英國商業、能源及產業策略部發布智慧饋電保證公眾諮詢

2022年11月美國OpenAI公司推出人工智慧大型語言模型ChatGPT，提供全球使用者透過輸入文本方式向ChatGPT提出問題，雖營業秘密不需絕對保密，惟是否會「因向ChatGPT揭露營業秘密而使營業秘密喪失了秘密性」？ 依OpenAI公司「非API訪問數據政策」規定，ChatGPT透過OpenAI公司的AI訓練人員審核「使用者上傳至ChatGPT的資訊」，提供ChatGPT反饋，強化ChatGPT進行有效的學習，讓ChatGPT模仿人類語言回覆使用者所提出的問題。在AI訓練人員未將「使用者上傳至ChatGPT的資訊」交由ChatGPT訓練、學習前（上次訓練是在2021年9月），此聊天內容不會成為ChatGPT給其他使用者的回答，此時資訊對於公眾仍具秘密性。依據ChatGPT的使用條款第5（a）條之單方保密義務規定：「OpenAI公司、其子公司及其他第三方公司可能賦予使用者『機密資訊的接觸權限』，但使用者僅限於使用條款所允許的服務中使用該些機密資訊，不得向第三方揭露該機密資訊，且使用者至少應採取合理的注意保護該機密資訊。所謂機密資訊係指OpenAI公司、其子公司及其他第三方公司（1）指定的非公開資訊，或（2）合理情況下，被認定為機密資訊者，比如軟體、規格及其他非公開商業資訊。」。即ChatGPT對於使用者輸入的聊天內容不負保密義務。 公司將程式碼、會議紀錄等敏感資訊與ChatGPT共享，不必然屬於「因揭露營業秘密而使營業秘密喪失秘密性」，考量訓練數據量大，秘密性取決於周遭環境與揭露性質，例如： 1.揭露的資訊類型，比如飲料配方可能會比客戶名單更容易取得。 2.揭露的環境，比如競爭對手、大眾是否能提出具體問題，以致能取得他人聊天內容的營業秘密。 為在ChatGPT的趨勢下確保營業秘密的秘密性，建議企業採取的管理策略如下： 1.透過「資訊分類」以識別可共享的資訊。 2.審核涉及敏感資訊的協議、公司政策及供應商契約。 3.採取實體、數位的資訊保密措施，並留意尊重員工隱私，比如限制接觸某些網站或應用程式，應留意員工的手機是否能繞過此限制。 4.建立公司保密文化，如透過公司培訓、新人入職教育訓練，定期提醒其應負擔的保密義務。 本文同步刊登於TIPS網站（https://www.tips.org.tw）。

歐盟資料保護監督機關（European Data Protection Supervisor, EDPS）於2024年12月13日，就歐洲數位權利中心（Noyb - The European Center for Digital Rights，下稱noyb）之申訴做成決定，認定歐盟執委會（European Commission, EC）於社群媒體上依據使用者的政治傾向投放精準廣告，違反歐盟機構資料保護規則（Data Protection Regulation for EU institutions, bodies, offices and agencies, EUDPR），對EC作成訓誡處分。 本案背景事實：EC在2023年9月15日至28日間，於社群網站X上投放了精準廣告，旨在向公眾傳達EC當時正在推動的兒少性剝削防治法（Child Sexual Abuse Regulation, CSAR）草案。該草案本身亦因涉及對數位通訊服務的管制而引發了隱私爭議。EC委託X依照其制定的受眾方針進行廣告投放，該投放方針定義了某些包含和排除關鍵字，和排除了與政治利益相關的帳戶。該政策顯示，包含的關鍵字多與「親歐盟」的立場與情緒相關，包含特定政黨如荷蘭自由民主人民黨（Dutch VVD）；而排除的關鍵字則多與「疑歐論」的立場與情緒相關，如Viktor Orban。X並透過關鍵字定位和相似（look-alike）策略，根據關鍵字和與代表資料（proxy data）相比較下顯示出的相似性，篩選成年荷蘭公民進行精準廣告投放。 Noyb認為此類廣告投放操作已經涉及EUDPR第10條第1項的特種個資（政治立場），在同條第2項之許可性條件未獲滿足之情況下，已構成EUDPR第4條第1項(a)的合法性原則的違反。EC則主張其並未利用X使用者的個人資料，也未打算處理特種個資，只是使用X的服務。EC還主張，為了傳達立法草案，並基於EC依歐盟條約（Treaty of EU, TEU）的提案權，其行為也應該被認為是出於EUDPR第5條第1項(a)的公共利益，具備合法基礎。 EDPS經過調查後，認定： 1.EC透過委託投放廣告和制定受眾方針，決定了資料處理的目的（purpose determination），在此範圍內，也應被認為是資料控制者。 2.社群媒體供應商透過比較和關鍵字分析將使用者歸類為具有某些宗教、哲學或政治信仰，亦屬處理了使用者的特種個資。 3.雖然當事人若屬主動公開特種個資，會滿足EUDPR第10條第2項(e)的許可性條件，但依照歐盟法院判決先例，僅點讚某些貼文不當然等於當事人主動公開其這類動態個人活動資料，且即便當事人使用公開帳戶可能滿足許可性條件，該資料之處理仍須具備合法性基礎。 4.TEU中有關提案權之規定本質上非常籠統，難認包含EC的宣傳活動。因此EC進行的資料處理其實並不符合EUDPR第5條所謂的有明確法律依據要求，從而，難認具備執行符合公共利益的任務之合法基礎。 5.最後，雖然EDPS認為EC違反EUDPR，但也同時認為，廣告已經結束，並無罰款的必要，因此僅對EC做成訓誡處分。

