何謂「美國專利審理暨訴願委員會（PTAB）」?

　　美國專利商標局在2019年1月4日公布專利適格性審查指南（2019 Revised Patent Subject Matter Eligibility Guidance, 下稱新審查指南）。新審查指南對於如何使用美國最高法院Alice/Mayo測試法第一步驟（步驟2A），判斷專利請求項是否指向司法排除事項(judicial exception)，做了兩個主要修改： 　　(1)明確屬於「抽象概念」的排除事項包括：數學概念、組織人類活動的特定方法與心智活動。新審查指南並舉例說明數學概念包括數學關係、公式或方程式；組織人類活動的方法包括基本經濟原則或實踐、商業或法律互動關係，或管理個人行為或人與人之間的關係或互動；心智活動包括人類在心中執行的思想，例如觀察、評估、判斷或意見。根據新審查指南，審查委員不再需要將專利請求項與過去的判例比較來判斷專利標的是否屬於抽象概念。 　　(2)將判斷請求項是否指向司法排除事項的第一步驟（步驟2A）改為兩階段測試。首先，審查委員評估請求項是否屬於司法排除事項（自然法則、自然現象、抽象概念），若是，要進一步評估請求項是否有其他要素(element)可將該司法排除事項結合到「實際應用」中。若可，則不屬於司法排除事項。若無法將其結合到「實際應用」中，才須進行Alice/Mayo測試法第二步驟（步驟2B）的審查。新審查指南也對其他要素結合司法排除事項的「實際應用」提供例示，包括：反映電腦功能或其他技術的改進、應用該司法排除事項使特定疾病或醫療狀況的治療或預防產生效果、將該司法排除事項用在特定機器或製品中且在請求項中限定使用的機器或製品、使特定物品轉換到另一種狀態或成為另一種物品。 　　此修改將增加審查委員以抽象概念核駁專利請求項的舉證負擔，審查委員必須闡明為何發明不構成步驟2A中的「實際應用」，還要在步驟2B證明為何該元素屬於已熟知、常規或習知的行為。因此，新審查指南將使審查委員要以抽象概念核駁發明，特別是軟體相關發明的難度變高。 　　新審查指南已於2019年1月7日生效並徵求公眾意見，後續還可能會發生變化。此外，由於該指南不具有法律約束力，因此法院將如何根據新審查指南評估核准專利之有效性仍有待觀察。 「本文同步刊登於TIPS網站（https://www.tips.org.tw）」

中國國務院發布AI行動意見，全面推動智慧應用加速現代化建設 資訊工業策進會科技法律研究所 2025年12月10日 隨著人工智慧（下稱AI）技術的快速發展，全球各國政府均積極推動AI在百工百業各領域的應用，以提升國家創新力、產業競爭力與社會治理效能，中國政府亦是如此。同時，受地緣政治及經貿競爭的影響，中國政府為強化國家供應鏈安全與韌性，由政府主導加速現代化建設，以推動智慧社會新型態的發展為目標。 壹、事件摘要 中國國務院於2025年8月26日發布「關於深入實施人工智能+行動的意見」（國發［2025〕11號）（下稱行動意見）[1]，旨在全面推動AI應用於各行各業，以提升國內產業生產力與創新量能，並促進人機協作的智慧社會新型態，作為推動「中國式現代化」發展之重要建設。 貳、行動意見重點內容 於該行動意見中，中國國務院提出三項階段性目標，分別為： 一、 2027年前：AI應用普及率達70%以上 推動科技、產業、消費、民生、治理與全球合作的6大核心領域全面結合AI應用，擴大AI使用普及率達70%以上，以達加速公共治理與產業創新之成效。 二、 2030年前：AI應用普及率達90%以上 強化前述6大核心領域，持續擴大AI使用普及率可達90%以上，實現研發成果共享之效益。 三、 2035年前：AI應用普及率達100% 建立全面人機協作之智慧經濟與社會新型態，作為國家現代化建設之重要基礎。 為實現前述三階段目標，中國政府針對6大核心領域提出具體行動方向，重點整理如下： 一、 AI+科學技術 為加速科研進程並推動大模型建設與應用，將強化基礎科學研究平台和重要科技基礎建設的智慧化升級，打造開放式且高品質的共享資料集，以促進AI跨領域的結合發展。同時，亦積極促進AI帶動研發模式創新與效能的提升，以加速技術研發和產品應用落地。 