美國國會圖書館發布例外規則，將10項科技使用行為合法化

美國德州第一上訴法院於2023年8月的一項裁決強調了以下重點—即便企業的智慧財產權戰略是圍繞在專利申請而建立的，仍應證明其有在專利公開前採取到位的營業秘密保護政策。 在FMC Technologies, Inc. v. Richard Murphy and Dril-Quip, Inc.一案中，FMC是一家石油與天然氣公司，而Murphy是其前首席工程師，可接觸FMC公司重要研發技術。兩者的關係於2018年惡化，同年12月FMC公司提出了ITW系統（orientation-free subsea tree system）的專利申請，Murphy則於隔年5月收到Dril-Quip公司的錄用通知。離職時Murphy有簽署一份協議，承認其有義務為FMC公司持有的專屬資訊保密，並已將所有與工作相關的資訊歸還。 Murphy於Dril-Quip公司被任命負責開發與ITW系統幾乎相同的競爭產品。2020年5月，Dril-Quip公司於海上技術會議發布其下一代海底採油系統（VXTe Subsea Tree）的相關內容，並宣布將商業化生產。據此，FMC公司控訴Murphy使用其花費了多年時間和數百萬美元開發的營業秘密資訊。Dril-Quip公司則辯稱FMC公司所謂的營業秘密可輕易透過一般管道查明，且其未採取合理的努力來防止營業秘密外洩。 在判斷FMC公司是否有採取合理保密措施時，德州第一上訴法院針對其於專利尚未公開及等待核准審定期間是否有採取合理的努力進行審查，並發現下列情形： 1. FMC公司並未根據有存取該機密資訊需求的人設定權限，反而將其工程資料庫開放給所有公司內部的工程師，讓他們都可以遠端存取相關資料。 2. FMC公司並未禁止員工將公司的機密文件複製到外部伺服器上。 據此，德州第一上訴法院認定FMC公司於專利公開前未妥善保護其營業秘密，並認為被告Murphy未不當使用其營業秘密。最終，德州第一上訴法院判被告Murphy勝訴。 由上述裁決可以發現，企業在專利公開前仍應採取營業秘密保護政策，包括：(1)對機密資訊存取的權限控管、(2)規範對機密資訊的使用程序、規定等，以避免在訴訟中失利。關於前述之管理措施，可以參考資策會科法所創意智財中心發布的《營業秘密保護管理規範》，以了解如何降低自身營業秘密外洩之風險，並提升競爭優勢。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　2018年英國頒布電子通訊之網路與資訊系統規則（The Network and Information Systems Regulations 2018），該規則實施歐盟2016年網路與資訊系統安全指令（Network and Information Security Directive, NIS Directive）。該規則分成幾個部分，第一部分是介紹性條文，例如介紹網路及資訊系統之定義：「（a）2003年通訊法（Communications Act 2003）第32條第1項所指的電子通訊網路；（b）一組或多組互聯或相關設備，其中之設備或程序根據程式自動化處理數位資料；（c）為操作、使用、保護和維護目的，由（a）或（b）款所涵蓋的儲存、處理、檢索或傳輸的數位資料。」 　　第二部分是英國政府相關組織架構規定，包括網路及資訊系統的國家政策（The NIS national strategy）、國家權責機關的指定（Designation of national competent authorities）、單一聯絡點的指定（Designation of the single point of contact）、電腦安全事件應變小組的指定（Designation of computer security incident response team）、執行機關的資訊分享（Information sharing–enforcement authorities）、北愛爾蘭的資訊分享（Information sharing–Northern Ireland）。 　　第三部分則是基本服務營運商（類似於我國的關鍵基礎設施營運商）與其職責，包括基本服務營運商的確定、營運權廢止、基本服務營運商的安全維護職責、事故通報的責任等。根據第8條第1項之規定，如果營運商提供本規則附表2所載明的基本服務（包括電力、石油、天然氣、航空運輸、船務運輸、鐵路運輸、公路運輸、醫療健康、數位基礎設施等），並且符合基本服務一定門檻要求者，則該廠商即被視為基本服務營運商（operator of an essential service, OES）。舉例而言，規章之附表2第1項載明，營運商提供電力供應之基本服務者，其一定門檻要求包括：若營運商位於英國，符合「為英國國內超過25萬名消費者提供電力服務」或「輸電系統的發電量大於或等於2 gigawatts」之條件者，該營運商即為基本服務營運商（OES）；若營運商位於北愛爾蘭，則應「依據北愛爾蘭1992年的電力法規命令取得供電執照」，且「為北愛爾蘭境內超過8千名消費者提供電力服務」，或符合「發電量大於或等於350 megawatts」等條件，則該營運商即為基本服務營運商（OES）。 　　再者，若營運商符合第8條第3項所列之條件，則可由主管機關指定為基本服務營運商（OES）。此外，主管機關可根據第9條撤銷基本服務營運商（OES）的認定，基本服務營運商（OES）必須履行第10條規定的安全維護責任，並對於第11條規定的事件負有事故通報的責任。 　　第四部分則是數位服務，包括相關數位服務提供者、成員國跨境合作與行動、向資訊專門委員進行登記（Registration with the Information Commissioner）、資訊通知（Information notices）、檢查權限、違反義務之強制執行、裁罰、對行政機關裁罰決定之獨立審查、罰鍰之執行、費用、裁罰程序、執法行為的一般考量因素、審查與報告。

