中國大陸國務院印發關於實施《促進科技成果轉化法》之規定

　　歐盟執委會（European Commission, EC）於2020年4月8日發布新聞稿，說明歐盟將制定紓困計劃，投入資金支援全球盟國對抗新冠肺炎。歐盟的行動將側重於解決急迫的衛生問題以及人道主義需求，加強盟國的健康、供水和公共衛生環境，及協助盟國發展對抗流行病的研究和準備能力，減輕疾病對國家經社之影響。 　　此次計劃立基於「Team Europe」，「Team Europe」是歐盟執委會因應疫情採取全球及跨境協調的紓困方案，強調整併來自歐盟、歐盟成員國及金融機構──特別是歐洲投資銀行（European Investment Bank, EIB）和歐洲復興開發銀行（European Bank for Reconstruction and Development, EBRD）──的資金，提供全球盟國立即而精準的援助，目前已投資超過156億歐元的資金。而在此次全球紓困中，歐盟短期面提供盟國資金，長期面則協助解決盟國因疫情引發的社會經濟問題。 　　本次紓困計畫區分為三大部分，分別為： 5.02億歐元用於應急行動（Emergency response actions）：包括提供資金生產個人防護設備和醫療設備、降低各國出口障礙以確保供應鏈完整（特別是基本醫療用品和藥品的供應鏈）及支援聯合國和世衛的相關應對政策等； 28億歐元用於支援社會研究、衛生系統與供水系統：支援盟國建立反應快速的衛生和社會保護體系、對疫情嚴重國家進行疫苗配送與補貼、專家培訓和流行病學監測（epidemiological surveillance），並且強化非洲、拉丁美洲、加勒比海地區以及亞太地區的區域衛生組織發展。 122.8億歐元針對疫情後經濟和社會影響進行紓困：提供盟國直接預算和優惠資金、由歐洲投資銀行提供盟國公部門貸款（特別是醫療保健設備用品之貸款）以及透過國際貨幣基金組織（International Monetary Fund, IMF）對西巴爾幹地區及鄰國提供金融援助等。

2025年5月2日，聯邦司法會議證據規則諮詢委員會（Judicial Conference’s Advisory Committee on Evidence Rules）以8比1投票結果通過一項提案，擬修正《聯邦證據規則》（Federal Rules of Evidence，FRE），釐清人工智慧（AI）生成內容於訴訟程序中之證據能力，以因應生成式AI技術在法律實務應用上日益普遍的趨勢。 由於現行《聯邦證據規則》僅於第702條中針對人類專家證人所提供的證據設有相關規定，對於AI生成內容的證據能力尚無明確規範，所以為了因應AI技術發展帶來的新興挑戰，《聯邦證據規則》修正草案（下稱「修正草案」）擬新增第707條「機器生成證據」（Machine-Generated Evidence），並擴張第901條「驗證或識別證據」（Authenticating or Identifying Evidence）的適用範圍。 本次增訂第707條，針對AI生成內容作為證據時，明確其可靠性評估標準，以避免出現分析錯誤、不準確、偏見或缺乏可解釋性（Explainability）等問題，進而強化法院審理時的證據審查基礎。本條規定，AI生成內容作為證據必須符合以下條件： 1. 該AI生成內容對於事實之認定具有實質助益； 2. AI系統於產出該內容時，係以充分且適當之事實或資料為輸入依據； 3. 該輸出結果能忠實反映其所依據之原理與方法，並證明此一應用於特定情境中具有可靠性。 本修正草案此次新增「AI生成內容」也必須合乎既有的證據驗證要件。原第901條a項原規定：「為符合證據之驗證或識別要求，提出證據者必須提供足以支持該證據確係其所聲稱之內容的佐證資料。」而修正草案擬於第901條b項新增「AI生成內容」一類，意即明文要求提出AI生成內容作為證據者，須提出足夠證據，以證明該內容具有真實性與可信度，方符合第901條a項驗證要件。 隨著AI於美國法院審理程序中的應用日益廣泛，如何在引入生成式AI的同時，於司法創新與證據可靠性之間取得平衡，將成為未來美國司法實務及法制發展中的重要課題，值得我國審慎觀察並參酌因應，作為制度調整與政策設計的參考。