二、 AI+產業發展 鼓勵企業將AI導入內部策略規劃、組織架構與業務流程設計等，以建構創新的商業模式；並在技術、產品與服務體系中推動智慧化應用，強化供應鏈各環節與AI的協作，同時最佳化工業、農業及服務業的生產與服務模式，藉以帶動傳統產業轉型升級，建構新型生態體系並加速整體產能提升。 三、 AI+消費增質 透過推動AI與服務的結合，建立多元及智慧化的服務模式，加速發展智慧消費相關基礎建設；此外，推動AI應用於各類商品與設備，重點發展智慧聯網汽車、智慧機器人、智慧家居、智慧穿戴等終端商品，加速技術融合與產品創新，以提升人民生活的品質。 四、 AI+民生福祉 透過推動人機協作的模式，提供新型的工作、學習與生活型態，建立更具智慧化的社會發展模式。例如，企業雇主可藉由AI協助建立新型組織架構和管理模式，提升傳統職務執行之效率，亦或是透過AI進行技能培訓以因應勞動力短缺之情形；學校教育面向則可推動AI融入教學教材，推動更加多元與互動之學習生態；生活方面則計劃推動AI健康照護、社會服務等領域廣泛應用，全面提升公共服務與生活品質，形成具包容性的智慧化社會。 五、 AI+智慧治理 推動AI全面導入社會治理過程，以促進市政管理、政務服務及公共資源運作的智慧化轉型，並利用AI強化公共安全與網路安全治理能力，完善國家安全防護的機制；於生態層面，將運用AI推動綠色永續與人機協作，強化於環境與碳管理領域的監測、預測及治理能力，促進高效及精準的治理模式。 六、 AI+全球合作 推動AI的普及與共向，建立開放生態系、強化運算能力、資料與人才領域的國際合作，共同提升全球南方AI基礎建設，縮減全球數位落差，協助各國可平等參與智慧化發展過程，共同因應AI應用相關風險，確保技術發展安全且可信賴地發展。 參、事件評析 從上述中國國務院發布之行動意見可知，其目標在於藉由強化安全及可信賴的AI，並促進AI應用於各領域的發展，以建構可持續性的智慧化生態系，提升社會治理效率與全民生活的品質，以利國家經濟與科技的共同發展。 然而，該行動意見雖明確提出國家整體目標及治理方向，為相關領域的智慧化發展提供指引，惟對於各項目標尚未提出可操作性措施、具體政策細節，或對產官學各單位可獲得的政府資源、技術支持與協助等進行明確規範。故後續仍需持續關注相應政策措施及配套資源的發布，以評估其實際推動AI應用之成效。 [1]《国务院关于深入实施“人工智能+”行动的意见》（國發[2025]11号）。

歐盟GDPR保護適足性審核與因應作為 資訊工業策進會科技法律研究所 法律研究員　吳柏凭 2018年04月10日 壹、事件摘要 　　歐盟於 1995 年頒布個人資料保護指令(95/46/EC)[1]，對歐洲各國甚至全世界個人資料保護法制發展有極大影響力。然隨著資通訊技術發展變化迅速，網際網路與各項應用興起，既有歐盟個人資料保護指令面對這些變化已經難以為繼，歐盟執委會(European Commission) 出新的資料保護規則（General Data Protection Regulation, GDPR），於2016年4月27日通過，5月4日公布，正式成為歐盟第2016/679號規則（Regulation (EU) 2016/679）[2]。由於歐盟原則上禁止個人資料跨境傳輸，只有在被認可具有保護適足性(Adequate level of protection)的國家或地區才能例外許可傳輸，因此如何獲得歐盟保護適足性認可，就成為能否跨境傳輸歐盟個資的關鍵。 貳、重點說明 一、個人資料保護指令保護適足性審查規定 　　1995年的個人資料保護指令，就有禁止會員國將個人資料跨境傳輸至對資料保護不具有保護適足性之國家[3]。在第25條第2項中，對於保護適足性的審查，包括資料的性質、處理目的和期間、資料的發生地及最終目的地、該國家施行的普通法及特別法規範、以及安全措施等，透過個案綜合判斷是否具有保護適足性[4]。而關於具體的判斷標準，則依照第29條規定資料保護工作小組（Article 29 Data Protection Working Party）的指導文件[5]，其中對於法律規範審查，除了內容外，更重視個資保護的執行面。 