愛沙尼亞首創「數位遊牧簽證」吸引高收入高專業的數位遊牧民族

　　德國聯邦議院在今年4月27日通過「個人資料保護調整和施行法」（Datenschutzanpassungs- und Umsetzungsgesetz, DSAnpUG），其中包含新的德國聯邦個人資料保護法（Bundesdatenschutzgesetz, BDSG）。在這部新的法案中，已施行40年的 BDSG進行大幅調整以符合歐盟個人資料保護規則（Datenschutzgrundverordnung , DSGVO）的標準。 　　所有歐盟成員國將於2018年5月25日開始適用DSGVO的規定。DSGVO希望能在歐盟成員國內，形成一套具有法律統一性、標準性與高水準的個人資料保護制度。這也意味著侵害個人資料保護的違法行為，如：未使用適當的加密技術以確保個人資料安全，可能受到更嚴重的處罰，最高可達2,000萬歐元或企業全年營業額的4%。 　　DSGVO的目的在確保歐盟成員國間個人資料保護的共同法制標準，但考量到各成員國間的區域差異，DSGVO也提供國家立法者約60條的開放性條款(Öffnungsklauseln)─允許許多地區的成員國在特定條件下可不依循DSVGO標準。德國聯邦政府在新的BDSG，也運用了這些開放性條款。但有批評者認為，部分新的BDSG規範內容已超越DSGVO的條文規範，如：個資保護專員(Datenschutzbeauftragten)的就業保障。因此，新的BDSG與歐盟法律不符的部分，很可能被宣布違反歐盟法律。另一方面，舊的BDSG僅有48條規定，而新的BDSG則超過85條規定，且更為複雜，這都提高了法律適用上的難度。 　　雖然新的BDSG其適法性仍有爭議，且是否能通過司法審查亦屬未知。但盡管如此，隨著DSAnpUG 及新的BDSG法律條文制定，未來德國個人資料處理的基本法律框架已確定。由於企業個人資料處理的基本原則已明訂於DSGVO中，且新的BDSG仍是依照DSGVO的規範而制定，因此企業應盡速審查和調整他們的契約和流程，以符合DSGVO的規範要求。

日本國家網路安全辦公室（国家サイバー統括室）於2026年3月5日，代表日本連署了「AI、機器學習供應鏈風險與緩和措施」（Artificial intelligence and machine learning Supply chain risks and mitigations）之國際文書（下稱本文書），並公布本文書內容。本文書是由隸屬於澳洲訊號局（Australian Signals Directorate，簡稱ASD）之澳洲網路安全中心（Australian Cyber Security Centre，簡稱ACSC）主導訂定，主要針對有導入或開發 AI、機器學習系統與元件等需求的組織，揭示其可能存在供應鏈風險與提升整體網路安全之重要性，並就AI開發或採購階段，組織應留意相關風險與可採行之緩和措施。有關連署國家，除了日本與澳洲以外，也包括加拿大、紐西蘭、韓國、新加坡、英國與美國等共八個國家皆已完成連署。 本文書內容強調組織於管理 AI、機器學習等風險時，應將 AI 供應鏈視為整體網路安全戰略的一環，同時評估產品或服務之整體生命週期風險，不應著重於單一技術，而是組織需要掌握整體供應鏈的全貌，包括特定關係事業者、活用AIBOM（AI物料清單，主要用來記錄AI模型相關資產與資訊，提供快速定位與管控AI問題模型功能）或SBOM（軟體物料清單，主要記錄軟體相依元件，用於漏洞管理與供應鏈透明度）、意識到是否已針對AI、機器學習系統可能帶來的風險，進行漏洞管理，以及針對AI、機器學習系統所導致之網路安全事件建立應處機制等。 本文書將AI、機器學習供應鏈風險大致區分為五類：AI 數據、機器學習模型、AI 軟體、AI 基礎設施（含硬體），以及第三方服務，本文書指出AI、機器學習應用於供應鏈時可能產生之風險，其中包括數據品質不良、資料受竄改、模型遭植入惡意程式碼、軟體元件複雜導致難以保證其安全、硬體與韌體擴大攻擊面，以及導入第三方服務致使供應鏈產生弱點等。 此外，本文書也針對各類風險提出可行的因應方法，例如： 1.數據面：需做標準化搜集、外部資料檢疫、資料前處理與完整性驗證。​ 2.模型面：需從可信來源取得透明模型，實施性能驗證與惡意程式偵測。​ 3.軟體面：需做完整性驗證、元件審核，並透過 SBOM 掌握已知弱點。 4.硬體面：需確認設備無惡意內容，並在網路中適當分區。 5.第三方服務面：需持續評估與監控供應商的資安實務與脆弱性管理。 總結來說，日本已意識到國家網路安全治理下，針對AI、機器學習的安全，不單是模型安全，而是涉及整體性供應鏈安全。日本藉由與他國連署國際文書，不僅強化國際合作，同時建立供應鏈網路安全共識，因應AI對於國家供應鏈之網路安全挑戰，從資料、模型、軟體、硬體到第三方服務等視角提出具體因應方法，作為全面提升國家整體網路安全環境之參考指引。日本透過強化與他國合作，提升國家網路安全治理之作法，值得我國未來借鏡參考。

