歐盟和德國對於自動駕駛及智慧交通系統之個人資料保護發展

南韓個資保護委員會（Personal Information Protection Commission, PIPC）於2024年7月18日發布《人工智慧（AI）開發與服務處理公開個人資料指引》（인공지능(AI) 개발·서비스를 위한 공개된 개인정보 처리 안내서）（以下簡稱指引）。該指引針對AI開發與服務處理的公開個人資料（下稱個資）制定了新的處理標準，以確保這些資料在法律上合規，且在使用過程中有效保護用戶隱私。 在AI開發及服務的過程中，會使用大量從網路上收集的公開資料，這些公開資料可能包含地址、唯一識別資訊（unique identifiable information, UII）、信用卡號等個資。這些公開的個資是指任意人可藉由網路抓取技術自公開來源合法存取的個資，內容不限於個資主體自行公開的資料，還包括法律規定公開的個資、出版物和廣播媒體中包含的個資等。由於公開資料眾多，在現實中很難在處理這些公開個資以進行AI訓練之前，取得每個個資主體的單獨同意及授權，同時，南韓對於處理這些公開個資的現行法律基礎並不明確。 為解決上述問題，PIPC制定了該指引，確認了蒐集及利用公開個資的法律基礎，並為AI開發者和服務提供者提供適用的安全措施，進而最小化隱私問題及消除法律不確定性。此外，在指引的制定過程中，PIPC更參考歐盟、美國和其他主要國家的做法，期以建立在全球趨勢下可國際互通的標準。 指引的核心內容主要可分為三大部分，第一部分：應用正當利益概念；第二部分：建議的安全措施及保障個資主體權利的方法；及第三部分：促進開發AI產品或服務的企業，在開發及使用AI技術時，注意可信任性。 針對第一部分，指引中指出，只有在符合個人資料保護法（Personal Information Protection Act, PIPA）的目的（第1條）、原則（第3條）及個資主體權利（第4條）規定範圍內，並滿足正當利益條款（第15條）的合法基礎下，才允許蒐集和使用公開個資，並且需滿足以下三個要求：1.目的正當性：確保資料處理者有正當的理由處理個資，例如開發AI模型以支持醫療診斷或進行信用評級等。2.資料處理的必要性：確保所蒐集和利用的公開資料是必要且適當的。3.相關利益評估：確保資料處理者的正當利益明顯超越個資主體的權利，並採取措施保障個資主體的權利不被侵犯。 而第二部分則可區分為技術防護措施、管理和組織防護措施及尊重個資主體權利規定，其中，技術防護措施包括：檢查訓練資料來源、預防個資洩露（例如刪除或去識別化）、安全存儲及管理個資等；管理和組織防護措施包括：制定蒐集和使用訓練資料的標準，進行隱私衝擊影響評估（PIA），運營AI隱私紅隊等；尊重個資主體權利規定包括：將公開資料蒐集情形及主要來源納入隱私政策，保障個資主體的權利。 最後，在第三部分中，指引建議AI企業組建專門的AI隱私團隊，並培養隱私長（Chief Privacy Officers, CPOs）來評估指引中的要求。此外，指引亦呼籲企業定期監控技術重大變化及資料外洩風險，並制定及實施補救措施。 該指引後續將根據PIPA法規修訂、AI技術發展及國際規範動向持續更新，並透過事前適當性審查制、監管沙盒等途徑與AI企業持續溝通，並密切關注技術進步及市場情況，進而推動PIPA的現代化。