二、GDPR保護適足性審查規定 　　GDPR延續了個人資料保護指令的規定，原則上禁止資料跨境傳輸至對資料保護不具有適足性之國家[6]。根據第45條第2項規定，適足性的評估包括以下要素： 法治、對人權與基本自由之尊重、一般與部門之相關立法，包括有關公共安全、防衛、國家安全及刑法、公務機關對個人資料之接近使用權、及該等立法、資料保護規則、專業規則及安全措施之執行。 有一個或以上獨立監管機關之存在及有效運作，或對象為國際組織時，確保及執行資料保護規則之遵守，包括充足之執行權，以協助及建議資料主體行使其權利，並與會員國之監管機關合作； 個人資料向其他第三國或國際組織進一步移轉，該其他第三國或國際組織之規則、判例法、及有效且可執行之資料主體權利及個人資料受移轉之資料主體有效之行政與司法救濟；第三國或國際組織所加入之國際協定，或其他因具法律拘束力之合約或辦法、及從其參與多邊或區域體系而生之義務，尤其關於個人資料保護者。 　　以上規定與個人資料保護指令最大不同在於將保護適足性的判斷標準明文化，同時補充個人資料向第三地再傳輸應注意的規範、具有獨立性監管機關等規定，填補原本個人資料保護指令的漏洞。 三、保護適足性認可程序與現況 　　保護適足性認可的程序[7]為： 來自歐盟執委會的提案。 得到由歐盟各國資料保護機關組成之作業會議(European Data Protection Board)的意見。 得到歐盟各國代表的承認。 歐盟執委會合意認可。 　　縱然取得認可，之後也會每四年檢驗一次[8]，如果被判定不具保護適足性，則仍會取消原本的認可[9]。 　　現階段已通過保護適足性審核的國家地區包括：安道爾、阿根廷、加拿大（民間機構）、法羅群島、根西島、以色列、馬恩島、澤西島、紐西蘭、瑞士及烏拉圭，另有美國限於「隱私盾」框架(Privacy Shield framework)方可傳輸。 參、事件評析 （一）保護適足性認可的效益 　　除了取得適足性認可外，個別企業可以透過1.標準契約條款(Standard Contractual Clauses, SCC)；2.拘束企業準則(Binding Corporate Rules, BCR)；或3.取得同意方式進行跨境傳輸[10]。但是取得適足性認可不但可以節省企業在個資跨境傳輸的成本，減輕企業負擔，同時也有助於整體產業突破歐盟貿易壁壘。 （二）通過保護適足性審核的困難 　　雖然現行通過適足性審核的國家地區有11個，惟需注意的是，根西島、馬恩島、以及澤西島都是英國屬地，法羅群島是丹麥屬地，而安道爾和瑞士都是在歐洲境內，這些國家地區的法規範本來就與歐盟差距不大，加上美國及加拿大國家本身不被認可具適足性，實際上不屬於歐盟法體系而通過適足性審核的國家地區非常有限。而且包括以色列、烏拉圭或紐西蘭在申請認可都花超過三年的時間，因此也不能作為短期的因應措施。 　　此外，在要件方面，規範上雖然我國個資保護規範與GDPR未有極大歧異，但只要存有差異，要取得認可就有極高困難度，這些都需要與歐盟執委會溝通。而在監管機關要求方面，雖然沒有要求單一機關，但對於機關的「獨立性」仍有要求。關於機關的獨立性目前歐盟並沒有明確的標準，但在歐盟法院判決中，有因為德國的州對州層級的資料監管機關進行調查的權力，而被認為不具獨立性[11]。 （三）通過適足性審核的具體作為 　　以日本為例，為了取得歐盟適足性認可，在2015年9月就其個人資料保護法（個人情報保護法）進行修正，其中設立個人資料保護委員會（個人情報保護委員会）即是為了符合適足性要求中「獨立監管機關」規定，而第24條跨境傳輸的規定更是重要。 　　日本個人資料保護委員會在2016年就與歐盟執委會溝通三次[12]，同時在2017年發出共同聲明[13]。在不修正法律的狀況下，日本個人資料保護委員會頒布一指導方針來消除差異，並於於2018年2月9日先揭示調適方向[14]，包括： 將歐盟視為敏感性個人資料而日本未明文規定者，解釋上一律視為敏感性個人資料。 歐盟不管個人資料保管期間，一律可以主張權利，而日本則限保管期間6個月以上方可主張權利。