美國FDA發布保密證書指引草案,可防止研究人員被迫揭露研究參與者可識別個人之敏感性資料
美國FDA(Food and Drug Administration)於2019年11月22日發布「保密證書(Certificates of Confidentiality, CoC)」指引草案。保密證書之目的在於防止研究人員在任何聯邦、州或地方之民事、刑事、行政、立法或其他程序中被迫揭露有關研究參與者可識別個人之敏感性資料,以保護研究參與者之隱私。保密證書主要可分為兩種,對於由聯邦所資助,從事於生物醫學研究、行為研究,臨床研究或其他研究,於研究時會收集可識別個人之敏感性資料之研究人員而言,保密證書會依法核發予該研究人員,稱為法定型保密證書(mandatory CoC);而對於從事非由聯邦所資助之研究的研究人員而言,原則上保密證書不會主動核發予該研究人員,惟當研究涉及FDA管轄之產品時,可由FDA自行裁量而核發保密證書,稱為裁量型保密證書(discretionary CoC),本指引草案旨在提供裁量型保密證書之相關規範。
FDA建議裁量型保密證書之申辦者先自問以下四個問題,且所有問題之答案應該皆為肯定:(1)申辦者所參與之人體研究是否收集可識別個人之敏感性資料?(2)申辦者是否為該臨床研究之負責人?(3)申辦裁量型保密證書之人體研究是否涉及受FDA管轄之產品的使用或研究?(4)申辦者之研究措施是否足以保護可識別個人之敏感性資料之機密性?
於FDA完成審查後,將向申辦人傳送電子回覆信件,表明是否核准裁量型保密證書。若結果為核准,則該電子回覆信件即可作為保密證書。該保密證書之接受者應執行法律所規定以及FDA於電子回覆信件中所要求之保證事項,以保護人體研究參與者之隱私。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
施雅薰
法律研究員 編譯整理
Certificates of Confidentiality: Guidance for Sponsors, Sponsor-Investigators, Researchers, Industry, and Food and Drug Administration Staff, FDA, Nov. 2019, https://www.fda.gov/regulatory-information/search-fda-guidance-documents/certificates-confidentiality (last visited Jan. 6, 2020)
德國經濟及能源部於2018年3月8日為企業聯網資訊安全保護措施建議及資料保護、資料所有權相關法規提出建議文件,協助中小企業提升對於組織及特別領域中的資安風險之意識,並進一步採取有效防護檢測,包括基本安全防護措施、組織資安維護、及法規,並同時宣導德國資料保護法中對於資安保護的法定要求。 資通訊安全及其法規係為企業進行數位化時,涉及確保法的安定性(Rechtssicherheit)之議題。例如:應如何保護處理後的資料?如何執行刪除個人資料權利?各方如何保護營業秘密?如果資料遺失,誰應承擔責任?唯有釐清上述相關等問題時,方能建立必要的信任。而在德國聯邦資料保護法,歐盟一般個人資料保護法、歐盟網路與資訊安全指令等規範及相關法律原則,係為數位創新企業執行資安基礎工作重要法律框架。但是,由於數位化的發展,新的法律問題不斷出現,目前的法律框架尚未全面解決。 例如,機器是否可以處理第三方資料並刪除或保存?或是誰可擁有機器協作所產生的資料?因此,未來勢必應針對相關問題進行討論及規範。鑑於日益網路化和自動運作的生產設備,工業4.0的IT法律問題變得複雜。一方面,需要解決中、大型企業的營業祕密,資料所有權和責任主題之實際問題,以促進相關數位化創新。另一方面,為了能夠推導出現實的法律規範,需要更多具體實施案例討論,例如,企業家對產品責任問題,人工智慧使用,外包IT解決方案,及雲端計算等核心等問題,政府應協助為所有公司在安全框架下展開數位計畫合作的機會,並充分利用網路的潛力,而中小企業4.0能力中心也將為中小型公司在數位化目標上提供IT法問題方面的支持。