2024年7月1日，美國實務界律師撰文針對使用生成式AI（Generative AI）工具可能導致的營業秘密外洩風險提出營業秘密保護管理的強化建議，其表示有研究指出約56%的工作者已經嘗試將生成式AI工具用於工作中，而員工輸入該工具的資訊中約有11%可能包含公司具有競爭力的敏感性資訊或客戶的敏感資訊，以Chat GPT為例，原始碼（Source Code）可能是第二多被提供給Chat GPT的機密資訊類型。系爭機密資訊可能被生成式AI工具提供者（AI Provider）用於訓練生成式AI模型等，進而導致洩漏；或生成式AI工具提供者可能會監控和存取公司輸入之資訊以檢查是否有不當使用，此時營業秘密可能在人工審查階段洩漏。 該篇文章提到，以法律要件而論，生成式AI有產生營業秘密之可能，因為營業秘密與著作權和專利不同之處在於「發明者不必是人類」；因此，由生成式 AI 工具協助產出的內容可能被視為營業秘密，其範圍可能包括：公司的內部 AI 平台、基礎的訓練算法和模型、輸入參數和輸出結果等。惟基於目前實務上尚未有相關案例，故生成式AI輸出結果在法律上受保護的範圍與條件仍需待後續的判例來加以明確。 實務專家提出，即使訴訟上尚未明確，企業仍可透過事前的管理措施來保護或避免營業秘密洩露，以下綜整成「人員」與「技術」兩個面向分述之： 一、人員面： 1.員工（教育訓練、合約） 在員工管理上，建議透過教育訓練使員工了解到營業秘密之定義及保護措施，並告知向生成式AI工具提供敏感資訊的風險與潛在後果；培訓後，亦可進一步限制能夠使用AI工具的員工範圍，如只有經過培訓及授權之員工才能夠存取這些AI工具。 在合約方面，建議公司可與員工簽訂或更新保密契約，納入使用生成式AI的指導方針，例如：明確規定禁止向生成式AI工具輸入公司營業秘密、客戶數據、財務信息、未公開的產品計劃等機密資訊；亦可增加相關限制或聲明條款，如「在生成式AI工具中揭露之資訊只屬於公司」、「限制公司資訊僅能存儲於公司的私有雲上」等條款。 2.生成式AI工具提供者（合約） 針對外部管理時，公司亦可透過「終端使用者授權合約（End User License Agreement，簡稱EULA）」來限制生成式AI工具提供者對於公司在該工具上「輸入內容」之使用，如輸入內容不可以被用於訓練基礎模型，或者該訓練之模型只能用在資訊提供的公司。 二、技術方面： 建議公司購買或開發自有的生成式AI工具，並將一切使用行為限縮在公司的私有雲或私有伺服器中；或透過加密、防火牆或多種編碼指令（Programmed）來避免揭露特定類型的資訊或限制上傳文件的大小或類型，防止機密資訊被誤輸入，其舉出三星公司（Samsung）公司為例，三星已限制使用Chat GPT的用戶的上傳容量為1024位元組（Bytes），以防止輸入大型文件。 綜上所述，實務界對於使用生成式AI工具可能的營業秘密風險，相對於尚未可知的訴訟攻防，律師更推薦企業透過訴訟前積極的管理來避免風險。本文建議企業可將前述建議之作法融入資策會科法所創意智財中心於2023年發布「營業秘密保護管理規範」中，換言之，企業可透過「營業秘密保護管理規範」十個單元（包括從最高管理階層角色開始的整體規劃建議、營業秘密範圍確定、營業秘密使用行為管理、員工管理、網路與環境設備管理、外部活動管理，甚至是後端的爭議處理機制，如何監督與改善等）的PDCA管理循環建立基礎的營業秘密管理，更可以透過上述建議的做法（對單元5.使用管理、單元6.1保密約定、單元6.4教育訓練、單元7.網路與環境設備管理等單元）加強針對生成式AI工具之管理。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　摩托羅拉旗下子公司Motorola Mobility於10月6日向美國國際貿易委員會(ITC)提訴，指蘋果公司的iPhone, iPad, iTouch 以及一些 Mac電腦侵害其專利，同時Motorola Mobility也在伊利諾州北區和佛州南區的聯邦法院提出告訴。值得一提的是，在對法院提出的告訴中僅僅是 “指稱” 多種蘋果公司的產品如Apple iPhone 3G, Apple iPad等侵害其專利權，像這種沒有提出具體證據的告訴儼然已經成為風氣，似乎違反了最高法院於Bell Atlantic Corp. v. Twombly案中指出必須要提出明確的事證而非僅止於推論(speculation)的要求。 　　Motorola Mobility提出的3項告訴中共包含18項專利，乃是關於無線通訊技術，例如WCDMA (3G)、GPRS, 802.11、天線設計，以及關鍵的智慧手機技術，包括無線電子郵件、近距感測(proximity sensing)、軟體應用管理等。Motorola 智財部門的副總裁Kirk Dailey表示自蘋果進入通訊市場以來即開始與其長期磋商，但因為蘋果拒絕接受授權所以不得不提出告訴以阻止他們繼續侵權。近來手機市場上專利侵權互告頻繁，摩托羅拉的Android智慧手機日前也遭微軟控告侵權，HTC也與蘋果對簿公堂。Google、蘋果等手機市場的新秀顯然已對摩托羅拉、微軟等老前輩構成競爭壓力，形成手機大廠互相控告侵權的戲碼不斷上演。

　　加拿大安大略省議會於2016年5月三讀通過修正健康資訊保護法（Health Information Protection Act, HIPA）。該法案藉由一連串措施，包括增加隱私保護、問責制與提升透明度，以提高病人地位。 1.在符合指令定義內，將違反隱私之行為強制性地通報與資訊與隱私專員； 2.強化違反個人健康資訊保護法之起訴流程，刪除必須於犯罪發生之六個月內起訴之規定； 3.個人犯罪最高額罰款提升到50,000元至100,000元，組織則為250,000元至500,000元。 　　而健康資訊保護法也將更新照護品質資訊保護法（Quality of Care Information Protection Act, QCIPA），有助於提升透明度，以保持醫療系統的品質，更新內容包括： 1.確認病患有權得知其醫療相關資料； 2.釐清不得對關於受影響的病患與家屬保留重要事項之資訊與事實； 3.要求健康與長照部（Minister of Health and Long-Term Care）每五年定期審查照護品質資訊保護法。 　　安大略省亦正著手研究由專家委員會提出，所有關於提升照護品質資訊保護法所稱重大事故透明度之建議。 　　藉著透過該目標，將可提供病患更快的醫療，更好的家庭與社區照顧，安大略政府希望可以透過上開手段以保護病患隱私以及加強其資訊透明度。