物聯網時代的資料保護防線－以歐盟GDPR為中心

　　英國資訊專員辦公室進行獨立調查時發現， 1、40％的企業沒有充分認識提出的主要條文； 2、87％的企業無法估計公司中業務為因應改革可能支出的成本； 3、82％的受訪者是無法量化其當前資訊保護的開支； 4、在少數的大型組織觀測調查中發現，估計資訊保護的平均花費時常會受到扭曲； 5、當公司擁有超過250名員工或處理超過10萬筆個資紀錄時，絕大多數都已經聘請資訊保護專人； 6、重點業別包括服務業、金融保險業以及公共管理等，需要針對資訊管理有所計畫。 　　而調查報告在2013年5月14日於柏林舉辦的第三次歐洲資訊保護日會議中提出，資訊專員Christopher Graham表示「必須說，有少數人不同意為面臨21世紀的挑戰，而需要修訂歐洲資訊保護法。但真正進步之實現在於，今日或將來的法律面，針對個人資料有更好的體現。關鍵點在於確實地衡平理論面與執行面中資訊保護權利之平衡點。」 　　「已經談論過很多關於『什麼是最好的商業』，但這必須基於合法證據。此次的改革的結果會是非常重要的，我們希望敦促歐盟委員會可以考慮並將重點放在制定法律，為消費者提供真正的保障。」 　　「同樣的，企業和其他的利益相關者必須參與具建設性的義務與隱私權權利的重要性改革，在此過程中仍然可以受到影響」

　　2014年7月歐盟法院宣告2006年起施行的「資料保留指令」無效，該指令允許警察機關使用私人通聯記錄，但不允許揭示通訊內容。資料保留指令之所以被歐盟法院廢止，起因於不合乎比例原則及沒有充分的保護措施，該指令規定歐盟成員國必須強制規定電信公司必須保留客戶最近六個月到十二個月的通聯紀錄，不過在歐盟法院廢止指令之前，德國憲法法院在2010年時就已經以違反憲法為由停止執行指令。 　　惟在2015年1月，伊斯蘭激進主義份子的恐怖攻擊事件，共12人被射殺。因此德國總理梅克爾2015年1月在下議院針對該恐怖事件發表演說，雖因美國的史諾登事件，揭露美國政府大量監聽私人通訊和監視網路流量的行動，而引起了德國人對隱私權保護的關注，但梅克爾表示德國各層級的部會首長都同意有使用私人通聯記錄的需要、使嫌疑犯的通聯記錄能夠被警方用來偵查犯罪，但應該由法律規範資料保留的期間限制，她敦促各界向歐盟委員會施加壓力，重新訂定資料保留指令，使各歐盟成員國能修正國內法律。 　　歐盟委員會正在評估此法制議題，並考慮向歐盟議會、各成員國、民間團體、執法部門和個資保護組織間建立開放式對話，決定是否有需要訂定新指令；但德國司法部長並不贊成梅克爾擴大監督人民通訊的想法，認為這是過於倉促的行動，而且除了資訊記錄留存外，德國政府也儲存所有媒體資料並限制媒體自由，他認為這並不合適。 　　目前英國國內保守黨和自由黨現正為新修訂的通訊資料法，為人民隱私權的保護範圍爭論不休，而美國由於近年受到不少駭客攻擊，故美國總統歐巴馬採取與梅克爾相似的立場，希望能擴張執法機關的權力，公開提倡強化美國網路安全相關法規。

從美國政府責任署建議國防部應改善其處理智慧財產的方式初探美國國防部之智財管理 資訊工業策進會科技法律研究所 2022年2月15日 　　根據美國政府責任署（U.S. Government Accountability Office，下稱GOA）於去（2021）年12月發布的報告指出，美國國防部（U.S. Department of Defense，下稱DOD）對智慧財產的管理能力不足，可能降低任務準備程度並導致維運軍武的成本飆升[1]。本文將簡介GOA報告的發現，聚焦於DOD的智財管理情況，藉此一窺美國國防部的智財管理模式。 壹、事件摘要 　　美國國會於2018年通過《國防授權法案》（National Defense Authorization Act，簡稱NDAA），裁示DOD建立智財取得及授權政策，DOD據此訂定其智財指令、規劃智財權責單位、人員及相關培訓機制，嗣後國會於2021年委請GAO檢視DOD之智財指令及其執行情況。 