歐盟執委會提出「具可信度之人工智慧倫理指引」

　　新加坡通訊及新聞部（Ministry of Communications and Information, MCI）與新加坡個人資料保護委員會（Personal Data Protection Commission, PDPC）於西元2020年5月14日至28日間針對其「個人資料保護法修正草案」進行民眾意見諮詢，總共收到87份回覆。綜合民眾回覆之意見後，同年10月5日，於議會提出了「個人資料保護法修正草案」，修正重點如下： 提高外洩個人資料者罰鍰金額，至該公司在新加坡年營業額10%或1000萬美元。MCI / PDPC說明，實際上於裁罰前會綜合考量個案事實與相關因素（如：嚴重性、可歸責性、影響狀況、組織有無採取任何措施減輕個資外洩造成的影響等），作為裁罰金額的判斷依據。此外，新加坡的個人資料保護法也加入了個資外洩通知義務，但與歐盟一般資料保護規範（General Data Protection Regulation, GDPR）仍有不同，例如：其多了評估是否通知的機制。 組織基於商業改善之目的，且遵守法定條件下，得未經同意使用個人資料，此處商業改善目的包含：(1)改善或加強提供之商品或服務，或開發新的商品或服務；(2)改善或發展新的營運方式；(3)瞭解客戶喜好；(4)客製化商品或服務所需。 在公司併購、重組、出售股份以及經營權轉讓等關於公司資產處置情形，得例外無需經當事人同意而蒐集、處理與利用個人資料。 新增資料可攜權相關規定。 處罰未經授權者處理個人資料之行為。針對民眾回覆之疑慮（認為草案內容不明確），MCI / PDPC說明預計在《法規與諮詢指南》中闡明有關授權行為的細節性規定，包含採取的形式。