　　日本國土交通省於2017年2月修正《道路運輸車輛安全基準》第55條第1項、第56條第1項及第57條第1項規定之告示，放寬車輛安全基準規定，期望自動駕駛實驗能順利展開。惟在各種自動駕駛實驗中，遠距型自動駕駛系統是透過電信通訊技術，從遠距離外操作車輛行駛，儘管修法後已放寬安全基準規定，但其仍與現行以車內有駕駛為前提而訂定之《道路運輸車輛安全基準》相距甚遠，想一律判斷其符合安全基準有所困難。據此，為使遠距型自駕系統道路實驗能夠順利進行，國土交通省於2018年3月30日創設「搭載遠距型系統自駕車基準緩和認定制度」，明確規定遠距型自駕系統實施道路實驗所需各項手續。 　　「搭載遠距型系統自駕車基準緩和認定制度」規定項目包括︰申請放寬基準之對象、申請者、申請書及繳交文件、審查項目、條件及限制、基準放寬之認定、車體標示、行政處分等。

　　澳洲隱私保護辦公室(Office of the Australian Information Commissioner, OAIC)專員今年(2016)4月發表聲明認為，在符合特定條件之情形下，亦即，去識別化過程符合OAIC認定之最高標準時，去識別化後之資料不適用「1988隱私法案」(Privacy Act)；澳洲企業組織目前所進行之個人資料去識別化，是否已符合「1988隱私法案」之規範要求，OAIC仍持續關注。OAIC近期準備提出去識別化認定標準之指引草案。 　　澳洲「1988隱私法案」揭示了「澳洲隱私原則」(Australian Privacy Principles, APPs)，就非公務機關蒐集、利用、揭露與保存設有規定，APPs第6條更明文限制非公務機關揭露個人資料，於特定情況下，APPs允許個人資料經去識別化後揭露。例如，APPs第11.2條規定，若非公務機關當初之蒐集、利用目的已消失，須以合理方式將個人資料進行銷毀或去識別化。 　　如非公務機關係合法保有個人資料，即無銷毀或去識別化義務；此外，若所保有個人資料屬健康資料者，因係澳洲政府機關以契約方式委託非公務機關，非公務機關亦無銷毀或去識別化義務。應注意者，APPs原則上禁止非公務機關基於學術研究、公共衛生或安全之目的，主動蒐集個人健康資料 (APPs第16B(2)條)，同時亦禁止基於學術研究、公共衛生或安全目的，就保有之個人資料進行去識別化 (APPs第16B(2)(b)條)。如非基於前述目的，且符合APPs第16B(2)條之要件者，非公務機關始得基於研究、公共衛生或安全目的蒐集個人健康資料 (APPs第95A條)。 　　其他如「稅號指引」(Tax File Number Guidelines)、隱私專員所提「2014隱私(財務信用有關研究)規則」(Privacy Commissioner’s Privacy (Credit Related Research) Rule 2014) 等，均就個人資料去識別化訂有相關規範。 　　未來以資料為導向之經濟發展，將需堅實的隱私保護作為發展基礎，澳洲去識別化個人資料認定標準之提出，以及標準之認定門檻，殊值持續關注。