歐洲專利局拒絕以AI為發明人的專利申請

　　美國德克薩斯州北區聯邦地方法院於2020年9月10日，駁回德國汽車零組件供應商大陸集團（Continental Automotive Systems）針對高通、諾基亞、夏普及其他電信公司透過Avanci授權標準必要專利（Standard Essential Patents, SEP）模式違反反托拉斯法的訴訟。法院指出，Avanci是由SEP專利技術擁有者組成的專利授權平台，而Avanci繞過零組件供應商，直接與汽車製造商就授權協議進行談判，並未違反反托拉斯法。 　　按大陸集團係依據《休曼法》（Sherman Antitrust Act）第2條提出反壟斷訴訟，指Avanic及其成員濫用標準制定的壟斷力量，排除其他技術擁有者並提高專利授權費用。對此，法院列舉聯邦第九巡迴法院在FTC v. Qualcomm案的相同看法指出，該行為是屬於Avanic及成員的契約問題，即SEP持有人可以選擇依照公平、合理、無歧視（Fair, Reasonable, Non-discriminatory, FRAND）的契約方式限制SEP授權，但違反此契約義務並不違反反托拉斯法。大陸集團主張SEP持有人違反FRAND授權承諾，欺騙標準制定組織，從而將專利納入產業標準；但即使這種欺騙會將被告的競爭者排除在標準之外，乃是針對競爭者本身而不是對競爭過程的損害，SEP權利人藉由價格歧視（Price Discrimination）合法地將專利價值最大化並不違反反托拉斯法。 　　另外，原告控訴依據還包括《休曼法》第1條，禁止事業以契約等方式限制競爭。但法院認為Avanci授權模式是與組成公司間協議訂定，該協議並不會阻止成員向非製造端客戶單獨授權。在SEP授權人拒絕與原告進行談判，或僅同意以向汽車製造商授權的相同價格與零組件供應商進行交易，頂多屬於SEP權利人間的個別行動，並未違反反托拉斯法，因而駁回訴訟。

　　2022年2月23日，歐盟委員會（European Commission，以下簡稱委員會）公開資料法案草案（Data Act，以下簡稱草案），基於促進資料共享的目的，草案其中一個目標是使不同規模的企業、用戶在資料利用上有著更加平等的地位，內容包含確保用戶資料可攜性、打破資料存取限制、推動大型企業的資料共享，扶植微/小型企業等幾大方向。 　　以下就草案對大型企業要求的義務切入，說明草案所帶來的影響： 確保用戶訪問資料的權利： 基本資訊的告知，包含所蒐集資料性質以及訪問方式、使用資料的目的；用戶可在不同產品/服務提供者（以下簡稱提供者）之間切換，且提供者須有技術支援；提供者需要有合理技術，避免資料在未經授權被查閱。 對於提供者的限制： 提供者不得將所蒐集的資料用於取得用戶的經濟地位、資產、使用喜好；具守門人性質的企業不得採取獎勵措施以鼓勵用戶提供自其他提供者處所取得的資料；提供者提供資料可以收取補償，但必須以公平、合理、非歧視、透明的方式為之，需要提供補償計算方式與基礎。 對於微/小/中型企業的保護 提供者對於微/小型企業所收取的資料補償，不得超過提供資料所需的成本；提供者利用市場優勢，對於微/小/中型企業的不合理/公平的約定無效（如單方面免除一方的重大過失/故意行為的責任）。 　　該資料法案草案須經歐盟議會（European Parliament）通過後才會生效，目前草案規定只要有在歐盟提供物聯網產品或服務之企業，就須遵守草案內容規範，考量到網路服務可跨國提供服務，草案規範與進度仍值得國內企業關注。 「本文同步刊登於TIPS網站（https://www.tips.org.tw ）」

美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架，美國已有幾州開始透過立法限縮企業資安事件賠償責任，企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準，則於資安攻擊事件所致損害賠償訴訟中，將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料，企業往往投入大量資源打造資安防護架構，惟在現今網路威脅複雜多變的環境下，仍可能受到惡意資安攻擊，導致資料外洩事件發生，導致企業進一步面臨訴訟求償風險，其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任，以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令，讓已實施適當安全維護措施之企業，豁免資安攻擊所致資料外洩之損害賠償責任，佛羅里達州和西維吉尼亞州近期亦提出相似法案，以下介紹兩州法案之重點： 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 （H.B 473: Cybersecurity Incident Liability）[4]，法案納入「安全港條款」（Safe Harbor），當企業遭受資安攻擊致生個資外洩事件，如可證明已遵循產業認可的資安標準或框架，實施適當的資安措施與風險控管機制，則可免於賠償責任，以鼓勵企業採納資安標準或框架。 為適用安全港條款，企業須遵循佛羅里達州資訊保護法（The Florida Information Protection Act），針對資料外洩事件，通知個人、監管機關和消費者，並建立與法案內所列當前產業認可的資安標準、框架，或是特定法令規範之內容具一致性的資安計畫（Cybersecurity Programs）： （一）當前產業認可的資安標準、框架 1. 國家標準暨技術研究院（National Institute of Standards and Technology, NIST）改善關鍵基礎設施資安框架（Framework for Improving Critical Infrastructure Cybersecurity）。 2. NIST SP 800-171－保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A－ 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫（Federal Risk and Authorization Management Program, FedRAMP）安全評估框架。 5. 