2024年7月1日，美國實務界律師撰文針對使用生成式AI（Generative AI）工具可能導致的營業秘密外洩風險提出營業秘密保護管理的強化建議，其表示有研究指出約56%的工作者已經嘗試將生成式AI工具用於工作中，而員工輸入該工具的資訊中約有11%可能包含公司具有競爭力的敏感性資訊或客戶的敏感資訊，以Chat GPT為例，原始碼（Source Code）可能是第二多被提供給Chat GPT的機密資訊類型。系爭機密資訊可能被生成式AI工具提供者（AI Provider）用於訓練生成式AI模型等，進而導致洩漏；或生成式AI工具提供者可能會監控和存取公司輸入之資訊以檢查是否有不當使用，此時營業秘密可能在人工審查階段洩漏。 該篇文章提到，以法律要件而論，生成式AI有產生營業秘密之可能，因為營業秘密與著作權和專利不同之處在於「發明者不必是人類」；因此，由生成式 AI 工具協助產出的內容可能被視為營業秘密，其範圍可能包括：公司的內部 AI 平台、基礎的訓練算法和模型、輸入參數和輸出結果等。惟基於目前實務上尚未有相關案例，故生成式AI輸出結果在法律上受保護的範圍與條件仍需待後續的判例來加以明確。 實務專家提出，即使訴訟上尚未明確，企業仍可透過事前的管理措施來保護或避免營業秘密洩露，以下綜整成「人員」與「技術」兩個面向分述之： 一、人員面： 1.員工（教育訓練、合約） 在員工管理上，建議透過教育訓練使員工了解到營業秘密之定義及保護措施，並告知向生成式AI工具提供敏感資訊的風險與潛在後果；培訓後，亦可進一步限制能夠使用AI工具的員工範圍，如只有經過培訓及授權之員工才能夠存取這些AI工具。 在合約方面，建議公司可與員工簽訂或更新保密契約，納入使用生成式AI的指導方針，例如：明確規定禁止向生成式AI工具輸入公司營業秘密、客戶數據、財務信息、未公開的產品計劃等機密資訊；亦可增加相關限制或聲明條款，如「在生成式AI工具中揭露之資訊只屬於公司」、「限制公司資訊僅能存儲於公司的私有雲上」等條款。 2.生成式AI工具提供者（合約） 針對外部管理時，公司亦可透過「終端使用者授權合約（End User License Agreement，簡稱EULA）」來限制生成式AI工具提供者對於公司在該工具上「輸入內容」之使用，如輸入內容不可以被用於訓練基礎模型，或者該訓練之模型只能用在資訊提供的公司。 二、技術方面： 建議公司購買或開發自有的生成式AI工具，並將一切使用行為限縮在公司的私有雲或私有伺服器中；或透過加密、防火牆或多種編碼指令（Programmed）來避免揭露特定類型的資訊或限制上傳文件的大小或類型，防止機密資訊被誤輸入，其舉出三星公司（Samsung）公司為例，三星已限制使用Chat GPT的用戶的上傳容量為1024位元組（Bytes），以防止輸入大型文件。 綜上所述，實務界對於使用生成式AI工具可能的營業秘密風險，相對於尚未可知的訴訟攻防，律師更推薦企業透過訴訟前積極的管理來避免風險。本文建議企業可將前述建議之作法融入資策會科法所創意智財中心於2023年發布「營業秘密保護管理規範」中，換言之，企業可透過「營業秘密保護管理規範」十個單元（包括從最高管理階層角色開始的整體規劃建議、營業秘密範圍確定、營業秘密使用行為管理、員工管理、網路與環境設備管理、外部活動管理，甚至是後端的爭議處理機制，如何監督與改善等）的PDCA管理循環建立基礎的營業秘密管理，更可以透過上述建議的做法（對單元5.使用管理、單元6.1保密約定、單元6.4教育訓練、單元7.網路與環境設備管理等單元）加強針對生成式AI工具之管理。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　美國CFIUS又稱為美國外資投資委員會（Committee on Foreign Investment in the United States），其依據1950年國防製造法（Defense Production Act of 1950）第721款The Exon-Florio修正案，授權組成的政府委員會。 　　美國外資投資委員會CFIUS的主要任務，在於審查外資併購交易，以防外國人透過跨國企業併購方式，控制美國企業，危及國家經濟與軍事安全並導致本國高科技技術外流。 　　美國在2007年簽署「外國投資和國家安全法」（The Foreign Investment and National Security Act of 2007，簡稱FINSA），該法案針對外國投資安全審查項目，包括加強國家安全概念、完善CFIUS審查與監督職責等。 　　近期，新的立法提案方向為「外國投資風險審查現代化法案」（the Foreign Investment Risk Review Modernization Act of 2017，簡稱FIRRMA）。此法案目標是推展CFIUS現代化改革，限制外資對美國科技公司和基礎設施的投資，以維護國家安全。該法案將帶給國會、外商投資及CFIUS的監管環境顯著改變，具體內容包括擴大CFIUS管轄權與權力、擴大對美國關鍵技術與基礎設施投資審查、增加國家安全風險考量因素等。

　　聯合國國家安全組織(U.N. National Security Agency)計畫於一項名為Q6/17之「網路使用者身份管理計畫」提案中，討論如何以修改網路架構之方式，確保網路通訊來源之真實性與可追溯性。此項計畫被認為可能對網路匿名性產生極大衝擊。 　　目前網路所賴以溝通訊息之TCP/IP通訊架構，仍允許使用者於一定範圍內保有於網路上匿名發言或活動之可能，例如Tor線上匿名軟體(Tor: anonymity online)之運作即是。然而，此種匿名式的運作架構，被抨擊可能威脅網路安全，例如駭客可利用大量偽造來源地址(spoofed source IP addresses)，發動分散式阻斷服務(DDoS)攻擊。 　　有鑑於此，Q6/17提案乃嘗試藉由網路連線技術架構的調整，確保未來任何網路上之活動皆可追蹤出原始網路通訊來源(“IP Trackback”)。然而，此種作法被批評為將摧毀網路匿名特性，並對個人隱私造成侵害，或成為各國政府打擊政治異議人士的工具。發表匿名言論權利曾受許多國家憲法或國際條約的肯認，例如1995年美國最高法院於McIntyre v. Ohio Elections Commission一案，做出「匿名發表權乃受憲法保護之人民基本權」見解，歐盟亦有「網路通訊自由宣言(Declaration on Freedom of Communication on the Internet)」。故Q6/17嘗試消弭發表網路匿名言論之技術突破，是否能通過世界各國憲法之嚴格檢驗，仍值得後續關注研究。