美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架，美國已有幾州開始透過立法限縮企業資安事件賠償責任，企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準，則於資安攻擊事件所致損害賠償訴訟中，將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料，企業往往投入大量資源打造資安防護架構，惟在現今網路威脅複雜多變的環境下，仍可能受到惡意資安攻擊，導致資料外洩事件發生，導致企業進一步面臨訴訟求償風險，其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任，以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令，讓已實施適當安全維護措施之企業，豁免資安攻擊所致資料外洩之損害賠償責任，佛羅里達州和西維吉尼亞州近期亦提出相似法案，以下介紹兩州法案之重點： 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 （H.B 473: Cybersecurity Incident Liability）[4]，法案納入「安全港條款」（Safe Harbor），當企業遭受資安攻擊致生個資外洩事件，如可證明已遵循產業認可的資安標準或框架，實施適當的資安措施與風險控管機制，則可免於賠償責任，以鼓勵企業採納資安標準或框架。 為適用安全港條款，企業須遵循佛羅里達州資訊保護法（The Florida Information Protection Act），針對資料外洩事件，通知個人、監管機關和消費者，並建立與法案內所列當前產業認可的資安標準、框架，或是特定法令規範之內容具一致性的資安計畫（Cybersecurity Programs）： （一）當前產業認可的資安標準、框架 1. 國家標準暨技術研究院（National Institute of Standards and Technology, NIST）改善關鍵基礎設施資安框架（Framework for Improving Critical Infrastructure Cybersecurity）。 2. NIST SP 800-171－保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A－ 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫（Federal Risk and Authorization Management Program, FedRAMP）安全評估框架。 5. 資安中心（ The Center for Internet Security, CIS）關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟（The Health Information Trust Alliance, HITRUST）通用安全框架（Common Security Framework）[6]。 8. 服務企業控制措施類型二（Service Organization Control Type 2, SOC 2）框架。 9. 安全控制措施框架（Secure Controls Framework）。 10. 其他類似的產業標準或框架。 （二）特定法令規範 企業（entity）如受以下法令規範，亦得適用安全港條款，如法令有修訂，企業應在發布修訂後的一年內更新其資安計畫： 1. 健康保險可攜與責任法（The Health Insurance Portability and Accountability Act, HIPAA）之安全要求。 2. 金融服務現代化法（The Gramm-Leach-Bliley Act）第五章。 3. 2014 年聯邦資訊安全現代化法（The Federal Information Security Modernization Act of 2014）。 4. 健康資訊科技促進經濟和臨床健康法（The Health Information Technology for Economic and Clinical Health Act, HITECH）之安全要求。 5. 刑事司法資訊服務系統 （The Criminal Justice Information Services, CJIS）安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過，但於2024年6月26日遭州長否決[7]，其表示法案對於企業的保障範圍過於廣泛，如企業採取基礎的資安措施與風險控管機制，便得主張適用安全港條款，將可能導致消費者於發生個資外洩事件時，無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會（Florida Cybersecurity Advisory Council）合作，探求法案的替代方案，以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8]，修訂西維吉尼亞法典（Code of West Virginia），增訂第8H章資安計畫安全港條款（Safe Harbor for Cybersecurity Programs），如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫，包含個人資訊和機敏資料的管理、技術和企業保障措施，將能夠於侵權訴訟中，主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素，包含： 1. 企業的規模和複雜性； 2. 企業的活動性質和範圍； 3. 受保護資訊的敏感性； 4. 使用資安防護工具之成本和可用性； 5. 企業可運用的資源。 （一）當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同，另增加： 1 NIST SP 800-76-2個人身分驗證生物辨識規範（Biometric Specifications for Personal Identity Verification）[9]。 2. 資安成熟度模型認證（The Cybersecurity Maturity Model Certification, CMMC）至少達到第2級，並經外部驗證（external certification）。 （二）特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同，另增加：由聯邦環境保護局（Environmental Protection Agency, EPA）、資安暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）或北美可靠性公司（North American Reliability Corporation）[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11]，其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好，但也可能遭濫用而帶來不當影響，例如TikTok等大型國際企業，如在違背公民意願情況下共享個人資料時，將免於訴訟，恐有損其公民權益，未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案，內容亦為相似，西維吉尼亞州之法案目前已遭否決，主要係擔心該豁免條款遭到不當濫用；佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量，而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令，有助企業明確遵循與採納，建立與實施資安計畫，惟如何舉證所建立之資安計畫或實施之資安措施，與法案所列之資安標準、框架，或是特定法令規範，具有實質上的一致性，仍不明確，將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障，仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心（ The Center for Internet Security, CIS）為美國非營利組織，負責推動CIS Controls，針對實際發生的資安攻擊行為提供防禦建議，作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源：About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司（North American Electric Reliability Corporation, NERC），為一家非營利機構，致力推動關鍵基礎設施保護相關標準，以強化北美大規模電力系統（亦即電網）的可靠性和安全性，資料來源：https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).

　　因應嚴峻的新冠肺炎，美國專利與商標局（United States Patent and Trademark Office, USPTO）於2020年5月8日公布「COVID-19專利優先審查領航計畫」（COVID-19 Prioritized Examination Pilot Program）。本領航計畫的法源依據是《美國專利法》第1.183條，授權局長在極特殊的狀況下，更改專利審查規則。本專利優先審查領航計畫之重點有二：其一，原本優先審查必須繳交相關的費用，本計畫針對小型或微型機構給予免費優待。其二，優先審查以12個月內完成最終處置（Final Disposition）為目標，並期待在6個月內完成。所謂最終處置包含：寄出核准領證通知（the mailing of a notice of allowance）、寄出最終核駁通知（the mailing of a final Office action）、請求延續審查（the filing of an RCE）、放棄申請（abandonment of the application）、提出上訴通知（the filing of a Notice of Appeal）。 　　美國專利與商標局局長Andrei Iancu表示：「獨立發明人與小型企業創新能力不亞於大企業，固有必要在對抗大型全球流行疾病給予有利的援助。為此，美國專利與商標局政策上給予小型或微型機構優先審查的程序優待，企盼加速其所提出之新冠肺炎相關的專利審查。」本計畫適用對象僅限於合於條件的小型或微型機構（Small or Micro Entity）。按美國專利審查程序指南（Manual of Patent Examining Procedure, MPEP）第509.02及509.04條，所謂小型機構係指個人、少於500人之公司、非營利組織和大學；微型機構則是指該機構作為申請人或投資人，其前一年年收入，少於美國家庭年收入中位數的三倍。 　　本專利優先審查領航計畫的專利請求項，必須是美國食品藥品監督管理局（United States Food and Drug Administration, FDA）批准，用以預防或治療新冠肺炎的產品或方法，包含但不限於：試驗用新藥（Investigational New Drug, IND）申請、臨床試驗器材豁免（Investigational Device Exemption, IDE）、新藥申請（New Drug Application, NDA）、生物製劑許可申請（Biologics License Application, BLA）、上市前許可（Premarket Approval, PMA）或緊急使用授權（Emergency Use Authorization, EUA）。