貳、重點說明 一、DOD的智財指令 　　DOD依據以下智財相關法規，設定其智財指令，如：使小型企業、大學和其他非營利組織可保留其發明之專利權的《拜杜法》（Bayh-Dole Act）[2]、授予無論規模大小所有聯邦締約方全部或部分由聯邦資金所獲得的專利權之12,591號行政命令[3]，以及要求DOD應訂定相關規範以解決和締約方間技術資料的相關權利之《國防採購改革法案》（Defense Procurement Reform Act）[4]等，並強調六項核心原則[5]： 1.將智慧財產權規劃整合到採購策略中，以考量對競爭力和可負擔性的長期影響。 2.確保採購專業人員具備履行公務所需的相關智財知識，以支援智財採購規劃期間內進行關鍵的跨職能協調。 3.對智財可交付成果和相關授權進行特別協商，相較標準授權能更有效地平衡DOD和產業界間的利益。 4.就預期智財和維運目標與產業界進行明確有效的溝通。 5.尊重和保護私部門和政府資助的智慧財產權。 6.政府必須確保締約方所交付之智財成果和有相應的授權。 二、GAO檢視DOD之智財指令執行結果 　　應國會要求，GAO對DOD的智財指令進行通盤檢視，並對智財權責單位、人員及負責培訓之機構展開調查，訪談相關人員指令的實際執行情況，其檢視結果如下： （一）DOD的智財指令不足以促進其取得智財的製程細節或處理資料權利之能力 　　DOD智財指令雖整合取得、授權智財的相關法規和指引等要求，並強調其核心原則，然該指令和DOD其它相關的內部指令仍未有更明確的內容可解決取得細部製程或處理資料權利的問題。DOD通常會為其新銳軍武器系統－包含電腦軟體、技術資料、用戶手冊等取得或註冊智財權，而DOD智財指令所指的技術資料，是包括任何科學或技術性質的記錄資訊，如：產品設計或維護資料和電腦軟體檔案（含：執行程式碼、開源碼、程式碼清單、設計細節、流程、流程圖等）；但常未同步取得用於運行和維護武器系統的智財，如：細部製程或技術資料等[6]，倘若未及早取得或獲得相關授權，可能影響軍武系統的操作和維護，從而影響武器的競爭力，並增加管理成本[7]。 　　實際上，GAO已接獲因技術資料取得問題而對任務有不良影響的報告：2021年7月F-35計劃因維修供應商取得的技術資料不足以滿足維護需求，使關鍵的引擎維修時間比預期的更久；2020年3月部分海軍艦艇計劃的維護作業也因缺乏技術資料出問題，而上述情況若在計畫前期就確認包含技術資料和細部製程等所需智財，並在採購過程中及早規劃取得，可因此節省後續衍生的數十億美元維護成本[8]。 （二）DOD尚未為智財人員訂定完善的策略、人員配置規劃和投注足夠的資源，以充分履行智財指令所規定的廣泛職責 　　根據GOA的調查與訪談相關人員，智財人員在以下情況都面臨不確定性： 1.資金和人員配置 　　DOD目前計劃在2023財會年度前，為智財主任及其在國防部長辦公室（Office of the Secretary of Defense，下稱OSD）的團隊提供五個職位的資金，但其中四個為臨時職位，這可能在招聘人才的過程中造成反效果，不利於未來的人員配置。 2.連結其他計劃專家支援不足之處 　　OSD的智財人員希望DOD中其他計畫的智財專家庫能提供支援，協助訂定智財策略並與承包商進行談判等事宜，但DOD尚未針對 OSD智財團隊將如何和其他專家合作提出具體作法。 3.專業知識 　　DOD的智財指令指出智財人員應該具備：採購、擬定契約、工程學、法律、後勤、財務分析以及估值等領域的專業知識，但受訪談的人員表示，該部門目前在智財權估值和財務分析這兩個關鍵領域仍有不足，仍須進行補強[9]。 （三）智財培訓涵蓋多項活動但未安排優先順序，且未具體確定哪些人員應該接受培訓 　　DOD的智財培訓由其設立的美國國防武獲大學（Defense Acquisition University，又譯為國防軍需大學，下稱 DAU）執行，該大學專為國防相關之政府人員、承包商提供採購、技術和後勤等專業培訓[10]。為改善智財培訓，DAU展開為5年期的智財策略計畫，計有60多項活動待執行，但該策略計劃缺乏重點，沒有排出活動的優先順序，也未具體提出DOD的哪些智財人員應該接受培訓[11]。 （四）DOD須致力發展追蹤已取得／授權智財之後續使用情況的能力 　　DOD目前的智財指令指示相關政府單位須管理智財相關的契約及智財文件，以避免在採購智財及其相關授權時重複採購，或隨時間流逝而喪失智財權，然而根據訪談結果，相關人員表示DOD採購極大量的智財或相關授權，但不具備追蹤各個智財獲授權使用情形的能力[12]。 