美國聯邦貿易委員會(Federal Trade Commission, FTC)於2014年間以路由器(Router)與雲端服務的安全漏洞,導生消費者面臨資安與隱私風險之虞,而依據《聯邦貿易委員會法》第5條(Federal Trade Commission Act, 15 U.S.C. § 45(a))委員會防止不公平競爭違法手段(unfair methods of competition unlawful ; prevention by Commission)之規定,即華碩涉嫌行使不公平或詐欺的手段致影響商業活動之公平競爭為由,對我國知名全球科技公司華碩電腦股份有限公司(ASUSTeK Computer, Inc.)進行起訴 。
本案歷經FTC近二年的調查程序後,華碩公司於2016年2月23日同意FTC的和解條件,即華碩公司應針對部分存在資安疑慮的產品依計畫進行改善,並且於未來20年期間內須接受FTC的獨立稽核(independent audits)。 FTC於該案的起訴報告中指出,華碩於銷售其所生產的路由器產品時,曾對消費者強調該產品具許多資安保障措施,具有得以防止使用者不受駭客攻擊等效果;然而,該產品實際上卻具有嚴重的軟體設計漏洞,使駭客得以在使用者未知的情況下,利用華碩路由器的網頁控制面板(web-based control panel)之設計漏洞,任意改變路由器的安全設定;更有專家發現駭客於入侵華碩製造之路由器產品後,得以強佔使用者的網路頻寬。
此外,華碩允許使用者沿用路由器產品的預設帳號密碼,再加上華碩所提供的AiCloud與AiDisk雲端服務功能,讓使用者得以隨身硬碟建立其私有的雲端儲存空間,使得駭客得藉由上述華碩路由器的設計漏洞直接竊取使用者於隨身硬碟內所儲存的資料。FTC並於起訴聲明中指出,駭客利用華碩路由器產品與相關服務的漏洞,於2014年間成功入侵超過12,900多位產品使用者的雲端儲存空間。除此之外,使華碩更加備受譴責的是,當該漏洞被發現之後,其並未主動向產品的使用者強調產品存在該資安問題,更未告知使用者應下載更正該設計漏洞的軟體更新,因此FTC始決定對華碩進行起訴。
日本經濟產業省(METI)於2022年12月22日於官網公布「特定數位平臺之透明性及公正性評鑑」報告(特定デジタルプラットフォームの透明性及び公正性についての評価),首次針對擁有數位平臺的大型IT(Information Technology)企業完成交易機制透明性及公正性評鑑,並要求被評鑑之企業進行改善。 該評鑑依據「特定數位平臺之透明性及公正性提升法」 (特定デジタルプラットフォームの透明性及び公正性の向上に関する法律,以下稱「透明化法」),透明化法於2020年5月通過並已在2021年2月施行。其目的是為了提高交易之透明性以及公正性,具體指定「特定數位平臺」之企業,並列為評鑑對象,課予其有揭露或公開特定訊息,與進行改善的義務。 本次的評鑑內容,是依該法第4條第1項、第8條以及第9條第2項所定,交易條件之資訊揭露義務為基礎,由日本經濟產業大臣指定數位平臺企業(提供者の指定),進行個案評鑑(評価)並要求其改善(勧告)。依據個案評鑑之內容,日本針對數位平臺之透明度及公正性之判斷,歸納出下列具有共通性之指標: 1.企業有揭露交易條件之義務 2.企業有完善交易機制之義務 3.企業有積極處理用戶申訴與糾紛之義務 4.針對應用程式商店(アプリストア),課徵手續費(手数料)與會員付款結帳(課金)方式之限制,企業有詳細說明之義務 5.企業本身或關係企業與平臺其他用戶之間須公平競爭,例如:企業與直營或非直營商店之間,具有利害關係或有優待行為時,企業須公開其管理方針,並列入內部稽核事項,使其能檢視差別對待之正當性。 6.停用帳戶或刪除之手續,企業在30天之前,就該處置之內容和理由,對消費者有通知之義務。 7.退款或退貨之流程,企業有積極和具體說明之義務,且須將處置成果公開。 關於評鑑對象之指定,是依同法第4條第1項所授權,由日本經濟產業省進一步於2021年2月1日頒布政令,以事業種類與規模進行區分。此外,被列為評鑑對象之企業必須在每年5月底前,各自將企業內部的因應措施,提交總結報告,並由經濟產業大臣進行審閱。值得注意的是,依評鑑結果所要求的改善措施,原則上以企業自主改善為要旨,但日本政府目前正商討今後是否需要以強制力介入;對於被列為評鑑企業之後續改善措施及透明化法之推動方向,值得作為我國數位平臺治理政策之借鏡與觀察。
因應國際立法趨勢 專利法相關制度擬大幅度鬆綁智慧局現正積極研修專利法,其中最為重要者包括: • 配合國際公共衛生議題,放寬強制授權條件; • 修正研究實驗免責相關規定; • 配合司法院智慧財產專業法院之成立,研擬設置爭議審議組; • 新型專利整體制度改革,考量原則開放「同一人」對於同一技術可「同時」申請,以利企業作專利佈局; • 大幅修正新式樣專利制度,開放多種新式樣保護標的,擴大新式樣專利保護範圍,以期帶動台灣文化創意及工業設計產業發展。 由於專利法這次修正為通盤修正,故智慧局刻正召開多場公聽會,參考各界意見及參酌國際立法趨勢為整體思考,以期建立更完善之專利制度。其中,針對新型專利制度之整體政策、專利年費逾越繳納期限產生失權後之救濟制度、以及以外文本提出申請取得申請日等三項議題,智財局已於 7 月 18 日 召開公聽會,聽取各界意見,尋求共識。 