虞,因此不利於企業提升其競爭力。 綜上所述,儘管AI產業面有從開源轉向保密的傾向,但若要完全仰賴營業秘密來保護AI創新仍有其侷限,專利依舊是當前各企業對AI領域的保護策略中的關鍵。 本文同步刊登於TIPS網站(https://www.tips.org.tw)