何謂「三螺旋理論」

　　卡爾斯魯爾行政法院在今年6月7日公布第一個關於歐盟個人資料保護規則（Datenschutzgrundverordnung，DSGVO）的判決。在本案中，原告是一間負責處個人信用資料的民間公司，其依據現行BDSG（Bundesdatenschutzgesetz，聯邦個人資料保護法）的規定來蒐集、保存與傳輸個人資料給第三人。巴登符騰堡邦的主管機關在預見原告將來會違反DSGVO規定的情況下，向原告發出一份行政處分（Verfügung），要求原告必須依照DSGVO的相關規定調整作業流程以符合DSGVO的規範。但原告認為，其只需要在2018年5月24號之後，就相關作業流程符合DSGVO的規範即可。 　　本案的關鍵在於，主管機關是否已經可以用DSGVO的規定來規範民間企業？因為依據DSGVO第99條的規定，DSGVO現雖已生效，但必須到2018年5月25日才開始適用。 　　根據BDSG第38條第5項規定，監督機構可以採取必要措施，確保民間企業在收集、傳播和使用個人資料時遵守相關保護規定；且本案中，原告在2018年5月24號後可能會出現的違法情形也已顯而易見，但法院並不同意行政機關可以預先發布行政處分的看法。因為DSGVO雖已生效，但民間企業必須適用的期限仍未屆至。行政機關不得在未有法律授權的情況下，預先規範限制未來的可能違法行為。現行法律對於行政機關的授權範圍必須被嚴格遵守，在DSGVO未開始適用的情況下，目前行政機關仍只能依據BDSG及DSAnpUG（Datenschutzanpassungs- und Umsetzungsgesetz，個人資料保護調整和施行法）的規定，來處理相關的行政措施。

　　印度「專利設計與商標管理局」（Controller General of Patents, Designs and Trademarks）於2016年2月19日發佈最新的「審查電腦相關之發明專利準則」（Guidelines for Examination of Computer Related Inventions, CRIs），決定在專利申請之審查程序中落實印度於1970年所制定的專利法(Patents Act, 1970)之意旨，未來當局將不再受理與電腦相關的軟體專利申請案。印度《專利法》第3條第k項排除本質上為數學演算法、商業方法與電腦程式運算法則等申請案之可專利性（Patentable）。該規定在印度《專利法》於2002年、2004年與2005年修法過程中，雖面臨各方利益團體試圖影響國會立法放寬法定可專利性範圍的壓力，但仍然為印度國會（Bhārat kī Sansad）所保留。 　　然而，印度「專利設計與商標管理局」卻於2015年8月21日發佈違反《專利法》意旨的CRIs，導致軟體專利的可專利性被實質上放寬。一般認為開放申請軟體專利的政策將會阻礙新創公司的發展，並有利於所謂「專利主張實體」（Patent Assertion Entity, PAE）藉大量軟體專利向一般公司提起訴訟或請求授權金，導致印度當局遭受國內新創軟體公司與相關非政府組織的激烈抗議。 　　「自由軟體法律中心」（Software Freedom Law Center, SFLC）與「印度軟體產品圓桌會議」（Indian Software Product Industry Round Table, iSPIRT）等機構即代表眾多新創公司與學術界人士上書印度「總理辦公室」（Prime Minister’s Office），請求政府對2015年8月發佈的CRIs進行檢討。SFLC等組織的積極作為，成功說服印度當局作出暫緩該高度爭議的CRIs生效之決定。代表SFLC等組織的專家表示，印度的軟體已受到《著作權法》與《營業秘密法》的足夠保障，進一步開放發明人申請軟體專利只會對該國軟體產業並無助益。 　　印度當局與相關團體在數個月間密集的進行研議，終於在2016年2月決定修正原先發佈的CRIs，使其回歸印度《專利法》不開放軟體專利申請的立法意旨。

　　「合成資料」（synthetic data）的出現，是為了保護原始資料所可能帶有的隱私資料或機敏資料，或是因法規或現實之限制而無法取得或利用研究所需資料的情況下，透過統計學方法、深度學習、或自然語言處理等方式，讓電腦以「模擬」方式生成研究所需之「合成資料」並進行後續研究跟利用，透過這個方法，資料科學家可以在無侵犯隱私的疑慮下，使合成資料所訓練出來的分類模型（classifiers）不會比原始資料所訓練出來的分類模型差。 　　在合成資料的生成技術當中，最熱門的研究為運用「生成對抗網路」（Generative Adversarial Network, GAN）形成合成資料（亦有其他生成合成資料之方法），生成對抗網路透過兩組類神經網路「生成網路」（generator）與辨識網路（discriminator）對於不同真偽目標值之反覆交錯訓練之結果，使其中一組類神經網路可生成與原始資料極度近似但又不完全一樣之資料，也就是具高度複雜性與擬真性而可供研究運用之「合成資料」。 　　英國國防科技實驗室（Defense Science and Technology Laboratory, DSTL）於2020年8月12日發布「合成資料」技術報告，此技術報告為DSTL委託英國航太系統公司（BAE Systems）的應用智慧實驗室（Applied Intelligence Labs, AI Labs）執行「後勤科技調查」（Logistics Technology Investigations, LTI）計畫下「資料科學與分析」主題的工作項目之一，探討在隱私考量下（privacy-preserving）「合成資料」當今技術發展情形，並提供評估技術之標準與方法。 　　技術報告中指出，資料的種類多元且面向廣泛，包含數字、分類資訊、文字與地理空間資訊等，針對不同資料種類所適用之生成技術均有所不同，也因此對於以監督式學習、非監督式學習或是統計學方法生成之「合成資料」需要採取不同的質化或量化方式進行技術評估；報告指出，目前尚未有一種可通用不同種類資料的合成資料生成技術或技術評估方法，建議應配合研究資料種類選取合適的生成技術與評估方法。

　　2012年歐洲議會發表的綠皮書「邁向信用卡、網路以及手機支付的整合歐洲市場(Towards an integrated European market for card, internet and mobile payments)」，並進行廣泛的公眾意見徵詢，舉辦公聽會，最後決議進行現有歐洲支付法制架構的修正。歐盟支付服務指令修正案(revised Payment Service Directives, PSD2)於2013年7月由執委會提出，2015年10月歐洲議會通過，今年1月12日生效，預期英國、保加利亞、丹麥、德國、奧地利以及法國將會率先修正原有的支付服務法制完成轉換。產業界一致對於修正案表示歡迎，因為本次修正將會大幅提升支付創新應用的發展可能，尤其是行動支付。 　　PSD2之重大修正包含針對支付服務的內容作出修正，新增第三方支付服務提供人(third party payment service provider，簡稱TPP)為支付服務之內容(附件一第7項)。TPP的內涵為透過對於其它支付服務提供者的支付帳戶的存取，提供包含支付發動服務(payment initiation services)以及帳戶資訊服務(account information services)。依照第58條規定，TPP服務提供者具備下列義務： 1.確保支付服務使用者的個人化安全資訊不會被其它人取得。 2.以明確的方式向帳戶之支付服務提供者認證自己的身分。 3.不儲存支付服務使用者的敏感支付資訊或個人化安全憑證。 　　除此之外，PSD2明確將純粹的技術服務提供者排除於支付機構之範圍，無需適用支付服務指令。 　　PSD2亦授權EBA發布相關規定制定技術門檻，包含強力的客戶身分認證以及通訊資訊標準。