在新型專利整體制度改革部分,智慧局擬考量原則開放「同一人」對於同一技術可「同時」申請,以提供更多權益保障,以利企業作專利佈局。因此,企業一方面可取新型形式審查之便利領證,一方面也可取發明專利實體審查權利較穩定,而且二者前後接續。 有關專利權人逾越年費繳納期限產生專利權消滅後之救濟制度,依現行 專利法第82條 規定,發明專利第二年以後之年費,未於應繳納專利年費之期間內繳費者,得於期滿六個月內補繳之,但其年費應按規定之年費加倍繳納。根據前開規定,專利權人超過年費繳納期限,得於到期後六個月內加倍補繳年費,但專利權人超過一日與超過五個月,同樣都須加倍補繳,二者顯然有所失衡,因此,這次修法預備採取比率加繳制度,也就是說,依照超過的期限多寡,比率補繳,並非一率加倍補繳。 另外,超過六個月補繳期後,依照現行 專利法第66條第3款 規定,專利權當然消滅,只有在專利權人超過期限未繳年費是因具有不可抗力事由時,才能依 專利法第17條第2項 申請回復原狀,但是,一些專利權人超過繳費期限,並非因為具有不可抗力事由,而是具有正當理由,若因此而喪失專利權,顯非專利法保護專利權人之意旨,故此次修正亦放寬申請回復原狀之事由,以保障專利權人之權益。 針對外文本提出申請取得申請日部分,現行 專利法第25條第4項 規定,專利申請案允許申請人先以外文說明書提出申請,嗣後再補中文說明書,而專利法對於外文說明書之語文種類並無任何限制,以致外文本種類繁多,是否與中文譯本相符,認定上有困難。智慧局這次修正,研擬作適當限制,但是與會人員有不同意見,智慧局將再通盤考量。
歐盟執委會公布《關於標示與標籤AI生成內容之實踐守則》第二版草案,簡化第一版以促進AI生成內容之透明度歐盟執委會於2026年3月5日公布《關於標示與標籤AI生成內容之實踐守則》(Code of Practice on Marking and Labelling of AI-generated content)第二版草案,主要分為兩大部分,針對不同對象設定規範: 一、AI提供者(Provider)的標示義務 要求AI輸出內容須以「可被機器辨識」的方式標示,包含: (1)應滿足四大要件:標示應滿足有效性、互操作性、穩健性與可靠性四要件,若無法透過單一技術完成標示,則應採取多重標示的方式為之。 (2)偵測機制:建立部署者與終端用戶偵測標示的機制。 (3)技術提升:訂定規範確保標示技術達標,並鼓勵合作開發。 (4)法遵:產品於市場推出後,AI提供者應於實際環境下對標示結果持續進行測試,並適時更新測試方法,以確保產品符合法遵要求。 (5)培訓:並對工作人員進行教育訓練。 二、AI部署者(Deployer)的標籤義務 部署者應將其透過AI生成內容中加以標籤,此義務聚焦使用深偽內容(Deepfake)於涉及公共利益之內容: (1)標籤要求:標籤須包含「AI」字樣、維持特定比例並放置於清楚位置,鼓勵使用歐盟統一標籤。 (2)藝術創意類作品仍應適時揭露:藝術創作倘若包含深偽內容,部署者仍應於適當處完成標籤,揭露其作品中包含深偽內容(對應《歐盟人工智慧法》(Artificial Intelligence Act, AI Act)第50條第4項後段)。 (3)審查與問責:針對已公開作品,應記錄相關人工審查之作業;未公開作品則應說明何人具備編輯控制權,以利後續問責。 相較於第一版,歐盟執委會已將此版本內容大幅刪減,以提升規範落實之彈性。
美國國家安全局發布「軟體記憶體安全須知」美國國家安全局(National Security Agency, NSA)於2022年11月10日發布「軟體記憶體安全須知」(“Software Memory Safety” Cybersecurity Information Sheet),說明目前近70%之漏洞係因記憶體安全問題所致,為協助開發者預防記憶體安全問題與提升安全性,NSA提出具體建議如下: 1.使用可保障記憶體安全之程式語言(Memory safe languages):建議使用C#、Go、Java、Ruby、Rust與Swift等可自動管理記憶體之程式語言,以取代C與C++等無法保障記憶體安全之程式語言。 2.進行安全測試強化應用程式安全:建議使用靜態(Static Application Security Testing, SAST)與動態(Dynamic Application Security Testing, DAST)安全測試等多種工具,增加發現記憶體使用與記憶體流失等問題的機會。 3.強化弱點攻擊防護措施(Anti-exploitation features):重視編譯(Compilation)與執行(Execution)之環境,以及利用控制流程防護(Control Flow Guard, CFG)、位址空間組態隨機載入(Address space layout randomization, ASLR)與資料執行防護(Data Execution Prevention, DEP)等措施均有助於降低漏洞被利用的機率。 搭配多種積極措施增加安全性:縱使使用可保障記憶體安全之程式語言,亦無法完全避免風險,因此建議再搭配編譯器選項(Compiler option)、工具分析及作業系統配置等措施增加安全性。