資安中心（ The Center for Internet Security, CIS）關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟（The Health Information Trust Alliance, HITRUST）通用安全框架（Common Security Framework）[6]。 8. 服務企業控制措施類型二（Service Organization Control Type 2, SOC 2）框架。 9. 安全控制措施框架（Secure Controls Framework）。 10. 其他類似的產業標準或框架。 （二）特定法令規範 企業（entity）如受以下法令規範，亦得適用安全港條款，如法令有修訂，企業應在發布修訂後的一年內更新其資安計畫： 1. 健康保險可攜與責任法（The Health Insurance Portability and Accountability Act, HIPAA）之安全要求。 2. 金融服務現代化法（The Gramm-Leach-Bliley Act）第五章。 3. 2014 年聯邦資訊安全現代化法（The Federal Information Security Modernization Act of 2014）。 4. 健康資訊科技促進經濟和臨床健康法（The Health Information Technology for Economic and Clinical Health Act, HITECH）之安全要求。 5. 刑事司法資訊服務系統 （The Criminal Justice Information Services, CJIS）安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過，但於2024年6月26日遭州長否決[7]，其表示法案對於企業的保障範圍過於廣泛，如企業採取基礎的資安措施與風險控管機制，便得主張適用安全港條款，將可能導致消費者於發生個資外洩事件時，無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會（Florida Cybersecurity Advisory Council）合作，探求法案的替代方案，以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8]，修訂西維吉尼亞法典（Code of West Virginia），增訂第8H章資安計畫安全港條款（Safe Harbor for Cybersecurity Programs），如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫，包含個人資訊和機敏資料的管理、技術和企業保障措施，將能夠於侵權訴訟中，主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素，包含： 1. 企業的規模和複雜性； 2. 企業的活動性質和範圍； 3. 受保護資訊的敏感性； 4. 使用資安防護工具之成本和可用性； 5. 企業可運用的資源。 （一）當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同，另增加： 1 NIST SP 800-76-2個人身分驗證生物辨識規範（Biometric Specifications for Personal Identity Verification）[9]。 2. 資安成熟度模型認證（The Cybersecurity Maturity Model Certification, CMMC）至少達到第2級，並經外部驗證（external certification）。 （二）特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同，另增加：由聯邦環境保護局（Environmental Protection Agency, EPA）、資安暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）或北美可靠性公司（North American Reliability Corporation）[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11]，其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好，但也可能遭濫用而帶來不當影響，例如TikTok等大型國際企業，如在違背公民意願情況下共享個人資料時，將免於訴訟，恐有損其公民權益，未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案，內容亦為相似，西維吉尼亞州之法案目前已遭否決，主要係擔心該豁免條款遭到不當濫用；佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量，而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令，有助企業明確遵循與採納，建立與實施資安計畫，惟如何舉證所建立之資安計畫或實施之資安措施，與法案所列之資安標準、框架，或是特定法令規範，具有實質上的一致性，仍不明確，將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障，仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心（ The Center for Internet Security, CIS）為美國非營利組織，負責推動CIS Controls，針對實際發生的資安攻擊行為提供防禦建議，作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源：About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司（North American Electric Reliability Corporation, NERC），為一家非營利機構，致力推動關鍵基礎設施保護相關標準，以強化北美大規模電力系統（亦即電網）的可靠性和安全性，資料來源：https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).

