日本經產省修正〈電子商務交易及資訊商品交易等準則〉
日本經濟產業省於2018年12月19日修正「電子商務交易及資訊商品交易等準則」(電子商取引及び情報財取引等に関する準則,以下稱「本準則」),主要係因應2018年《不正競爭防止法》在促進資料利用之環境整備方面,以及《著作權法》在應取得著作權人同意之行為範圍部分之修正。
本準則首次公布於2002年3月,係經產省透過學界、產業界及金融界專家、相關主管機關、消費者等各方合作,整理民法等各相關法規釋疑而成,因此,須隨著法規修正更新本準則中的法規適用、爭點、說明等內容。經產省期能透過本準則提高交易當事人對電子商務交易及資訊商品交易相關市場的可預見性(foreseeability),並促進交易。
本準則此次修正相關重點如下:
- 於網站上販售或公布用以安裝程式或存取、複製數位內容(digital content)及程式之帳號及密碼者,應負相關衍生之法律責任。
- 針對透過網路蒐集、輸出、於內部網路登載、投影他人著作物等利用行為者,加以限制規範。
- 若學校授課、企業培訓係使用網路進行遠距教學,或遠距教學服務之供應商有償向學校、企業提供課程而違法利用他人著作物者,則學校、企業、服務供應商須依著作權法負相關法律責任。
- 使用者(被授權人)基於契約取得供應商(授權人)之同意得以使用資訊商品,縱使該資訊商品之智慧財產權(著作權、特許權)受讓予他人,使用者仍得繼續使用該資訊商品。
- 因體驗版之手機應用程式、軟體、共享軟體,對使用功能或使用期間有所限制,若行為人違法散布解除限制方法於網路者,則行為人應負之法律責任。
- 向第三人提供全部或部份有償之資料集(dataset)等行為者,加以限制規範。
- 針對使用P2P共享軟體將檔案上傳至網路、自網路上下載以及提供P2P共享軟體等行為,就是否違反著作權法進行討論。
- 拍攝到第三人著作物之合理使用。
本文為「經濟部產業技術司科技專案成果」
黃敏瑜
法律研究員 編譯整理
近幾年,製藥領域專利權效力的範圍及例外空間何在,引起廣泛討論,為發展製藥產業,諸多先進國家紛紛修改其專利法,擴大專利權例外範圍,使研發工作更易進行,以爭取跨國藥廠研發委外之機會。例如歐盟2004年修正通過的第2004/27指令,即對學名藥的試驗免責予以明文規定,而歐盟各會員國在將該指令內容落實為內國法的過程中,則有不少國家進一步擴大該指令例外規定的適用範圍。 瑞士雖非歐盟會員國,不過其在化學及製藥領域擁有世界一流的領先技術,因此瑞士也特別注意法規範面對於技術研發與產業發展之影響,並在近幾年積極展開類似的修法工作,瑞士新修正的專利法所規定的研究或試驗免責範圍,更進一步釐清農業領域使用受保護之生物物質之疑義,值得參考。 瑞士新修正專利法第9條規定,專利權效力不及於:(1)於私領域基於非商業目的之行為;(2)基於實驗與研究目的,為針對發明客體及其可能之應用獲取新知識所進行之行為,特別是與該發明客體有關之所有科學研究,均為容許空間;(3)為就某一藥品於瑞士取得上市許可,或於其他有類似藥品上市管制的國家取得上市許可所進行之必要行為;(4)為於教學機構中教學之目的而使用發明;(5)為進行植物品種之選育、發現或開發,而使用生物物質之行為;(6)在農業領域,出於偶然或因技術上不可避免而獲得生物物質。 上述新規定自2008年7月1日生效,隨著專利法對研究例外範圍的進一步釐清,瑞士的法規環境更具有發展生技研發服務的吸引力與國際競爭力。