　　馬來西亞於2010年訂定個人資料保護法（Personal Data Protection Act, PDPA），惟當時並未立即施行，至2013年11月15日，才連同相關規則、命令正式施行。 　　任何因商業往來而取得個人資料之人，在馬來西亞境內以自動化工具處理（或授權、控制個人資料之處理）時，都必須遵循該法及其相關法令的規定。否則，將有可能面臨50萬元令吉（相當於新台幣450萬元）罰鍰或三年以下有期徒刑。 　　除此之外，2013年個人資料保護命令（Personal Data Protection Order 2013）更規定，通訊業、金融業、保險業、健康、遊樂業、運輸業、教育、直銷業、服務業、不動產業、公益事業等11種行業別的資料利用者，必須在2014年02月15日前向個資保護委員會註冊並取得執照。 　　針對施行前蒐集的個人資料，該法賦予三個月的寬限期，然而施行後所蒐集者立即適用，其中包括以下規定： 1.告知當事人蒐集目的、有權請求存取及更正，並提供聯絡窗口、電話、傳真號碼或e-mail等相關資訊，於21日內回覆當事人請求； 2.除履行契約所必要等情形外，處理個人資料前應取得當事人同意，且該同意若係透過既有表單取得，外觀上應與其他事項有所區別； 3.在蒐集目的內利用個人資料，將個人資料提供予第三人時，應定期維護該名單； 4.實施並確保從業人員遵循安全政策，該政策須符合個資保護委員會所定安全標準； 5.確保個人資料之完整性、正確性及最新性； 6.制訂保存期間政策； 7.除接受國事先經過核准、取得當事人同意或已盡相當能事確保個人資料不會以違反個資法規定之方式處理外，原則上禁止國際傳輸等。 　　馬來西亞由於該法的施行，早先於新加坡成為東協十國當中，第一個全面實施相關法規的國家，通訊暨多媒體部部長Ahmad Shabery Cheek表示，此舉將有助於馬來西亞躋身已開發國家之林。

英國交通部（Department for Transportation, DfT）於2023年8月30日提出「交通行動服務（MaaS）實務準則（Mobility as a Service: code of practice）」，內容針對MaaS之提供商，提出產品及服務建議。MaaS實務準則涵蓋包含以下五個面向，以提供MaaS廠商具體明確的產品設計及營運建議： 1. 交通包容性與近用性（accessibility），例如應盡力避免產品之AI演算法產生偏見、確保AI學習資料無偏差；產品介面應提供視覺、聽覺輔助功能；針對身障民眾應提供適當之交通路線建議，以及應提供偏鄉、無網路區域非線上（offline）服務管道； 2. 低碳運輸之推廣，如納入更多步行、單車等環保交通選項； 3. 友善之多元支付方式，如現金、數位支付、定期套票，並整合火車、地鐵、客運、公車之支付系統； 4. 資料分享與資料安全並重，保障使用者隱私，如採用公認之資料安全標準以及與同業簽訂資料共享契約； 5. 重視消費者權益保障，鼓勵平台間公平競爭，如釐清各參與者間之責任，避免消費者投訴無門，以及提供線上及非線上聯絡窗口，及時處理消費者需求等。