　　為邁向低碳經濟時代，建立歐洲成為具競爭力之低碳經濟體，歐盟執委會（European Commission）於2011年3月8日向歐洲議會（European Parliament）提出「2050低碳經濟策略規劃（A Roadmap for Moving to a Competitive Low-Carbon Economy in 2050）」，並設定2050年低碳總目標，宣示將透過加強低碳技術研究發展、推動能源效率使用等方式，降低對石化燃料依賴，並提昇區域內更多就業機會。 　　隨著近期中東與北非地區石油危機，原油價格節節高升，已嚴重影響歐洲國家每年能源支出經費，並降低未來各國經濟成長率。歐盟執委會認為，必須積極促進歐洲國家，經由投入科技研發、提昇能源效率，有效抑制不斷提昇的能源成本，推動歐盟邁向低碳經濟社會；並且，所設定目標及推動措施，倘若有所遲緩或推延，越晚投入將導致日後所需投入經費成本更為昂貴，悔不當初。「2050低碳經濟策略規劃」所設定之目標為，規劃透過各種符合成本效率（Cost-Efficient）措施及方法，推動歐盟區域內溫室氣體排放量至2030年降低40％、至2040年降低60％、至2050年降低80％（以1990年排放量為基準），達成低碳經濟願景目標。   　　歐盟執委會表示，未來應強化推動低碳技術之研究發展，促進未來更廣泛運用，並強調應更全面加強推動策略性能源科技研究計畫（Strategic Energy Technology Plan , SET-Plan），未來10年內歐盟將再額外增加50 billion歐元投資，加強推動能源科技相關研發工作，及未來可供運用之工具措施。 　　「2050低碳經濟策略規劃」中，詳細規劃推動步驟，並區分各大領域分別施行。以電力部門（Power Sector）領域為例，運用低碳技術、潔淨技術設備所產製電力，至2020年將達到降低45％--60％比例之排放量，到2050年，所有發電技術之溫室氣體排放量更將降低至可接近於0；而對於「工業部門」所設定目標，2050年達成降低80％之目標，對於「家庭及辦公建築」部份，設定2050年可降低90％之目標，而「運輸部門」則設定於2050年達成降低60％之目標。此外，歐盟執委會更指出投資「智慧電網（Smart Grid）」的重要性，將可促使「需求端（Demand-Side）」更具效率性，更廣泛且分散之電力調配中心，以及啟動運輸系統電力化之時代。 　　低碳經濟社會所帶來福祉，並可降低歐盟每年能源支出，及對於石化燃料進口依賴程度，也促成轉變改以低碳技術產製電力能源，作為可行的替代因應方案；以及，低碳經濟社會型塑推動，除了投入經費研發技術外，相關運用更須透過教育、訓練、推廣，廣泛使大眾接受且樂於使用新興技術，如此未來將可衍生種類與數量均會更多之就業機會，也有助益於經濟成長；此外，推動低碳經濟亦可改善生活品質及健康生活，未來實際效應可改善公共健康、減少醫療費用支出、及降低對生態環境消耗破壞，均屬良善效益。 　　然而，歐盟執委會這些推動措施，亦傳出有反對聲音。「歐洲商業（Business Europe）」團體就對外表示，他們反對「2050低碳經濟策略規劃」所設定的這些超高標準，他們認為相關推動措施，未來將會嚴重傷害歐盟境內企業發展，因為主要競爭者如中國、日本及美國，相較而言，均未設定這麼高的推動目標。未來歐盟執委會這些規劃藍圖是否落實達成，值得後續觀察。