保護、分級與言論（下）

　　美國國會於2022年12月22日通過《2022年保護美國智慧財產法》（Protecting American Intellectual Property Act of 2022），經美國總統拜登（Joe Biden）於2023年1月5日簽署後正式生效。鑒於近年來美國營業秘密外洩事件頻傳，中國大陸和駭客透過各類方式竊取美國的智慧財產，對美國的經濟和國家安全產生重大危害。因此，共和黨參議員Ben Sasse與民主黨參議員Chris Van Hollen於2020年6月共同提出本法，並於2021年4月提出修正版本，期待美國政府進一步採取保護美國營業秘密的具體措施。 　　本法授權美國政府對涉及營業秘密重大竊盜的外國人及外國實體（foreign entity）實施制裁。重點包含： 　　1.要求美國總統每年應向國會提出報告，且第一份報告應於本法正式施行後6個月內提出，報告應列出符合以下條件之外國人、外國實體名稱及外國實體的執行長或董事會成員： 　　(1)故意竊取美國營業秘密，且其行為很可能或已經對美國國家安全、外交、經濟、金融構成重大威脅者； 　　(2)對上述故意竊取美國營業秘密之行為提供重要的財務、物質、技術、商品、服務等支援，或從中獲得利益者。 　　2.實施制裁 　　(1)針對外國實體，本法授權美國政府得實施的制裁手段有12項，包含根據國際緊急經濟權力法（International Emergency Economic Powers Act）凍結其資產、將該實體列入美國商務部的出口管制名單（Entity List）、禁止美國金融機構對該實體提供貸款、拒絕向該實體採購、禁止該實體的外匯交易、禁止美國人投資該實體的股票或債券、限制該實體成員入境、將該實體成員驅逐出境等。美國總統應針對名單中的對象實施至少5項制裁，並可對該外國實體之高層實施上述制裁。 　　(2)針對外國人，制裁手段包含凍結資產、拒絕入境、撤銷簽證等 　　3.豁免 　　總統若認為符合美國國家利益，得豁免對外國人及外國實體之制裁，但應於15天內向國會提交豁免的理由。 　　本法施行後，美國除了既有的《保護營業秘密法》（Defend Trade Secrets Act of 2016）外，將透過上述的制裁手段強化營業秘密的保護力道。 　　本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　世界智慧財產權組織（WIPO）於2021年9月20日發布了第14版的《全球創新指數報告》（Global Innovation Index, GII），本報告以81項指標對全球132個經濟體的創新生態系進行評鑑，前十名分別為瑞士、瑞典、美國、英國、韓國、荷蘭、芬蘭、新加坡、丹麥、德國，亞洲表現最好的是韓國。 　　本報告指出，在COVID-19疫情期間，世界各國政府和企業對創新的投資並未減少，且健康相關產業、綠色相關產業、數位科技相關產業最受到矚目。 　　此外，今年的報告中新增了一個專章「全球創新追蹤」（global innovation tracker），其中針對科學與創新投資（science and innovation investments）這一組指標進一步的分析發現，2020年全球在科學出版數量增加了7.6%、在研發支出增加了8.5%、在創業投資增加了5.8%、在國際專利申請數量增加了3.5%。與2019年相比，國際專利申請數量以中國大陸增加16%最多，美國、韓國的申請數量也都穩定成長，但日本與多數歐洲國家的申請數量皆屬下降；而專利申請的技術領域以醫療技術、製藥技術、生物技術為主。整體而言，雖然疫情為全球經濟帶來嚴峻挑戰，但各國對於科學與創新的投資經費仍持續增加。

　　日本經濟產業省（下稱經產省）於2020年6月12日發布其國內產業資通安全現況與將來對策（昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性）報告，指出近期針對供應鏈資通安全弱點企業所展開的攻擊，有顯著增長趨勢。為此，該報告建議共組供應鏈的企業間，應密切共享資訊；於關鍵技術之相關資訊有外洩之虞時，應向經產省提出報告；若會對多數利害關係人產生影響，並應公開該報告。遵循該報告之建議要旨，同年11月1日在各產業主要的工商團體引領下，設立了「供應鏈資通安全聯盟（原文為サプライチェーン・サイバーセキュリティ・コンソーシアム，簡稱SC3）」，以獨立行政法人資訊處理推進機構（独立行政法人情報処理推進機構，IPA）為主管機關。其目的在於擬定與推動供應鏈資通安全之整體性策略，而經產省則以觀察員（オブザーバー）的身分加入，除支援產業界合作，亦藉此強化政府與業界就供應鏈資通安全議題之對話。 　　只要贊同上述經產省政策方向與聯盟方針，任何法人或個人均得參加SC3。針對產業供應鏈遭遇資安攻擊的問題，經產省與IPA已有建構「資通安全協助隊（サイバーセキュリティお助け隊）」服務制度（以下稱協助隊服務），邀集具相關專長之企業，在其他企業遭遇供應鏈資安攻擊時，協助進行事故應變處理、或擔任事故發生時之諮詢窗口。而SC3則規畫為這些參與提供協助隊服務的企業建立審查認證制度。其具體任務包含擬定認證制度的審查基準草案、以及審查機關基準草案，提供IPA來建構上述基準。依該制度取得認證的企業，將獲授權使用「資通安全協助隊」的商標。同時在業界推廣協助隊服務制度，讓取得認證的中小企業得以之為拓展其業務的優勢與宣傳材料。

　　卡爾斯魯爾行政法院在今年6月7日公布第一個關於歐盟個人資料保護規則（Datenschutzgrundverordnung，DSGVO）的判決。在本案中，原告是一間負責處個人信用資料的民間公司，其依據現行BDSG（Bundesdatenschutzgesetz，聯邦個人資料保護法）的規定來蒐集、保存與傳輸個人資料給第三人。巴登符騰堡邦的主管機關在預見原告將來會違反DSGVO規定的情況下，向原告發出一份行政處分（Verfügung），要求原告必須依照DSGVO的相關規定調整作業流程以符合DSGVO的規範。但原告認為，其只需要在2018年5月24號之後，就相關作業流程符合DSGVO的規範即可。 　　本案的關鍵在於，主管機關是否已經可以用DSGVO的規定來規範民間企業？因為依據DSGVO第99條的規定，DSGVO現雖已生效，但必須到2018年5月25日才開始適用。 　　根據BDSG第38條第5項規定，監督機構可以採取必要措施，確保民間企業在收集、傳播和使用個人資料時遵守相關保護規定；且本案中，原告在2018年5月24號後可能會出現的違法情形也已顯而易見，但法院並不同意行政機關可以預先發布行政處分的看法。因為DSGVO雖已生效，但民間企業必須適用的期限仍未屆至。行政機關不得在未有法律授權的情況下，預先規範限制未來的可能違法行為。現行法律對於行政機關的授權範圍必須被嚴格遵守，在DSGVO未開始適用的情況下，目前行政機關仍只能依據BDSG及DSAnpUG（Datenschutzanpassungs- und Umsetzungsgesetz，個人資料保護調整和施行法）的規定，來處理相關的行政措施。