關於軟體產品的智慧財產權保護建議近期軟體產品(特別是演算法)的智慧財產權保護受到各界廣泛注意,2022年12月美國實務界律師特別撰文對此提出相關智財權保護建議。軟體產品通常涉及演算法,指由人工智慧(AI)和分析組成,用於解決特定問題的一組規則。專利通常被企業預設為保護技術產品的最佳形式。 然而在2014年,美國最高法院在Alice Corp. v. CLS Bank International一案中可以發現將軟體申請專利保護可能存在風險,如:(一)軟體可能被認為是抽象概念(abstract ideas),非專利適格標的,而無法受專利法保護;(二)通常不易主張專利權,或可能在訴訟過程中因舉證責任造成機密資訊揭露等風險。因此該文作者認為難以受專利法保護之演算法、用於基於機器學習或訓練模型的資訊和資料集等軟體資料,亦可考慮透過營業秘密來保護,並提出以下營業秘密管理的建議: 1.員工教育訓練:建議企業可在僱傭的各階段(僱傭時、每年、終止時)採行相關措施、訓練,以減少營業秘密的竊用,及防止未來員工抗辯不知道該資訊是營業秘密。 2.機密標示:建議企業透過此階段審視組織對於機密文件之界定,再透過機密標示配合存取權限設定,協助企業控管與防止機密外流。 3.執行:瞭解需要受管理的營業秘密是什麼以及其為何重要。 4.監控和衡量員工參與度:建議企業採取相關監測機制檢視員工活動,及早發現離職動向與管控營業秘密資訊。 5.避免資訊揭露:建議企業應確保在向消費者或客戶行銷的過程中不洩露營業秘密,或至少採取相關保護措施,如簽訂保密契約。 6.確保資料安全:建議企業可建置網路安全策略、設置密碼、存取限制、外部設備使用下載或儲存限制等管控措施。 綜上所述,對於從事軟體開發的企業,除以專利保護產出成果外,還可從技術本質、後續是否容易主張、是否適合公開等面向,評估搭配營業秘密保護成果。並在選擇以營業秘密保護成果時,採行相關的管理措施避免營業秘密外洩而造成企業損失,包括:劃定需管理的營業秘密、制定員工教育訓練與相關管制措施,如機密標示、權限控管,並可搭配預警機制以便能夠即早發現異常。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
歐盟2014個人資料保護日,倡議資料可攜權及個資規範革新歐盟將2014年1月28日定為「2014個人資料保護日」(Data Protection Day 2014),倡議推動個人資料修法及規範革新,主要係位因應數位化時代,個人資料權利保護越形重要,並且為了強化保護線上隱私權利,歐盟執委會首於2012年1月25日所提出個人資料保護指令的修正草案─「保護個人關於個人資料處理及此等資料自由流通規章(一般資料保護規章)」(Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL(General Data Protection Regulation));該修正草案於2013年6月進入歐洲議會、理事會及執委會的三方協商,同年10月21日歐洲議會公民、司法與內政委員會(Committee on Civil Liberties, Justice and Home Affairs)審議通過,若進程順利預計將於2014年獲得通過,並於2016年生效施行。 歐盟「2014個人資料保護日」會議中,特別提到此次修法,係為歐盟跨時代的個人資料保護規範革新工作,具有特別重要意義,並且倡議應對於資料可攜權(Right to Data Portability),明文法制化加以落實保障,包括加強資料當事人控制及近取個人資料的權利,資料當事人更容易近取(aceess)個人資料(第14、15條);資料當事人有資料可攜的權利(第18條),當資料處理是以電子化方法,且使用結構性、通用的格式時,資料當事人有權利可以取得該結構性、通用格式下的個人資料(第18條(1)),且更容易自不同服務提供者間移轉個人資料。 國際間對於「資料可攜」議題,正反意見均陳,並未達成共識。歐盟執委會提出個人資料保護指令的修正草案第18條,倡議將「資料可攜性」明文法制化,並要求資料蒐集、處理與利用者對以電子化方法持有的個人資料,需使用結構性、通用的格式,以便利並確保後續個人資料可攜性。此修正草案一提出,隨即引發國際間各重要國家的熱烈探討:有反對者認為,此舉無異將形成未來國際間貿易障礙;有贊成者從確保使用者權益觀點,認為未來智慧聯網(IoT)環境下,資料可攜性是不可避免的趨勢,賦予資料當事人法律權利,有助於個人資料的保護。各重要國家對歐盟修正草案立場及意見,值得加以探究,以觀察未來法制發展趨勢。
