為促進政府效能、提高服務品質、協助身份確認、減輕居民負擔,以期邁向先進資訊社會,日本政府近年致力推動「居民基本資料」(「住民基本台帳」;包括姓名、住址、性別、出生年月日及居民編號等)網路化,作為電子化政府基礎架構之一環。惟資料之蒐集範圍為何、傳輸網路安全與否、是否會遭政府濫用、有無可能遭相關人員洩漏於外移作他用等問題始終受到質疑,目前不僅計有福島?矢祭町、東京都杉並?、?立市三處地方政府暫緩推行,民間團體更分別在日本全國各地 13 個地方法院提起民事訴訟,主張「居民基本資料網路」(「住民基本台帳 ?????? 」;「住基 ??? 」)侵犯個人之隱私權及人格權,除請求移除已登錄之個人資料外,並要求中央政府、地方政府及掌理該網路的財團法人地方自治資訊中心(財?法人地方自治情報 ???? ; Local Authorities Systems Development Center, LASDEC )應負擔合計每人 22 萬日圓的損害賠償。 對此,金?地方法院首先作成判決( 2005 年 5 月 30 日),雖駁回原告方面的損害賠償請求,不過移除已登錄資料部分則判命原告勝訴。該院認為,「隱私」及「便利」之間究竟何者優先,應本諸居民個人意思自行決定,而非被告方面得以促進行政效率為由逕為取捨。然時隔一日( 2005 年 5 月 31 日),名古屋地方法院卻作出見解完全相反的判決,認為「居民基本資料網路」已採行必要之資料保護措施,個人隱私不至於輕易遭受侵害,原告方面的兩項請求均應予以駁回。 個人基本資料應予保護,當屬不爭之論,但究竟該如何保護、保護又該到何種程度,各方立場不同、偏重各異,看法常有差距;日本「居民基本資料網路」事件之原被告間、甚至不同地方法院間的見解差異,即為適例。目前正值我國研議修正個人資料保護法之際,前開事件今後如何發展,或有吾人持續觀察並深入思索之餘地。
因應使用「生成式AI(Generative AI)」工具的營業秘密管理強化建議2024年7月1日,美國實務界律師撰文針對使用生成式AI(Generative AI)工具可能導致的營業秘密外洩風險提出營業秘密保護管理的強化建議,其表示有研究指出約56%的工作者已經嘗試將生成式AI工具用於工作中,而員工輸入該工具的資訊中約有11%可能包含公司具有競爭力的敏感性資訊或客戶的敏感資訊,以Chat GPT為例,原始碼(Source Code)可能是第二多被提供給Chat GPT的機密資訊類型。系爭機密資訊可能被生成式AI工具提供者(AI Provider)用於訓練生成式AI模型等,進而導致洩漏;或生成式AI工具提供者可能會監控和存取公司輸入之資訊以檢查是否有不當使用,此時營業秘密可能在人工審查階段洩漏。 該篇文章提到,以法律要件而論,生成式AI有產生營業秘密之可能,因為營業秘密與著作權和專利不同之處在於「發明者不必是人類」;因此,由生成式 AI 工具協助產出的內容可能被視為營業秘密,其範圍可能包括:公司的內部 AI 平台、基礎的訓練算法和模型、輸入參數和輸出結果等。惟基於目前實務上尚未有相關案例,故生成式AI輸出結果在法律上受保護的範圍與條件仍需待後續的判例來加以明確。 實務專家提出,即使訴訟上尚未明確,企業仍可透過事前的管理措施來保護或避免營業秘密洩露,以下綜整成「人員」與「技術」兩個面向分述之: 一、人員面: 1.員工(教育訓練、合約) 在員工管理上,建議透過教育訓練使員工了解到營業秘密之定義及保護措施,並告知向生成式AI工具提供敏感資訊的風險與潛在後果;培訓後,亦可進一步限制能夠使用AI工具的員工範圍,如只有經過培訓及授權之員工才能夠存取這些AI工具。 在合約方面,建議公司可與員工簽訂或更新保密契約,納入使用生成式AI的指導方針,例如:明確規定禁止向生成式AI工具輸入公司營業秘密、客戶數據、財務信息、未公開的產品計劃等機密資訊;亦可增加相關限制或聲明條款,如「在生成式AI工具中揭露之資訊只屬於公司」、「限制公司資訊僅能存儲於公司的私有雲上」等條款。 2.生成式AI工具提供者(合約) 針對外部管理時,公司亦可透過「終端使用者授權合約(End User License Agreement,簡稱EULA)」來限制生成式AI工具提供者對於公司在該工具上「輸入內容」之使用,如輸入內容不可以被用於訓練基礎模型,或者該訓練之模型只能用在資訊提供的公司。 