日本推動3種技術資訊管理制度以強化企業技術保護力

法國國家資訊自由委員會（Commission Nationale de l'Informatique et des Libertés, CNIL）於2025年9月18日作成裁罰決定，認定巴黎百貨公司SAMARITAINE SAS（La Samaritaine）（莎瑪麗丹百貨公司，下稱該公司）於職場內設置「偽裝成煙霧偵測器」的隱藏攝影機，該設備具備錄音功能且未適當評估風險與內部控制紀錄，並涉及個資事件通報義務未即時履行等多項違反《一般資料保護規則》（General Data Protection Regulation, GDPR）規定，最終遭裁處10萬歐元（約新台幣355萬元）的行政罰鍰。 本次事件係因該公司聲稱庫房商品失竊率增加，遂於2023年8月在兩處庫房安裝5台外觀形似煙霧偵測器但可錄音的攝影機，但員工並未事前知悉。然而，攝影機於裝設後數週即被員工發現，並在2023年9月被拆除而停止運作。CNIL之所以介入，係因2023年11月經媒體報導及後續申訴事件引發關注，進而啟動稽查程序。以下為CNIL認定本案的主要違規事項： 1.違反公平、透明與可歸責性（GDPR Art. 5(1)(a)、5(2)）：隱藏式攝影機設計使員工難以察覺且未予以告知；該公司未完成事前分析或影響評估、未妥善文件化紀錄，因此難認有以公平且透明方式處理個資。 2.違反資料最小化（GDPR Art.5(1)(c)）：攝影機具備「收音」功能，導致員工私領域對話等資料被蒐集，與所稱之防竊等特定目的未有相符，屬過度蒐集行為。 3.未建立個資侵害通報與紀錄（GDPR Art. 33(1)、33(5)）：員工拆除設備時留存載有錄影錄音內容的SD卡，公司在知悉後未於法定時限內通報並建檔紀錄；CNIL指出此類「失去對載體控制」情形並無任何模糊空間，且因其中內含員工影音資料，對自由權具有風險，依法應通報。 4.個人資料保護長（Data Protection Officer, DPO）未及時參與（GDPR Art. 38(1)）：DPO直至該攝影機拆除後才被告知，未能於事前提供風險控管與審酌是否符合法規範建議，而違反應「適時、適當參與」之要求。 本案可視為CNIL對職場監視劃出的紅線警告，雇主即使基於特定目的而採用不易察覺的監視措施，仍須在保護財產和人身安全的目標，與保護員工隱私間取得合理平衡，例如：蒐集期間具有「暫時性」；蒐集範圍最小化，無不必要收音等較小侵害手段；並應讓組織的DPO事前參與把關，完成比例性分析與風險評估，否則可能構成對員工基本權利與自由的重大干預。同時，內部也應建立事故應變流程，避免因誤判或延誤而使單一事件擴大成多重違規與裁罰風險。

　　美國專利商標局下之專利審查政策處(Office of Patent Examination Policy)於2016年11月2日發布了一份備忘錄(memorandum)，就近來聯邦巡迴上訴法院所做之可專利性客體(subject matters eligibility, SME)相關判決為整理並對專利審查者提出若干指引。 　　該備忘錄表示，美國可專利性客體審查手冊(SME guideline，下稱SME審查手冊)自今年5月修改後，聯邦巡迴上訴法院陸續做出相關判決，因此除了先就相關事項為一整理，之後亦會依據這些判決所確立之一些原則以及專利之利益相關人(patent stake holders)之回饋意見對SME審查手冊進行修改。 　　此備忘錄主要討論的判決為McRO案以及BASCOM案，在此兩判決中，聯邦巡迴上訴法院均認為下級審法院錯誤地依Alice規則認定專利無效。在McRO案，法院認為有關利用電腦所執行之自動人臉語音同步之動畫系統(automatic lip synchronization and facial expression animation )之方法請求項係屬有效。審查者在適用Alice規則時應依據SME手冊的2階段步驟對請求項進行整體考量，且不應忽略請求項中許多特定要件，過度簡化請求項為抽象概念。其並指出「電腦相關技術之改良」，不僅止於電腦運作或是電腦網路本身，若是一些規則(rules)(主要為一些數理關係式(mathematical relationship))可以增進改善電腦之效能者亦屬之。 　　備忘錄另藉著BASCOM案提醒審查者，在決定請求項是否無效時，應考慮所有的請求項之元件(elements)，以判斷該請求項是否已經具備實質超越(substantial more)一般常規、通用之元件(conventional elements)之要素。同時備忘錄並提醒審查者不應依據一些法院決定不做為先例之判決(nonprecedential decisions)之意見。

　　人工智慧即服務（AIaaS）之定義為由第三方提供人工智慧（AI）外包服務，其可使個人和公司基於各種目的進行AI相關實驗，同時毋須於初期即大規模投資或承受高度風險。著名之四大AIaaS供應商為Amazon AWS雲端運算服務、Microsoft Azure 雲端運算平台與服務、Google雲服務、以及IBM雲服務。 　　AIaaS之優點主要有：（1）降低成本：一般公司無須投資軟體、硬體、人員、維護成本以及不同任務之修改成本，AIaaS供應商可供應不同之硬體或機器學習供公司嘗試運用。（2）即用性：AIaaS供應商提供之AI服務為即用性，無須太多專家介入修改即可使用。（3）可擴展性：可由較小之項目開始試驗，逐步擴張調整服務，因此具有戰略靈活性。然而，AIaaS亦有以下潛在缺點：（1）降低安全性：公司必須交付大量資料給AIaaS供應商，因此資料之機密保護與預防竄改即為重要。（2）增加依賴度：若發生問題時，必須等待AIaaS供應商進行處理。（3）降低透明度：由於是即用性之AI服務，對於內部演算法之運作則屬於未知之黑盒子領域。（4）限制創新：因AIaaS供應商所供應之AI服務需一定程度之標準化，因此限制公司創新發展之可能。

　　繼美國聯邦巡迴上訴法院於2009年底於The Forest Group Inc v. Bon Tool Co. 一案中將美國專利法35 U.S.C. § 292條中關於不實專利標示(false patent marking)的罰金計算方式認定為罰金之計算是以每一個標示錯誤專利資訊的產品為基礎，並將原案發回地方法院(the U.S. District Court for the Southern District of Texas)重審後，地方法院於今年4月27日裁定基於專利法第292條具懲罰性之本質，針對標示錯誤或標示無效專利號之產品之罰金應以該產品之最高售價而非被告基於販售該產品所獲得之利潤或經濟利益來計算。 　　於此案中，The Forest Group產品之售價介於美金 $103至 $180元間，法院因而裁定處以The Forest Group每一標示錯誤專利資訊產品 $180元之罰金。 Atlas 法官提到藉由將標示不實專利資訊者處以該產品之最高售價之罰金，The Forest Group所需賠償之罰金將超過其藉由販售該產品所獲取之利益，達到第292條遏制之目的。 　　預計此案之判決將對其他地方法院於處理類似案件之判定產生引響，尤其對那些將錯誤專利資訊標示在大量產品上的被告而言。此外，正如各界所預料，繼去年聯邦巡迴上訴法院對第292條提出罰金計算基礎之解釋後，提起相關訴訟案件之數量已大量提升，至今已累積約140案。另，聯邦巡迴上訴法院亦剛於6月10日於Pequignot v. Solo Cup 一案中針對標示過期專利、舉證責任等與第292條相關之爭議做出解釋，後續效應直得企業持續關注。