歐盟發布《營業秘密訴訟趨勢報告》指出,企業應明確界定營業秘密範圍與強化保密措施之落實歐盟智慧財產局(EUIPO)於2023年6月底發布了《歐盟營業秘密訴訟趨勢報告》(Trade Secrets Litigation Trends in the EU),本報告包含三大部分,分別為判決之量化分析、法律要件之質化分析、各會員國之重要判決摘要,內容涵蓋了2017年1月1日至2022年10月31日間,27個會員國的695個訴訟案件。其重點摘要如下: 一、案件涉及之類型分析 1、約41%的案件與離職員工有關。 2、約17%的案件與商業合作對象有關。 3、約30%的案件雙方無明確的契約關係(但報告中指出此項統計包含員工離職後自行創業,原告以該離職員工及該公司為被告的情況)。 二、案件涉及之營業秘密標的分析(同一訴訟案件可能包含多個標的) 1、約62%的標的為「商業性營業秘密」。其中配銷通路(distribution methods)、廣告策略、行銷資料、客戶名單等供應鏈「下游資訊」(downstream information)占31%最多;定價模式及會計資料等「財務資訊」占13%次之。 2、約33%的標的為「技術性營業秘密」,其中有19%與「製程」(manufacturing process)有關。 3、僅3%的標的為原型(prototypes)或尚未公開的產品設計。 三、案件涉及之產業別分析(根據「歐盟標準行業分類第二修正版NACE Rev. 2」分類) 整體來說,歐盟營業秘密訴訟案件所涉及的產業別相當多元,簡要說明如下: 1、排名第一的產業別為「製造業」(manufacturing),占32%。其中最常涉訟的子產業別為「機械設備製造業」(manufacture of machinery and equipment)及「化學製品製造業」(manufacture of chemicals and chemical products)。 2、排名第二的產業別為「批發及零售業;汽機車維修業」(wholesale and retail trade;repair of motor vehicles and motorcycles)占11%。 3、排名第三的產業別為「金融及保險業」(financial and insurance activities)及「專業、科學及技術服務業」(professional, scientific and technical activities),分別占7%。 四、被告提出之抗辯分析 報告中指出,原告提出之營業秘密主張被法院採認的比例僅27%,有約73%的案件法院最終是做出有利於被告的認定。而被告最常提出的抗辯,第一為抗辯原告所主張之系爭資訊是普遍共知(generally known),不具備秘密性;第二為抗辯原告未採取合理保密措施。 最後,報告結論分析歐盟營業秘密判決的三大趨勢,其中一項趨勢指出,營業秘密所有人若要強化契約措施(如保密協議)於訴訟中的證明力,應明確識別與界定系爭營業秘密的範圍。因此,企業應建立營業秘密管理的整體政策(譬如與員工簽訂之勞動契約中,應明確界定其保密義務範圍;員工離職時應落實離職面談,再次提醒員工應遵守的保密義務範圍等),以便於發生爭議時有效主張權利。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
CRTC以違反加拿大「反垃圾郵件法」對波特航空開罰加拿大之地區航空公司-波特航空(Porter Airlines),因違反當地「反垃圾郵件法」(Anti-Spam Law),於2015年6月29日被加拿大廣播電視及通訊委員會(Canadian Radio-television and Telecommunications Commission,簡稱CRTC)裁罰150,000美元。 2014年7月1日施行之反垃圾郵件法,係為杜絕因濫發郵件而對資料當事人造成困擾所制定。在該法中,針對寄送商業電子訊息要求需符合「獲得當事人同意」、「識別發送人之資訊」、「取消訂閱功能設計」等三項條件。然而,波特航空所寄出之商業電子訊息,卻:(1)未設計退訂機制供資料當事人選擇退訂;(2)未提供法規要求之發送人完整聯絡訊息;(3)資料當事人提出取消商業電子郵件訂閱之請求,未於法定之10個工作日內執行;(4)自2014年7月至2015年2月寄出之每一封商業電子郵件,波特航空無法證明其已獲當事人之同意而為之。 CRTC法遵暨執行部門主席Manon Bombardier認為,在過去,企業都習慣依照一般商業慣例或內部政策執行相關工作,透過此一個案,希望能對其他企業產生警示作用。企業應針對發送電子商業訊息之部分,重新檢視並審查其內部相關程序及步驟,是否確實符合當地法規要求及條件,以免類似觸法事件再度發生。