指導方針對於歐盟跨境傳輸的個資，不管保管期限一律許其主張權利。 對歐盟跨境傳輸的個資將要求揭露特定利用目的。 對於歐盟跨境傳輸的個資再移轉，必需要透過契約等規制，確保資料受保護水準。 關於歐盟跨境傳輸的個資，在去識別化一定要確認無法再識別，以與歐盟去識別化資料定義相符。 肆、結語 　　歐盟GDPR已施行在即，如何因應以突破其跨境傳輸的限制將不只是單純避免業者受罰，更是跨越歐盟貿易壁壘的重要關鍵，而在眾多例外許可跨境傳輸的方法中，又以取得保護適足性認可為最根本因應之道。雖然現在取得認可的難度極高，但仍有許多能努力的空間，目前我國也著手申請適足性認可的準備，未來能得到何種程度的回應，值得後續觀察。 [1] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of Such Data. [2] Reform of EU data protection rules, European Commission, http://ec.europa.eu/justice/data-protection/reform/index_en.htm (last visited Apr.10, 2018). [3] Data Protection Directive, art. 25(1). [4] Data Protection Directive, art. 25(2). [5] European Commission, Working Party on Protection of Individuals with regard to the Processing of Personal Data, Working Documents Transfers of personal data to third countries: Applying Articles 25 and 26 of EU data protection directive, July 24, 1998. [6] General Data Protection Regulation, art. 45. [7] Adequacy of the protection of personal data in non-EU countries, https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en (last visited Apr.10, 2018). [8] General Data Protection Regulation, art. 45(3). [9] General Data Protection Regulation, art. 45(5). [10] General Data Protection Regulation, art. 46. [11]European Commission v. Federal Republic of Germany(C-518/07). [12]個人情報保護委員会，個人情報保護委員会の国際的な取組について，https://www.kantei.go.jp/jp/singi/keizaisaisei/miraitoshikaigi/4th_sangyokakumei_dai2/siryou3.pdf (last visited Apr.10, 2018). [13]JETRO，個人データ保護の「十分性認可」取得の好機に－日EU首脳が共同声明－，https://www.jetro.go.jp/biznews/2017/07/845f14ec50674c94.html (last visited Apr.10, 2018). [14]個人情報保護委員会，EU 域内から十分性認可により移転を受けた個人データの取扱いに関するガイドラインの方向性について ，https://www.ppc.go.jp/files/pdf/300209_siryou1.pdf (last visited Apr.10, 2018).