三、GAO對DOD的建議 　　GAO彙整其檢視DOD智財指令執行情況的結果後，對DOD提出下列四個建議[13]，建議內容不外乎是指定與智財管理相關的重要項目須指定負責人，且該負責人須為對應智財相關單位的較高管理階層，確保待改善項目有監督與執行者。 （一）完善智財指南 　　採購及維護次長（The Under Secretary of Defense for Acquisition and Sustainment）應確保DOD智財指南已闡明DOD人員將如何取得細部製程或技術資料。 （二）確保跨部門合作與資源連結 　　國防部長（The Secretary of Defense)應確保部長辦公室和各部門所需的合作、人員配置和資源，以連結各計畫智財相關專家、人員。 （三）確認智財活動優先順序 　　採購助理部長（Assistant Secretary of Defense for Acquisition）應確保智財主任（Director of the IP Cadre）與DAU主席合作，為DAU在2023年至2025年間主責與智財相關活動確定優先順序。 （四）確保智財培訓效益 　　採購助理部長（Assistant Secretary of Defense for Acquisition）應確保智財主任訂定補充指引，以協助部門負責人和採購職業管理主任（Director of Acquisition Career Management，DACM）確定國防部人員在關鍵專業領域接受之智財培訓和取得的證書能使其有最大的獲益。 參、事件評析 　　綜觀GAO的檢視結果，雖然DOD的智財管理仍有改善空間，但以足見美國聯邦政府對其智財管理之重視程度，不僅指示部會自行管理智財，更透過部會外的公正單位，從規範到組織實際執行情況進行通盤檢視；而部會內部對於智財管理的程度，已經從訂定和整合智財相關規範，進一步到落實在日常任務中，不只重視部會所需技術本身的智財取得或保護，更欲推進到策略計劃前期，將維護軍武相關的細部製程和技術資料等相關內容及權利也納入採購範圍，甚至為此盤點智財所需的專業能力、規劃培訓專門人員，以促進智財管理的量能，其對智財管理深化及重視的程度值得我國借鏡。 [1] GAO, Defense Acquisitions: DOD Should Take Additional Actions to Improve How It Approaches Intellectual Property, (Nov. 30, 2021), available at https://www.gao.gov/products/gao-22-104752 (last visited Feb. 7, 2022) [2] The Patent and Trademark Law Amendments Act of 1980 (Bayh-Dole Act), 35 U.S.C.§§ 200–211, 301–307. [3] President’s Memorandum to the Heads of the Executive Departments and Agencies,Government Patent Policy (Feb. 18, 1983); Exec. Order No. 12,591, § 1(b)(4), 52 Fed. Reg. 13,414 (Apr. 10, 1987) [4] Defense Procurement Reform Act, 1984, Pub. L. No. 98-525, § 1201. [5] Supra note 1, 17-18. [6] Id., 7, footnote 21. [7] Id., 1. [8] Id., 1. [9] Id., 24-28. [10] DAU, About DAU, at https://www.dau.edu/about (last visited Feb., 7, 2022) [11] Id., 29-30. [12] Id., 32-33. [13] Id., 33-34.