因應使用「生成式AI(Generative AI)」工具的營業秘密管理強化建議2024年7月1日,美國實務界律師撰文針對使用生成式AI(Generative AI)工具可能導致的營業秘密外洩風險提出營業秘密保護管理的強化建議,其表示有研究指出約56%的工作者已經嘗試將生成式AI工具用於工作中,而員工輸入該工具的資訊中約有11%可能包含公司具有競爭力的敏感性資訊或客戶的敏感資訊,以Chat GPT為例,原始碼(Source Code)可能是第二多被提供給Chat GPT的機密資訊類型。系爭機密資訊可能被生成式AI工具提供者(AI Provider)用於訓練生成式AI模型等,進而導致洩漏;或生成式AI工具提供者可能會監控和存取公司輸入之資訊以檢查是否有不當使用,此時營業秘密可能在人工審查階段洩漏。 該篇文章提到,以法律要件而論,生成式AI有產生營業秘密之可能,因為營業秘密與著作權和專利不同之處在於「發明者不必是人類」;因此,由生成式 AI 工具協助產出的內容可能被視為營業秘密,其範圍可能包括:公司的內部 AI 平台、基礎的訓練算法和模型、輸入參數和輸出結果等。惟基於目前實務上尚未有相關案例,故生成式AI輸出結果在法律上受保護的範圍與條件仍需待後續的判例來加以明確。 實務專家提出,即使訴訟上尚未明確,企業仍可透過事前的管理措施來保護或避免營業秘密洩露,以下綜整成「人員」與「技術」兩個面向分述之: 一、人員面: 1.員工(教育訓練、合約) 在員工管理上,建議透過教育訓練使員工了解到營業秘密之定義及保護措施,並告知向生成式AI工具提供敏感資訊的風險與潛在後果;培訓後,亦可進一步限制能夠使用AI工具的員工範圍,如只有經過培訓及授權之員工才能夠存取這些AI工具。 在合約方面,建議公司可與員工簽訂或更新保密契約,納入使用生成式AI的指導方針,例如:明確規定禁止向生成式AI工具輸入公司營業秘密、客戶數據、財務信息、未公開的產品計劃等機密資訊;亦可增加相關限制或聲明條款,如「在生成式AI工具中揭露之資訊只屬於公司」、「限制公司資訊僅能存儲於公司的私有雲上」等條款。 2.生成式AI工具提供者(合約) 針對外部管理時,公司亦可透過「終端使用者授權合約(End User License Agreement,簡稱EULA)」來限制生成式AI工具提供者對於公司在該工具上「輸入內容」之使用,如輸入內容不可以被用於訓練基礎模型,或者該訓練之模型只能用在資訊提供的公司。 二、技術方面: 建議公司購買或開發自有的生成式AI工具,並將一切使用行為限縮在公司的私有雲或私有伺服器中;或透過加密、防火牆或多種編碼指令(Programmed)來避免揭露特定類型的資訊或限制上傳文件的大小或類型,防止機密資訊被誤輸入,其舉出三星公司(Samsung)公司為例,三星已限制使用Chat GPT的用戶的上傳容量為1024位元組(Bytes),以防止輸入大型文件。 綜上所述,實務界對於使用生成式AI工具可能的營業秘密風險,相對於尚未可知的訴訟攻防,律師更推薦企業透過訴訟前積極的管理來避免風險。本文建議企業可將前述建議之作法融入資策會科法所創意智財中心於2023年發布「營業秘密保護管理規範」中,換言之,企業可透過「營業秘密保護管理規範」十個單元(包括從最高管理階層角色開始的整體規劃建議、營業秘密範圍確定、營業秘密使用行為管理、員工管理、網路與環境設備管理、外部活動管理,甚至是後端的爭議處理機制,如何監督與改善等)的PDCA管理循環建立基礎的營業秘密管理,更可以透過上述建議的做法(對單元5.使用管理、單元6.1保密約定、單元6.4教育訓練、單元7.網路與環境設備管理等單元)加強針對生成式AI工具之管理。 本文同步刊登於TIPS網站(https://www.tips.org.tw)