二、技術方面: 建議公司購買或開發自有的生成式AI工具,並將一切使用行為限縮在公司的私有雲或私有伺服器中;或透過加密、防火牆或多種編碼指令(Programmed)來避免揭露特定類型的資訊或限制上傳文件的大小或類型,防止機密資訊被誤輸入,其舉出三星公司(Samsung)公司為例,三星已限制使用Chat GPT的用戶的上傳容量為1024位元組(Bytes),以防止輸入大型文件。 綜上所述,實務界對於使用生成式AI工具可能的營業秘密風險,相對於尚未可知的訴訟攻防,律師更推薦企業透過訴訟前積極的管理來避免風險。本文建議企業可將前述建議之作法融入資策會科法所創意智財中心於2023年發布「營業秘密保護管理規範」中,換言之,企業可透過「營業秘密保護管理規範」十個單元(包括從最高管理階層角色開始的整體規劃建議、營業秘密範圍確定、營業秘密使用行為管理、員工管理、網路與環境設備管理、外部活動管理,甚至是後端的爭議處理機制,如何監督與改善等)的PDCA管理循環建立基礎的營業秘密管理,更可以透過上述建議的做法(對單元5.使用管理、單元6.1保密約定、單元6.4教育訓練、單元7.網路與環境設備管理等單元)加強針對生成式AI工具之管理。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
加拿大公布新的企業個資保護自評工具加拿大聯邦政府與亞伯達省(Alberta)及英屬哥倫比亞省(British Columbia)的隱私委員會針對一般企業,聯合推出新的個人資料保護自我評量線上工具,該線上工具之內容包括風險管理、政策、記錄管理、人力資源安全、物理安全、系統安全、網路安全、無線、資料庫安全、作業系統、電子郵件和傳真安全、資料完整性和保護、存取控制、信息系統獲取,開發和維護、事件管理、業務連續性規劃、承諾等項目之評估測驗。 聯合制定該線上自我評量工具的隱私委員辦公室表示,該線上工具可用於任何私人組織,特別是小型及中小型企業,而且新的線上工具是針對企業為一全面性的評估,並且該評估的內容十分鉅細靡遺。另外,為了提供使用者於使用該線上工具時的靈活性,故使用者亦可以將重點放在最切合自己的企業的部分,亦即僅選擇其中一項或數項為自我評估的內容即可。 又,該線上自我評量工具會將使用者的自我評估和分析過程的結果做成結論,而使用者可以獲得該分析得出之結論,並將作成之結論用來有系統地為評估組織本身的個人資料保護安全性,並藉以提高個人資料保護的安全。
美國民權辦公室發布遠距醫療隱私和資訊安全保護相關建議美國衛生及公共服務部(U.S. Department of Health and Human Services, HHS)民權辦公室(Office for Civil Rights, OCR)於2023年10月18日發布了兩份文件,針對遠距醫療情境下的隱私和資訊安全保護,分別給予病人及健康照護服務提供者(下稱提供者)實務運作之建議。本文主要將發布文件中針對提供者的部分綜合整理如下: 1.於開始進行遠距醫療前,提供者應向病人解釋什麼是遠距醫療及過程中所使用的通訊技術。讓病人可瞭解遠距醫療服務實際運作方式,若使用遠距醫療服務,其無須親自前往醫療院所就診(如可以透過語音通話或視訊會議預約看診、以遠端監測儀器追蹤生命徵象等)。 2.提供者應向病人說明遠距醫療隱私和安全保護受到重視的原因。並且向病人告知為避免遭遇個資事故,提供者對於通訊技術採取了哪些隱私和安全保護措施,加以保護其健康資訊(如診療記錄、預約期間所共享資訊等)。 3.提供者應向病人解釋使用通訊技術對健康資訊帶來的風險,以及可以採取哪些方法降低風險。使病人考慮安裝防毒軟體等相關方案,以防範病毒和其他惡意軟體入侵;另網路犯罪者常利用有漏洞之軟體入侵病人裝置,竊取健康資訊,因此可於軟體有最新版本時,盡快更新補強漏洞降低風險;若非於私人場所預約看診,病人則可透過調整裝置或使用即時聊天功能,避免預約資訊洩漏。 4.提供者應協助病人保護健康資訊。確保病人知悉提供者或通訊技術供應商聯絡資訊(如何時聯絡、以什麼方式聯絡等),使病人遭網路釣魚信件或其他方式詐騙時可以加以確認;也應鼓勵病人有疑慮時都可洽詢協助,包括如何使用通訊技術及已採取之隱私和安全保護措施等。 5.提供者應使病人了解通訊技術供應商所採取之隱私和安全保護措施。告知病人通訊技術供應商名稱、採取之隱私和安全保護措施,及如何得知前開措施內容;使病人了解進行遠距醫療時是否使用線上追蹤技術。 6.提供者應告知病人擁有提出隱私投訴的權益。若病人認為自身健康隱私權受到侵犯,得透過OCR網站進行投訴。