　　美國聯邦通訊委員會（Federal Communications Commission, FCC）自2010年推動「國家寬頻計畫」（National Broadband Plan）以來，即進行多項寬頻建設，使民眾於生活、工作及旅行途中，都能享受到行動寬頻網路與語音服務。而FCC於2012年2月規劃利用原普及服務基金（Universal Service Fund）下的行動通信基金（Mobility Fund）（兩者於2011年底均已劃入連接美國基金“Connect America Fund”）提撥出3億美金，一次性的提供業者於訊號未涵蓋區域進行3G網路基礎建設，並在未來三年內提供5億美金以供業者持續營運。 　　FCC預計於2012年9月2日，以反向拍賣（reverse auction）方式進行。由業者提出佈建方案、使用技術，並證明在競標區域內擁有足夠頻譜與建設能力，方能進入投標，最後由需要補助最少之業者得標。FCC希望利用此方式能促進市場競爭，使業者提出更積極之佈建方案。得標業者除獲得建設與營運補助外，並能為商用經營。本次拍賣將與其他頻譜執照拍賣方式類似，但就細部拍賣規則，將徵詢公眾意見後做出決定。 　　而為避免補助區域與已有3G訊號區域重疊，FCC就無3G訊號涵蓋區域繪製全國地圖，並公佈予投標者參考。原規劃區域為491,000區，但因過於狹小恐難以經營，故合併後為6,200區供業者競標。得標者負有義務必須於兩年之內於標得區域內完成3G網路佈建，或於3年內完成4G建設。

　　美國聯邦第三巡迴上訴法院於2014年時對於Takeda Pharmaceutical Co.(Takeda) v. Zydus Pharmaceuticals (Zydus) 一案判定：學名藥廠Zydus並無構成專利侵權，且原廠Takeda於本案的系爭專利並無失效[1]。惟本案的學名藥廠Zydus隨後向Takeda提起另一訴訟：Zydus聲稱該案的專利侵權訴訟是假訴訟(sham litigation)[2]，亦即，Takeda 提起專利侵權訴訟之本意在於阻卻Zydus的學名藥參與市場競爭，而非旨在確認侵權事實或請求賠償。Takeda隨後提起反訴，主張美國The 1984 Hatch-Waxman Act[3]已明確賦予專利權人提起專利權侵權訴訟之權利，既有訴訟權，便無假訴訟之虞。 　　美國聯邦貿易委員會(Federal Trade Commission, FTC)對於上述兩藥廠間的假訴訟爭議，在2018年6月時發布法庭之友意見書(amicus brief [4])，以5-0決議呼籲本案法院應對於假訴訟爭議進行審查。本意見書指出，The 1984 Hatch-Waxman Act、競爭法、專利法或其他醫藥法規，無任何關於藥品侵權訴訟得以免除假訴訟審查之規定。再者，FTC實有權限依據豁免原則（Noerr-Pennington Doctrine）及相關判例，就主觀與客觀要件，審查相關爭訟是否為假訴訟：(1)該爭訟程序客觀上是否無理由，提出爭訟者現實上是否不期待勝訴；(2)該爭訟程序當事人主觀上是否有意利用程序，直接地干擾競爭對手的商業關係。本意見書並進一步說明，原廠Takeda所提專利權侵權訴訟，即使學名藥廠Zydus之專利侵權事實為真，惟只要Takeda行為符合假訴訟主、客觀要件，仍有可能構成假訴訟；亦即，「是否侵權」與「是否該當假訴訟」兩者之判斷是分開的。 [1] 原廠藥之英文為branded drug，指一個藥廠自研發、生產、上市，而握有專利權之藥品，通常具有強大品牌名聲、價格通常也高；學名藥廠則是待原廠藥專利權屆滿後、或以侵權之方式，而製造與原廠藥相同或相似之藥物，學名藥價格相對較低，但在安全與效用上時常有疑慮。 [2] 美國競爭法豁免原則(Noerr Pennington Doctrine)下，私人爭訟方或單位，運用爭訟或政府程序等以促進法案的通過、增進法律執行等，免除競爭法之相關責任。但該責任免除之原則下，當事人若僅是利用政府或爭訟程序作為有害市場競爭的工具，並無合法地尋求正面結果; 或該爭訟僅是純粹的假訴訟，以干擾正當商業關係或市場競爭時，無該原則免除競爭法相關責任的適用，亦即，仍須受到競爭法的檢視與求責可能。 [3] The 1984 Hatch-Waxman Act 旨在促進學名藥參進市場競爭、兼顧學名藥與原廠藥間的利益保護，並明定原廠藥與學名藥廠均有權利提起專利權合法爭訟(validity)，以避免學名藥進入市場的受阻、也欲杜絕學名藥廠進行藥品侵權行為。 [4] 此指法庭意見書，乃為了釐清法律爭議或協助解釋法律等所提之文書，供參考用、不具強制法律效力，我國翻譯則稱法庭之友。