歐盟資通安全局公布《提升歐盟軟體安全性》研究報告

　　東京地方檢察廳於2022年10月21日以違反《不正競爭防止法》等為理由，起訴被告「かっぱ寿司」之營運公司「カッパ・クリエイト」公司(下稱Kappa壽司)及其前社長田辺公己(下稱田辺)等。因本案牽涉上市企業的前社長，故引起日本社會極大關注，東京地方法院已於2022年12月22日召開首次審理庭。 　　本案被告田辺在1998年加入「はま寿司(下稱Hama壽司)」之母公司，並於2014年到2017年間擔任Hama壽司董事；嗣後在2020年11月時，轉職至Kappa壽司。雖然田辺在離職時已簽署保密協議，但在離職前後數月間，持續透過不正當方式，取得Hama壽司之食材成本及其供應商等資訊，同時更指示仍任職於Kappa壽司之部屬製作Kappa壽司與Hama壽司之成本對照表，並以郵件方式提供被告，被告再於Kappa壽司內部使用。 　　雖然Kappa壽司嗣後發表公開聲明，強調並無跡象顯示該公司曾依據相關成本對照表，進行開發新產品或更換批發商等措施，但田辺在審理庭上，已承認指控，而且在被捕時，曾坦言行為動機為希望提高業績。 　　對於本案，有日本輿論指出海外因應人員轉職較頻繁，對於機密資訊之管理，通常訂有較嚴格的規定，惟日本目前欠缺相關觀念；亦有論者認為因為必須符合營業秘密之法定要件，始受《不正競爭防止法》之保護，故強調機密管理對於保護商業秘密及針對機密外洩之法律救濟的重要性。從本案觀之，任何產業類型的企業都可能會有屬於營業秘密的資訊，為維護企業的商業競爭力，避免因營業秘密外洩影響公司營運，企業應建立及持續推動內部機密資訊管理制度，並因應社會與管理環境變化等，精進管理模式。同時應定期進行教育訓練，提高人員的機密保護意識，強化營業秘密外洩事件發生時的舉證，以有效的主張權利。 　　本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　西班牙隱私保護專責機構「資料保護專員」（Data Protection Commissioner；一般多以其西班牙文縮寫AEPD簡稱之 ），針對Google街景服務（Street View）攝影過程中不當蒐集網路用戶資訊一事，於2010年10月18日對Google發動刑事制裁程序（criminal sanction procedure）。AEPD於其網站上發表聲明，其已經掌握Google涉及五項犯罪活動的證據，其中包括蒐集Wi-Fi用戶資訊並將相關資料傳送回美國等，AEPD已將相關證據資料提交馬德里法院。 　　Google街景服務提供全球諸多地區的地理圖片，但此一服務也引發人們對於侵犯個人隱私之擔憂。儘管Google先前已多次針對街景攝影車攫取Wi-Fi用戶未經加密訊息之行為進行道歉，但仍有諸多國家對於Google是否違反內國隱私保護法規展開調查。 　　此次AEPD採取法律行動前，事實上西班牙網路用戶權利協會已就相同問題Google提起訴訟，而西班牙法院亦於今年8月展開調查。AEPD對外表示，一旦法院認定Google犯罪情事屬實，各個犯罪行為將可處以6萬至60萬歐元之罰金。無獨有偶，加拿大政府亦於10月19日認定Google收集Wi-Fi用戶資料之舉動，屬於違法行為。

日本獨立行政法人情報處理推進機構於2025年1月28日發布《成為可信賴夥伴的資料治理手冊（下稱《手冊》）》，旨在呼籲企業建立與實施「貫穿資料生命週期的資料治理機制」，藉此將資料價值最大化，並將資料風險最小化。 《手冊》指出，資料驅動著社會發展，資料治理的重要性亦隨之提升。資料治理係指企業或組織透過機制、規則與制度等多種層面的策略性手段管理其重要資料資產，並透過制定相應的政策與規則，確保資料的品質與安全性。同時，考量資料具備易於複製、竄改且流通難以控制的特性，建立完善的資料治理機制亦有助於在共享資料的過程中維持其品質及安全性。推動資料治理的基礎，則仰賴適當且有效的資料管理機制，亦即確保在蒐集、處理、儲存與使用等資料生命週期各階段皆能落實資料管理機制。然而，資料管理本身要能發揮效益，仍須依賴組織具備足夠的資料成熟度，即具備正確處理與應用資料的整體能力，方能系統性的落實管理與治理工作。 根據《手冊》內容，透過資料治理，企業或組織將能確保資料品質、透明度及安全性，並基於可信任的資料進行決策，進而有效提升決策精準度，實現風險管理與法規遵循，進一步強化自身在資料經濟中的「價值」、「信任」與「公正性」。 我國企業如欲逐步建立並落實貫穿資料生命週期的資料治理機制，可參考資訊工業策進會科技法律研究所創意智財中心所發布之《重要數位資料治理暨管理制度規範》，作為制度設計與實務推動之參考，以強化資料治理能力。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

歐盟《人工智慧法》（Artificial Intelligence Act, AIA）自2024年8月1日正式生效，與現行的《醫療器材法》（Medical Devices Regulation, MDR）及《體外診斷醫療器材法》（In Vitro Diagnostic Medical Devices Regulation, IVDR）高度重疊，特別是針對用於醫療目的之人工智慧系統（Medical Device AI, MDAI）。為釐清三法協同適用原則，歐盟人工智慧委員會（Artificial Intelligence Board, AIB）與醫療器材協調小組（Medical Device Coordination Group, MDCG）於2025年6月19日聯合發布常見問答集（Frequently Asked Question, FAQ），系統性說明合規原則與實務操作方式，涵蓋MDAI分類、管理系統、資料治理、技術文件、透明度與人為監督、臨床與性能驗證、合規評鑑、變更管理、上市後監測、資安與人員訓練等面向。 過去，MDR、IVDR與AIA雖各自對MDAI有所規範，但始終缺乏明確的協同適用指引，導致製造商、監管機關與醫療機構在實務操作上常面臨混淆與困難。本次發布的指引透過36題問答，系統性釐清三法在高風險MDAI適用上的關聯，重點涵蓋產品分類原則、合規評鑑流程以及技術文件準備要點，具高度實務參考價值。此外，傳統醫療器材的上市後監測，難以有效因應AI系統持續學習所帶來的風險。AIA因此要求高風險MDAI建立強化的上市後監控系統，並評估AI系統與其他系統交互作用可能產生的影響。 整體而言，該指引的發布不再僅限於MDAI技術層面的合規審查，而是進一步擴展至資料正當性、系統可控性、使用者能力與整體風險治理等層面，體現歐盟對AI倫理、透明與責任的制度化落實。此文件亦為歐盟首次系統性整合AI與醫療器材監管原則，預期將成為MDAI產品研發與上市的重要參考依據。 本文同步刊載於stli生醫未來式網站（https://www.biotechlaw.org.tw）