因應使用「生成式AI(Generative AI)」工具的營業秘密管理強化建議2024年7月1日,美國實務界律師撰文針對使用生成式AI(Generative AI)工具可能導致的營業秘密外洩風險提出營業秘密保護管理的強化建議,其表示有研究指出約56%的工作者已經嘗試將生成式AI工具用於工作中,而員工輸入該工具的資訊中約有11%可能包含公司具有競爭力的敏感性資訊或客戶的敏感資訊,以Chat GPT為例,原始碼(Source Code)可能是第二多被提供給Chat GPT的機密資訊類型。系爭機密資訊可能被生成式AI工具提供者(AI Provider)用於訓練生成式AI模型等,進而導致洩漏;或生成式AI工具提供者可能會監控和存取公司輸入之資訊以檢查是否有不當使用,此時營業秘密可能在人工審查階段洩漏。 該篇文章提到,以法律要件而論,生成式AI有產生營業秘密之可能,因為營業秘密與著作權和專利不同之處在於「發明者不必是人類」;因此,由生成式 AI 工具協助產出的內容可能被視為營業秘密,其範圍可能包括:公司的內部 AI 平台、基礎的訓練算法和模型、輸入參數和輸出結果等。惟基於目前實務上尚未有相關案例,故生成式AI輸出結果在法律上受保護的範圍與條件仍需待後續的判例來加以明確。 實務專家提出,即使訴訟上尚未明確,企業仍可透過事前的管理措施來保護或避免營業秘密洩露,以下綜整成「人員」與「技術」兩個面向分述之: 一、人員面: 1.員工(教育訓練、合約) 在員工管理上,建議透過教育訓練使員工了解到營業秘密之定義及保護措施,並告知向生成式AI工具提供敏感資訊的風險與潛在後果;培訓後,亦可進一步限制能夠使用AI工具的員工範圍,如只有經過培訓及授權之員工才能夠存取這些AI工具。 在合約方面,建議公司可與員工簽訂或更新保密契約,納入使用生成式AI的指導方針,例如:明確規定禁止向生成式AI工具輸入公司營業秘密、客戶數據、財務信息、未公開的產品計劃等機密資訊;亦可增加相關限制或聲明條款,如「在生成式AI工具中揭露之資訊只屬於公司」、「限制公司資訊僅能存儲於公司的私有雲上」等條款。 2.生成式AI工具提供者(合約) 針對外部管理時,公司亦可透過「終端使用者授權合約(End User License Agreement,簡稱EULA)」來限制生成式AI工具提供者對於公司在該工具上「輸入內容」之使用,如輸入內容不可以被用於訓練基礎模型,或者該訓練之模型只能用在資訊提供的公司。 二、技術方面: 建議公司購買或開發自有的生成式AI工具,並將一切使用行為限縮在公司的私有雲或私有伺服器中;或透過加密、防火牆或多種編碼指令(Programmed)來避免揭露特定類型的資訊或限制上傳文件的大小或類型,防止機密資訊被誤輸入,其舉出三星公司(Samsung)公司為例,三星已限制使用Chat GPT的用戶的上傳容量為1024位元組(Bytes),以防止輸入大型文件。 綜上所述,實務界對於使用生成式AI工具可能的營業秘密風險,相對於尚未可知的訴訟攻防,律師更推薦企業透過訴訟前積極的管理來避免風險。本文建議企業可將前述建議之作法融入資策會科法所創意智財中心於2023年發布「營業秘密保護管理規範」中,換言之,企業可透過「營業秘密保護管理規範」十個單元(包括從最高管理階層角色開始的整體規劃建議、營業秘密範圍確定、營業秘密使用行為管理、員工管理、網路與環境設備管理、外部活動管理,甚至是後端的爭議處理機制,如何監督與改善等)的PDCA管理循環建立基礎的營業秘密管理,更可以透過上述建議的做法(對單元5.使用管理、單元6.1保密約定、單元6.4教育訓練、單元7.網路與環境設備管理等單元)加強針對生成式AI工具之管理。 本文同步刊登於TIPS網站(https://www.tips.org.tw)